澳门新葡最新网站_澳门新葡8455手机版网址

澳门新葡最新网站一直被誉为干邑品质、形象和地位的象征,因为在这里我们可以进行澳门新葡8455手机版网址下载,澳门新葡最新网站是耗时两年精心打造的全新武侠网游巨作,点击即有更多优惠活动等着你。

当前位置:澳门新葡最新网站 > 互联网金融 > Windows系统错误系统漏洞提权

Windows系统错误系统漏洞提权

文章作者:互联网金融 上传时间:2019-11-14

原标题:黑客组织PowerPool利用最新Windows零日漏洞在全球多个国家实

Trusted Service Paths 漏洞

windows服务通常都是以System权限运行的,所以系统在解析服务的二进制文件对应的文件路径中的空格的时候也会以系统权限进行解析。如果我们能利用这一特性,就有机会进行权限提升。

例如,有如下的文件路径:

C:Program FilesSome FolderService.exe

对于上面文件路径中的每一个空格,windows都会尝试寻找并执行名字与空格前的名字向匹配的程序。操作系统会对文件路径中空格的所有可能进行尝试,直到找到一个匹配的程序。以上面的例子为例,windows会依次尝试确定和执行下面的程序:

C:Program.exe

C:Program FilesSome.exe

C:Program FilesSome FolderService.exe

所以如果我们能够上传一个适当命名的恶意可执行程序在受影响的目录,服务一旦重启,我们的恶意程序就会以system权限运行(大多数情况下)。

网络安全公司ESET于上周发表的一篇博文中指出,仅在一个最新的微软Windows零日漏洞被公开披露的两天之后,一个被追踪为“PowerPool”的黑客组织就在实际攻击活动中对它进行了利用。虽然从相关数据来看受害者数量并不多,但攻击却横跨了多个国家,其中包括智利、德国、印度、菲律宾、波兰、俄罗斯、英国、美国和乌克兰。

Metasploit下Trusted ServicePaths漏洞的实战利用

一个Windows零日漏洞在上个月被公开披露

1.先检测目标主机是否存在该漏洞

理论上讲,如果一个服务的可执行文件的路径没有用双引号封闭,并且包含空格,那么这个服务就是有漏洞的。

我们在meterpreter shell命令提示符下输入shell命令进入目标机cmd下,然后使用下列wmi查询命令来列举受害者机器上所有的没有加引号的服务路径(除去了windows本身的服务)。

wmic service get name,displayname,pathname,startmode|findstr /i "Auto" |findstr /i /v "C:Windows\" |findstr/i /v """

 这是可以看到有哪些服务对应的二进制文件路径没有引号包含起来,并且路径中包含空格。是存在该漏洞的,但在上传可执行文件进去之前,我们需要确定我们对目标文件夹是否有写入的权限。

澳门新葡最新网站,2018年8月27日,一个据称影响到从Windows 7到Windows 10的所有操作系统版本的零日漏洞在GitHub上被公开披露,同时披露者(SandboxEscaper)还通过Twitter对此事进行了宣传。

2.检查对有漏洞目录是否有写入的权限

这里我们使用Windows内建的一个工具,icacls,下面我们用这个工具依次来检查目录的权限。

C:Usersadmin>icacls "C:Program Filesbaidu"

澳门新葡最新网站 1

类似这种命令,直至找到有everyone属性的目录

“M”表示修改,“F”代表完全控制,“CI”代表从属容器将继承访问控制项,“OI”代表从属文件将继承访问控制项。这意味着对该目录有读,写,删除其下的文件,删除该目录下的子目录的权限。

SandboxEscaper发布的推文

3.确认了目标主机存在此漏洞后,便开始正式攻击

Metasploit中相对应的是Windows Service Trusted Path Privilege Escalation本地利用模块,该模块会将恶意的可执行程序放到受影响的文件夹中去,然后将受影响的服务重启。接着我们输入命令background,把当前的meterpreter shell转为后台执行。然后在Metasploit中搜索trusted_service_path模块。如下图所示。

澳门新葡最新网站 2

该推文包含了一条指向GitHub存储库的链接,而该存储库则包含了该漏洞利用的概念验证代码。披露者不仅仅发布了编译版本,同时也包括源代码。因此,任何人都可以在源代码的基础上对漏洞利用程序进行修改或重新编译,使其更适合于实际攻击。

4.使用该exploit程序,并设置相关参数

澳门新葡最新网站 3

ESET表示,此次漏洞披露并不合理,因为在发布这条推文时,该漏洞并没有相应的安全补丁可用。

5.攻击

输入run命令,可以看到自动反弹了一个新的meterpreter,我们在此meterpreter shell下输入getuid 发现是system 权限,如下图所示。证明我们已经提权成功了。

澳门新葡最新网站 4

我们输入sessions可以看到有2个meterpreter,ID为3的就是新反弹回来的,如下图所示。

澳门新葡最新网站 5

我们浏览源代码发现,这个模块使用了一些正则表达式来过滤掉那些路径用引号包含起来的路径,以及路径中不含空格的路径,并创建一个受影响的服务的路径列表。接着该模块尝试利用列表中第一个受影响的服务,将恶意的可执行程序放到相应受影响的文件夹中去。接着受影响的服务被重启,最后,该模块会删除该恶意可执行文件。

从公开披露的漏洞细节来看,该漏洞主要影响的是Windows操作系统的高级本地过程调用(ALPC)功能,并允许本地权限提升(LPE)。根据ESET的说法,LPE漏洞通常允许可执行文件或进程提升权限。在特定情况下,它允许受限用户启动的可执行文件获得SYSTEM权限。

