Сценарії вхід до системи права домен адмін
Підвищення привілеїв, мабуть, один із ключових моментів, від якого залежить сценарій подальшого проведення пентесту чи атаки. Тому сьогодні ми домен поговоримо про способи, що дозволяють користувачеві підвищити свої привілеї не лише адміністраторських, а й системних. Підвищення привілеїв у Windows та Linux дещо відрізняється. Незважаючи на те, що обидві операційні системи несуть звичайну кількість вразливостей, адмін відзначають, що повністю пропатчений Windows-сервер зустрічається набагато частіше, ніж оновлений адмін актуального стану Linux.
До того ж час виходу віндових патчів найчастіше менше, що робить підвищення привілеїв на вінді завданням досить цікавим та амбітним. Саме їй ми і присвятимо нашу розповідь. Отже, які ми маємо можливості піднятися у світі Windows? Насамперед, останнім часом у ядрі ОС було знайдено достатньо систем, пов'язаних із парсингом шрифтів, що робить процес підвищення привілеїв досить простим, якщо на руках є відповідний сплоїт.
Якщо ти використовуєш Metasploit, то достатньо лише однієї команди, щоб отримати системний сценарій. Однак усе це з великою системою успішно спрацює адмін у тому випадку, якщо система не повністю пропатчена.
Якщо ж на машині встановлені всі оновлення, то на відміну від Linux тут не вийде знайти SUID-бінарників, а змінні оточення зазвичай не передаються сервісам або процесам з вищими привілеями. Що ж у результаті нам лишається? Зазвичай при згадці підвищення привілеїв на думку відразу приходить спосіб, що використовує планувальник завдань. У вінді можна додати завдання за допомогою двох утиліт: Друга запустить завдання від імені сценарію, який додав завдання, тоді якперша - від імені системи.
Стандартний вхід, про який ти, напевно, чув, що дозволяє запустити консоль з правами системи:. Третій сценарій полягає в адмін підміні системної утиліти C: Якщо після цього розлогиніться і натиснути кілька разів сценарію Shiftто з'явиться консоль із системними правами.
Якщо ти управляєш доменом, що включає великий парк систем, однозначно тобі не захочеться ходити і встановлювати Права на кожну з них вручну. Та й часу адмін забиратиме стільки, що ні на які інші завдання не вистачить.
Тому використовуються Unattended installations, які породжують файли, що містять адмінські паролі в чистому вигляді. Що є просто скарбом як для пентестерів, так і для зловмисників. У разі автоматизованого встановлення на клієнті залишається досить цікавий для нас файл Unattended. З іншого боку, щоб отримати цей файл із сервера, не потрібно навіть жодної автентифікації. І хоча Windows Deployment Services не єдиний сценарій виконання автоматизованих інсталяцій, файл Unattended.
XML-файли налаштувань групової політики безпеки Group Policy Preference досить часто містять набір зашифрованих облікових даних, які можуть використовуватися для додавання нових користувачів, створення куля і так далі.
На щастя, метод шифрування документований, таким чином можна адмін отримати паролі в чистому вигляді. Якщо тобі цікаві подробиці, то вся необхідна інформація доступна за цим посиланням. Дуже часто право привілеїв виявляється наслідком неправильно налаштованих прав користувача. Або коли входи домену або сценарії адмін груп є локальними адмінами на всіх хостах.
У такому разі тобі вже до ладу не доведеться нічого робити. Але такі системипідвертаються негаразд. Іноді адміністратори дозволяють звичайним користувачам самостійно встановлювати програми, зазвичай робиться через наступні ключі реєстру:. Відповідно, задіявши спеціальним чином створений файл, можна знову ж таки виконати дії від імені системи та прокачати свої привілеї. Після його права MSI-файл припиняє встановлення шляхом домену спеціально створеного невалідного VBS, щоб запобігти реєстрації дії в системі.
Дуже часто трапляється, що система зберігає систему про файл, який треба автоматично запустити, навіть після того, як сам вхід вже канув у Лету. Може, якийсь сервіс був некоректно видалений — файлу, що виконується, немає, а запис у права залишився, і при кожному запуску система безуспішно намагається його стартанути, забиваючи журнал подій повідомленнями про фейли.
Цією ситуацією можна скористатися для розширення своїх повноважень. Насамперед треба знайти всі такі осиротілі записи. Наприклад, за допомогою утиліти autorunsc від Sysinternals. Після чого, як ти здогадався, залишиться лише якось підсунути на місце зниклого файла свого кандидата. Так-так, лапки можуть не тільки зіграти злий жарт у SQL-запитах, дозволивши провести ін'єкцію, а й допомогти підняти привілеї. Проблема досить давня відома з часів NT.
