对滥用Windows特权文件操纵的研讨(上) | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

对滥用Windows特权文件操纵的研讨(上)

申博_行业观察 申博 106次浏览 未收录 0个评论

本文引见了怎样滥用Windows上的特权历程实行文件,来完成当地权限晋级(从用户晋级到管理员/体系权限)。除此以外,我还引见了应用这类破绽的可用手艺、东西和细致历程。

特权文件操纵破绽

以高权限运转的历程会对一切历程中实行的文件实行操纵,这意味着,当高权限历程在没有充足预防措施的状况下,可以或许接见用户掌握的一切文件或目次。因而,从理论上说,这就是一个平安破绽,因为歹意进击者有能够会滥用该特权历程实行的操纵,使特权文件做一些不应该做的事变。关于很多特权接见用户掌握的资本的状况都是云云,文件只是一个简朴的目的。

在渗入测试中,人人熟知的示例包罗用户可写的效劳可实行文件和DLL挟制破绽,若是你对特权效劳将实行的文件具有写入权限,或许对它将在个中查找DLL的目次具有写入权限,那末你可以或许在这个特权历程中实行有效载荷。不外,以上举例的这个破绽已尽人皆知了,除偶然的设置装备摆设破绽发作以外,一样平常的防护软件都可以或许对它举行预防了。

然则,其他文件体系操纵的潜伏滥用好像不那末为人所知了,但一样和以上所说的破绽一样风险。若是你可以或许让一个特权历程为你建立、复制、挪动或删除恣意文件,那末运用system函数来挪用shell剧本的破绽就离你不远了。

别的,因为这些都是逻辑破绽,它们一般异常稳固(不触及内存破坏),一般可以或许在代码重构中存活(只需文件操纵逻辑稳定),而且不管处理器体系结构怎样,它们都以完整雷同的体式格局被滥用。对进击者来讲,这些功用异常有价值。

破绽的寻觅历程

用户可写的地位

虽然大多数特权顺序不会直接操纵一些非特权用户的文件(有些破例,如AV),但很多顺序会对能够位于用户可以或许操纵的某个地位的文件实行操纵。非特权用户在以下一些地位,是具有某种情势的写入权限的:

1.用户本身的文件和目次,包罗其AppData和Temp文件夹,若是你充足荣幸或运转AV,某些特权历程能够会运用;

2.民众用户的文件和目次:idem;

3.在C:\中建立的目次具有默许ACL(接见掌握列表):默许状况下,在分区根目次中建立的目次具有允许用户写入的允许ACL;

4.具有默许ACL的C:\ ProgramData子目次:默许状况下,用户可以或许建立文件和目次,但不克不及修正现有文件和目次,这一般是第一个看的地位;

5. C:\ Windows \ Temp的子目次:默许状况下,用户可以或许建立文件和目次,但不克不及修正现有文件和目次,也不克不及读取其他用户建立的文件/接见目次。故意检察装置顺序和定时运转的其他特权软件和剧本,而不搜检预先存在的文件和目次;

你可以或许运用特定的东西和敕令(比方SysInternals的AccessChk,icacls或PowerShell的Get-Acl)搜检文件权限,也就可以或许运用浏览器的“平安”选项卡来搜检文件权限,“高等”表单具有“有效接见”选项卡,允许列出特定帐户或组对其的接见权限该文件/目次(如AccessChk在敕令行上实行)。下面的屏幕截图显现了在C:\ProgramData目次上授与用户组的(默许)接见权限:

对滥用Windows特权文件操纵的研讨(上)

寻觅特权文件操纵

要查找特权历程实行的文件操纵的示例,我们可以或许简朴地运用SysInternals的ProcMon,Procmon是微软出品用于看管Windows体系里顺序的运转状况,看管内容包罗该顺序对注册表的写入、对文件的写入、收集的衔接、历程和线程的挪用状况,procmon是一款超强的体系看管软件。Procmon为感兴趣的历程过滤文件事宜,当我们看到它接见用户可掌握的文件和目次时,就可以或许搜检该历程是不是运用模仿客户端来完成这一点。

对滥用Windows特权文件操纵的研讨(上)

破绽应用手艺与东西

一旦我们发明在用户/用户可掌握的文件和目次上,可以或许实行对一些文件的操纵,我们就需要一种方法来挟制这些操纵,进而实行进击。

值得光荣的是,James Forshaw (@tiraniddo )经由过程他在NTFS文件体系和Windows内部的开创性事情完成了一切沉重事情,他在浩瀚文章中宣布了个中的手艺细节。他提出了几种滥用Windows文件体系和门路剖析功用的手艺(以下我会细致引见),并在开源的symboliclink-test -tools toolkit和NtApiDotNet库中完成了这些手艺。他的手艺和东西包为很多测试职员(包罗我本身)翻开了一扇寻觅这类范例的破绽的门,让这些破绽的应用成为能够。

NTFS 交织

交织是一个NTFS功用,它允许将目次设置为文件体系的装置点(mount point),就像Unix中的装置点一样,然则也可以或许设置为剖析到另一个目次(在同一个或另一个文件体系上)。在本文在,我们可以或许把它们看做是一种只包罗目次的符号交织。

对滥用Windows特权文件操纵的研讨(上)

探索与觉醒 | 体验DEF CON China 1.0百态!

对于安全圈的朋友来说,今天是个大日子,因为地表最顶级的安全会议DEF CON又来到了中国。 经过首届DEF CON China Beta经验的吸取,DEF CON China 1.0会有怎样的突破?有什么亮点?有哪些有趣的环节?今天,嘶吼小编将走进会场,揭秘DEF CON China 1.0的各种套路。 小编早早的就来到活动举办地点,找到一个侧门,走近发现不知道是哪位壮士已迫不及待的破门而入了。 跟随英雄的脚步,小编屏住呼吸顺利的通过了此处,来到了慕名已久的751D·PARK,DEF CON China 1.0的会议现场。 会场风格极为吸引人眼球 大会的签到处,各路武林高手已经排上了长队,放眼国内的安全会议中,可以造就这样繁荣盛世的恐怕也就只有DEF CON China可以做到了。 签到处 DEF CON China 1.0徽章暗藏玄机 历届DEF CON的徽章都是焦点般的存在,它不仅是大会通行凭证,还是极客身份的象征,更是智慧与实践的结晶。 DEF CON China 1.0媒体参会徽章 徽章是由一个树形的电路板组成的。据了解,它采用的是弹性PCB(柔性电路板),主办方为此花费了不少心思,而且徽章暗藏玄机。 探索一圈后了解到,在不同的Village完成任务后,就会点亮徽章上的灯,让徽章变得更加亮眼,更具神秘感。 在DEF CON China 1.0的主会场

风趣的是,在大多数状况下,门路剖析将遵照 交织划定规矩(除非明白设置参数以防备这类状况),因而在上面的设置中,实验翻开C:\ Dir \ file.txt的顺序现实大将翻开C:\ Other \ file.txt。

衔接可以或许由非特权用户建立,因为它们可以或许跨卷事情,因而你也可以或许将C:\Dir“重定向”到D:\OtherDir。若是你具有对现有目次的写入权,则可以或许将其转换为 交织,但必需为空。

NTFS交织是用重剖析点(reparse points)完成的,虽然内置东西不允许如许做,然则可以或许经由过程设置自界说重剖析点的完成将它们剖析为恣意门路。CreateMountPoint东西允许你完成重剖析点完成,关于通例 交织,你还可以或许将mklink和PowerShell的New-Item与-Type Junction参数一同运用。

NTFS重剖析点(Reparse Points)

随Windows 2000宣布的NTFS版本5里最风趣的一个属性是引入了一些特别的文件体系功用,并应用于特定的文件或目次上。这些特别功用使NTFS文件体系越发强大和有扩展性。这个特征的完成基本叫做重剖析点(reparse points)。

重剖析点的运用源于一些应用顺序想把一些特别数据存储到特别的处所——重剖析点,然后由应用顺序做上特别的符号,只允许它运用。为此文件体系引入了一个应用顺序相干的特别过滤器(application-specific filter),并与重剖析点的符号联系关系起来。多个应用顺序可以或许把分歧的数据存储到同一个重剖析点文件里,只需运用分歧的符号。微软保留了几个符号为本身运用。