6.解决方案

当开发者没有将文件路径用引号包含起来的时候,才会发生这种行为。用引号包含起来的路径解析的时候则不存在这种行为

PowerPool组织对漏洞利用程序进行了“优化”

PowerUp之”系统服务错误权限配置漏洞”的实战利用

这里我们主要利用一个非常实用的Powershell框架-Powerup通过直接替换可执行文件本身来实现权限的提升。首先检测目标主机是否存在该漏洞。Powerup可以帮助我们寻找服务器错误的系统配置和漏洞从而实现提权的目的。下载地址:

我们先将工具下载到本地,然后上传至目标服务器。见下图所示。

澳门新葡最新网站 6

上传好脚本后,输入shell命令进入CMD提示符下,然后可以使用下列命令在本地隐藏权限绕过执行该脚本,会自动进行所有的脚本检查。见下图所示。

powershell.exe -exec bypass -Command "&{Import-Module .PowerUp.ps1; Invoke-AllChecks}"

澳门新葡最新网站 7

也可以使用IEX下载在内存中加载此脚本,执行如下命令,同样会自动进行所有的检查,如下图所示。

powershell -nop -exec bypass -c “IEX(New-Object Net.WebClient).DownloadString('c:/PowerUp.ps1');Invoke-AllChecks”

知识点:

-NoProfile(-NoP):PowerShell控制台不加载当前用户的配置

-Exec Bypass:绕过执行安全策略

Import-Module:加载脚本

澳门新葡最新网站 8

可以看出,Powerup列出了可能存在问题的所有服务,并在AbuseFunction中直接给出了利用方式。第一部分通过Get-ServiceUnquoted模块检测出了有“Vulnerable Service”、“OmniServ”、“OmniServer”、“OmniServers”四个服务,路径包含空格且不带引号,但是都没有权限,所以并不能被我们利用来提权。第二部分通过Get-ServiceFilePermission模块检测出当前用户可以在“OmniServers”服务的目录写入相关联的可执行文件,并且通过这些文件来进行提权。

这里我们还是可以使用icacls来验证下PowerUp脚本检测是否正确,我们先来测试“C:Program FilesExecutable.exe”、“C:Program FilesCommon FilesmicrosoftsharedOmniServ.exe”、“C:Program FilesCommon FilesA SubfolderOmniServer.exe”这三个文件夹,均提示权限不够。如下图所示。

澳门新葡最新网站 9

再测试“C:Program FilesProgram FolderASubfolderOmniServers.exe”文件,如下图所示。

澳门新葡最新网站 10

可以看到我们对OmniServers.exe文件是有完全控制权的,这里我们可以直接将OmniServers.exe替换成我们的MSF反弹木马,当服务重启时,就会给我们返回一个system权限的meterpreter。

在这里我们使用图11里AbuseFunction那里已经给出的具体操作方式,执行如下命令操作,如下图所示。

powershell -nop -exec bypass IEX (New-ObjectNet.WebClient).DownloadString('c:/PowerUp.ps1');Install-ServiceBinary-ServiceName 'OmniServers'-UserName shuteer -Password Password123!

 

 

本文转载Freebuf,原文地址:http://www.freebuf.com/articles/system/131388.html

 

ESET表示,虽然PowerPool是一个新成立的黑客组织,但并不意味着他们缺乏可用的黑客工具以及开发工具的能力。比如,对于这个最新的Windows零日漏洞的利用,PowerPool并没有直接使用由披露者提供的二进制文件。相反,他们对源代码进行了修改,并对其进行了重新编译。

从安全研究员Kevin Beaumont和CERT对该漏洞的分析来看,它是由于SchRpcSetSecurity API函数中未能够正确检查用户的权限而导致的。因此,无论实际权限如何,用户都可以对C:WindowsTask中的任何文件具有写权限,这允许仅具有读权限的用户也能够替换写保护文件的内容。

由于任何用户在C:WindowsTask都具有写权限,因此我们完全可以在此文件夹中创建一个文件来充当指向任何目标文件的硬链接。然后,通过调用SchRpcSetSecurity函数,就可以获得对该目标文件的写权限。

想要实现本地权限提升,攻击者首先需要选择将被覆盖的目标文件,而此类需要是一个使用SYSTEM权限自动执行的文件。例如,它可以是系统文件,也可以是由任务定期执行的已安装软件的更新程序。最后一步涉及到使用恶意代码替换受保护目标文件的内容,使得在下次自动执行时,恶意软件将具有SYSTEM权限,而不用管其原始权限如何。

对于PowerPool而言,他们选择的是更改文件C:Program Files (x86)GoogleUpdateGoogleUpdate.exe的内容。这是Google应用的合法更新程序,并且通常由微软Windows任务在SYSTEM权限下运行。

澳门新葡最新网站 11

创建指向Google Updater的硬链接

滥用SchRpcCreateFolder修改Google Updater权限

PowerPool组织常用的攻击手段和黑客工具

ESET表示,PowerPool组织在整个攻击链中会使用不同的方法来实现初步入侵,其中一种便是发送带有恶意附件的垃圾电子邮件。根据SANS互联网风暴中心在5月份发表的一篇分析文章来看,该组织曾使用了Symbolic Link(.slk)文件来作为附件。此类文件可以由微软Excel打开,并强制Excel执行PowerShell代码。

本文由澳门新葡最新网站发布于互联网金融,转载请注明出处:Windows系统错误系统漏洞提权

关键词: