Повышаем Windows привелигии на взломанной тачке
Всем привет, хочу показать вам как можно поднять права на какой либо тачке, до SYSTEM.
Зачем такие права?
Обладая ими ,мы можем вынуть хэши других пользователей, поиграть с токенами и так далее.
Админ, по идее, не может выполнять таке действия ,но ему ничего не мешает повысить свои права до "SYSTEM"
Ясное дело ,что легальных путей у нас нет так что мы будем заниматься -поиском ошибок конфигурации конкретной ОС и ПО.
И так давайте вспомним,что или кто облдает привелигиями Windows . Первое, нам на ум приходит- сервис .
Вобще,они не всегда запускаются конкретно под SYSTEM, в зависимости от ОС
Бывают ещё и Network/Local service , но подняться от них -совсем не проблема
Как же нам быть с этими сервисами?
1-Идея. Можно внедрить свой код в случае некорректно выставленных прав ,однако для начала нам надо найти эти сервисы
a) простейший способ посмотреть в диспечере задач или выполнить>>msconfig
б)Можно воспользоваться консолью))) Это лучшей друг хакера
Команда:
wmic service list brief (Эта команда выведит список сервисов и их статус)
Если мы уберём слово "brief" мы сможем получить полную информацию о сервисах,включая месторасположение их exe шников .
На самом деле севрисов не много,а очень много.
Но в компаниях сидят не дураки,так что эти сервисы мало бывают косячными,если с ними ничего не намудрили админы
Потому обращать на эти сервисы стоит внимание когда больше ничего не остаётся. Итак нужные нам сервисы можно отобрать с помощью команды " findstr " но работа руками однозначно не наш выбор ,так что можно воспользоваться командой:
for /f "tokens=2 delims='='" %a in ('wmic service ^ (пробел)
list full^|find /i "pathname"^|find /i /v "system32"') ^ (пробел)
do @echo %a >> %temp%\permissions.txt
(где написанно пробел -это значит после знака 1 пробел и продолжаете скрипт я написал.что бы вы не запутались скрипте,остальные пробелы видны)
И так на выходе нашей папки "Temp" мы получили список локаций exe шников.
Теперь проверяем права к файлам
Командой:
for /f eol^=^"^ delims^=^" %a in (%temp%\permissions.txt) ^
do cmd.exe /c icacls "%a"
Здесь,мы последовательно запускаем каманду "icacls" для каждого из exe-файлов.
Данная команда,проверяет список прав для файлов и папок. (Отмечу ,что под XP пишем - cacls.)
В итоге у нас появится возможность анализа прав.Нужно искать слишком обширные права.
Самый простой пример полные права "F" для группы "Users" .
Расскажу
Когда я сканил свою систему,то обнаружил сервис "CVPND"
он принадлежал VPN клиенту Cisco ,у него стояли полные права и на группу "interactive".
То есть для всех пользователей кто в данный момент залогинен в ОС. А потому хотя у групы "Users" были права только на чтени,встроенное членство в интерактивах,дало им полную свободу.
Я почитал и узнал,что данный косяк известен и исправен в следующим билде (у меня оказался предпоследний).
Значит здесь понятно ,если мы обнаруживаем такой exe шник , мы можем его заменить на любой другой выгодный нам
Например на сервис "meterpreter" из MSF.
Отмечу ещё ,даже если у вас нат прав на сам exe файл ,то все же сохраняется небольшая возможность,для внедруния своего кода- это можно зделать с помощью техники DLL Hijacking и ее подтипов .
(Советую всем прочитать про не ее кто уже не новичёк в этом деле ,ну новечки тоже можете все рано не поймёте .
Кароче для этого нам надо просмотреть права на папки в которых распологаеться exe-файлы , а также те места ,где храняться библиотеки используемые сервисом.
Для первой проверки можно воспользоваться предыдущей последовательностью команд ,а для второй потребуеться ,
что то типо утильты Sysinterenals .
Кстати как это ни печально но для реестра сервиса с новым exe чаще всего требуется права админа или ребут вот так вот .
Линейный вид