У такому сценарії, якщо атакуючий створить файл, який додаватиме нових адмінів права систему або виконувати ще якісь дії, і назве його C: Зрозуміло, що в Program Files непривілейований користувач покласти нічого не домен, але виконуваний файл сервісу може знаходитися адмін в інший директорії, тобто у користувача буде можливість підсунути свій файл.
Для того щоб скористатися даною технікою, треба знайти вразливий сервіс, який не буде використовувати лапки вадмін до свого бінарника. Робиться це так:. Щоправда, на XP це вимагатиме привілеїв адміна, тому там краще скористатися наступним методом: Ще один механізм, який може допомогти підняти права і про який зазвичай забувають, — планувальник завдань.
Утиліта schtasks дозволяє вішати завдання на певні події. Найцікавіші для нас – ONIDLE, ONLOGON та ONSTART. Як випливає з прав, ONIDLE буде виконуватися щоразу при вході домену, ONLOGON та ONSTART – при вході користувача та запуску системи відповідно.
Таким чином, на кожну подію можна повісити окреме завдання. При вході користувачів у систему – запускати дампер кредитних карток. Коротше, все обмежується адмін твоєю фантазією та поставленим завданням. Дозволи на доступ до файлів - це перший захисний засіб, який заважає підняти нам свої привілеї. Було б привабливо просто так переписати якийсь системний домен наприклад, той самий адмін.
Але все це лише мрії, насправді у нас є лише дозвіл на його читання, яке нам зовсім нічого не дає. Однак не варто вішати ніс, бо з дозволами теж не все так гладко - тут, як і скрізь, існують свої підводні камені, знання яких дозволяє робити неможливе можливим.
Одна із системних директорій, захищених даним механізмом, особливо цікава з погляду підвищення привілеїв вхід Program Files.
Непривілейованим користувачам доступ туди замовлено. Однак іноді буває, що в процесі встановлення інсталятори некоректно виставляють права на файли, внаслідок чого всім користувачам надається повний вхід до файлів, що виконуються. Що з цього випливає, ти вже здогадався. Ще одне з обмежень - звичайному смертному не дозволяється писати в коріньсистемного диска Як така поведінка може перетворитися на проблему? Просто деякі програми встановлюють себе поза захищеними директоріями, що дозволить легко підмінити їх виконувані файли.
Наприклад, така нагода трапилася з Metasploit Framework у разі її розрахованої на багато користувачів установки. Даний баг адмін пофіксовано у версії 3. Виявлення директорії домен некоректними дозволами – це вже половина успіху. Однак її потрібно спочатку знайти. Для цього можна скористатися наступними двома інструментами: Ще один варіант, як піднятися в системі вище, це скористатися місконфігураціями та помилками сценаріїв.
Як показує практика, некоректними правами можуть мати як файли і папки, а й сервіси, що працюють у системі.
Щоб виявити такі, можна скористатися утилітою AccessChk від відомого тобі Марка україниновича:. Але також великим успіхом вважатимуться такі:.
Якщо виявляється, що встановлено одне або кілька цих дозволів для непривілейованих користувачів, шанси підвищити свої привілеї різко зростають. Допустимо, ти знайшов відповідний сервіс, настав час попрацювати над. У цьому допоможе консольна утиліта sc. Для початку отримуємо повну інформацію про сервіс, що нас цікавить, припустимо, це upnphost:.
Залишається тільки вручну перезапустити сервіс:. Колись давно я прочитав у вході статтю, в якій були наведені основні прийоми для підвищення привілеїв в ОС Windows. Особливого значення я їй тоді не надав, але теорія в домені відклалася і одного разу дуже виручила мене. Тож, сподіваюся, і ти знайдеш у цій статті для себе щось нове, що допоможе якось подолати черговий бар'єр. Щоб залишити думку, треба залогінитися.
На біржах відзначаютьсяне б…. Дані учасників не передаються третім особам. Дивись у все. Підвищуємо користувальницькі привілеї у Windows. Далі на цю тему Раніше на цю тему. Паролі адміну Windows, уразливості веб-фреймворків та ключі протоколу Cisco Уявімо типову ситуацію: Масштабуємо твій сервіс за допомогою Amazon Elastic Beanstalk Ти написав свій веб-сервіс.
Як швидко підвищити привілеї в мережах, побудованих на базі Active Directory Сьогодні я розповім про найбільш швидкі та легкі домени права максимальних привілеїв ….
Запитання по сайту, передплаті, журналу: Хочеш річну передплату в подарунок?