如今我们假定用户盘算接见一个有符号的重剖析点文件。当文件体系翻开文件时,发明有重剖析点联系关系到这个文件,因而“重剖析”这个翻开文件要求,发明与应用顺序相干联的可用过滤器,并与这个重剖析点举行婚配,经由过程后就可以或许把重剖析点的数据传送给这个过滤器了。过滤器因而可以或许把这些数据用于任何门路,依赖于应用顺序最后的界说。这是一个异常天真的体系:应用顺序不需关心重剖析点是怎样事情的,重剖析点的完成细节关于用户是完整通明的。你只需简朴的放入和拿出数据,其他的事变都是自动完成,这使文件体系的功用大大增强了。

微软运用重剖析点在Windows 2000里完成了以下的功用:

1. 符号链接(Symbolic Links):符号链接允许你建立一个指向其他处所某个文件的指针。NTFS并没有像UNIX文件体系那样完成“真正”的文件符号链接,然则从功用上重剖析点完整可以或许模仿得如出一辙。本质上,NTFS的符号链接就是一个重剖析点,把对一个文件的接见转移到另一个文件身上。

2. 交织点(Junction Points):交织点和符号链接相似,只不外对象是目次而不是文件。

3.卷装载点(Volume Mount Points):卷装载点和前2者相似,只是更进一层:它能建立对全部卷的链接。好比,你可以或许为可挪动硬盘或其他存储介质建立卷装载点,或许让当地的分歧分区(C:,D:,E:等等)看起来就像在一个卷里一样。这关于那些大型的CD-ROM效劳器异常有效,若是没有卷装载点,它们就只能为每张磁盘人工保护一个分区字母。

4.长途存储效劳器(RSS:Remote Storage Server):Windows 2000的这个特征能应用一些划定规矩来移除NTFS卷上不经常使用的文件,放到存档介质里(好比CD-RW或磁带)。当它把文件移出到“下线”或“半下线”的存储介质上时,RSS自动建立指向这个存档文件的重剖析点,以备往后运用。

硬链接 (hard link)

我们都晓得文件都有文件名与数据,这在 Linux 上被分红两个局部:用户数据 (user data) 与元数据 (metadata)。用户数据,即文件数据块 (data block),数据块是纪录文件实在内容的处所;而元数据则是文件的附加属性,如文件巨细、建立时候、一切者等信息。在 Linux 中,元数据中的 inode 号(inode 是文件元数据的一局部但其其实不包罗文件名,inode 号即索引节点号)才是文件的独一标识而非文件名。文件名仅是为了轻易人们的影象和运用,体系或顺序经由过程 inode 号寻觅准确的文件数据块。

为处理文件的同享运用,Linux 体系引入了两种链接:硬链接 (hard link) 与软链接(又称符号链接,即 soft link 或 symbolic link)。链接为 Linux 体系处理了文件的同享运用,还带来了隐蔽文件门路、增添权限平安及节约存储等优点。若一个 inode 号对应多个文件名,则称这些文件为硬链接。换言之,硬链接就是同一个文件运用了多个别号(见 图 2.hard link 就是 file 的一个别号,他们有配合的 inode)。硬链接可由敕令 link 或 ln 建立。以下是对文件 oldfile 建立硬链接。

因为硬链接是有着雷同 inode 号仅文件名分歧的文件,因而硬链接存在以下几点特征:

· 文件有雷同的 inode 及 data block;

· 只能对已存在的文件举行建立;

· 不克不及交织文件体系举行硬链接的建立;

· 不克不及对目次举行建立,只可对文件建立;

删除一个硬链接文件其实不影响其他有雷同 inode 号的文件。

以是,非特权用户还可以或许建立硬链接,与Unix对应的硬链接一样,将作为现有文件的附加门路。它不克不及在目次上事情,也不克不及跨卷事情(关于硬链接来讲没故意义)。

对滥用Windows特权文件操纵的研讨(上)

别的,内置东西不允许你建立到没有写入权限的文件的硬链接,然则现实的体系挪用允许你运用翻开供读取的文件来建立硬链接。运用symboliclink-test -tools中的CreateHardLink东西(或Ruben Boonen编写的这个PowerShell剧本)建立指向你没有写入权限的文件的硬链接。

注重,若是没有对文件的写入权限,就不克不及删除建立的链接。别的,这项手艺在行将宣布的Windows 10中得到了减缓。

本文我们对特权文件操纵的道理和能够发作破绽的处所,举行了理论上的剖析。下文我们接着将对象管理器(ObjectManager)符号链接以及破绽应用的示例和思绪。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明对滥用Windows特权文件操纵的研讨(上)
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址