連載｜淺談紅隊(duì)中的提權(quán)（四）

文章首發(fā)于：

火線Zone社區(qū)（https://zone.huoxian.cn/）

受限于個(gè)人水平，文中難免會(huì)出現(xiàn)錯(cuò)誤或者描述不當(dāng)?shù)牡胤?，還望各位在評(píng)論處指出，望諒解。

續(xù)接上文淺談紅隊(duì)中的權(quán)限維持。

當(dāng)拿下目標(biāo)后，難免會(huì)遇到拿下的權(quán)限只是一個(gè)普通用戶(hù)權(quán)限的情況，那么這個(gè)時(shí)候就需要對(duì)目標(biāo)進(jìn)行提權(quán)了。

不管是 Windows 提權(quán)還是 Linux 提權(quán)，方法都非常之多，實(shí)際情況下，還是需要根據(jù)對(duì)應(yīng)的情況選擇對(duì)應(yīng)的提權(quán)方法，因此這里不會(huì)也沒(méi)辦法覆蓋所有的提權(quán)方法，只會(huì)列舉出一部分的提取方法。

ByPassUAC 的方法一般有利用系統(tǒng)白名單程序、COM接口以及利用 Windows 自身漏洞等方式。

常見(jiàn)工具有 PowerShell 版的 Yamabiko 和需要自己編譯的 C 語(yǔ)言版的 UACME 等，UACME 目前已經(jīng)支持了72 種 ByPassUAC 的方法。

UACME 項(xiàng)目地址：

https://github.com/hfiref0x/UACME.git

克隆 UACME 項(xiàng)目到本地后，使用 VS2019 進(jìn)行編譯，然后運(yùn)行即可。

例如以下命令，表示使用 UACME 里的第 62 個(gè)方法進(jìn)行 ByPassUAC，執(zhí)行成功后，就會(huì)直接彈出管理員窗口，沒(méi)有彈窗提示。

可信任服務(wù)路徑

可信任服務(wù)路徑 ( Trusted Service Paths ) 漏洞利用了 Windows 文件路徑解析的特性，可信任服務(wù)路徑指的是包含空格且沒(méi)有引號(hào)的路徑，比如像這樣的路徑：

可以看到這個(gè)路徑中有兩個(gè)空格，那么對(duì)于 Windows 來(lái)說(shuō)，它會(huì)嘗試找到與空格前名字相匹配的程序，然后執(zhí)行它。

以上面的 exe 文件路徑為例，Windows 會(huì)依次嘗試執(zhí)行以下程序：

也就是說(shuō)由于 Windows 服務(wù)通常是以 SYSTEM 權(quán)限運(yùn)行的，所以在系統(tǒng)找到空格前的程序并執(zhí)行時(shí)，也將以 SYSTEM 權(quán)限運(yùn)行這個(gè)程序。

所以當(dāng)我們把木馬程序命名為 Program.exe ，然后放到 C 盤(pán)下，當(dāng)上面的 TeamsSix.exe 程序重啟時(shí)，系統(tǒng)就會(huì)執(zhí)行我們的木馬，如果這個(gè)程序是系統(tǒng)服務(wù)程序，那么就可以獲取到對(duì)應(yīng)程序的權(quán)限。

通過(guò)下面的命令來(lái)查找系統(tǒng)中存在可信任服務(wù)路徑的程序：

可以看到?C:\Program Files\OpenSSH\bin\cygrunsrv.exe 存在包含空格且沒(méi)有引號(hào)的路徑。

這里可以直接使用 MSF 利用該漏洞，MSF 版本中利用該漏洞的模塊是 unquoted_service_path。

在 MSF 上獲得會(huì)話(huà)后，利用該模塊，就可以在存在可信任服務(wù)路徑漏洞的環(huán)境下拿到對(duì)應(yīng)程序所擁有的權(quán)限。

AlwaysInstallElevated

AlwaysInstallElevated 是注冊(cè)表里的一個(gè)策略設(shè)置項(xiàng)，如果啟用此策略設(shè)置項(xiàng)，那么任何權(quán)限的用戶(hù)都能以 SYSTEM 權(quán)限來(lái)安裝惡意的 MSI（Microsoft Windows Installer）文件。

使用 reg 查看 AlwaysInstallElevated 的鍵值，0x1 表示處于開(kāi)啟狀態(tài)。

MSF 中可以使用

exploit/windows/local/always_install_elevated 模塊。

除了上面的操作外，還可以使用 msfvenom 生成 MSI 文件，從而以 SYSTEM 權(quán)限執(zhí)行任意命令。

或者以 SYSTEM 權(quán)限上線

除了使用 MSF，也可以使用 PowerUp 和 MSI Wrapper 制作 MSI 木馬。

計(jì)劃任務(wù)

使用計(jì)劃任務(wù)提權(quán)的原理是如果攻擊者以高權(quán)限運(yùn)行的任務(wù)所在目錄有寫(xiě)權(quán)限，那我們就可以使用惡意程序覆蓋原來(lái)的程序，這樣當(dāng)計(jì)劃任務(wù)下次運(yùn)行時(shí)，就會(huì)以高權(quán)限運(yùn)行惡意程序。

首先查看當(dāng)前計(jì)算機(jī)的計(jì)劃任務(wù)：

列出權(quán)限配置不當(dāng)?shù)奈募?/p>

自動(dòng)安裝配置文件

管理員在對(duì)內(nèi)網(wǎng)中多臺(tái)機(jī)器進(jìn)行環(huán)境配置時(shí)，通常不會(huì)一臺(tái)一臺(tái)的配置，往往會(huì)采用腳本批量化的方式。

在這個(gè)過(guò)程中，可能就會(huì)有一些包含安裝配置信息的文件，也許在這些文件中就包含了賬號(hào)、密碼等信息。

使用 MSF 的?

post/windows/gather/enum_unattend 模塊，可以很方便的幫助我們查找這些配置文件。

系統(tǒng)服務(wù)配置不當(dāng)可以使用 PowerUp 和 MSF 進(jìn)行發(fā)現(xiàn)與利用。

PowerUp

在 PowerShell 中導(dǎo)入并執(zhí)行腳本

從檢查的結(jié)果可以看出 MongoDB 服務(wù)存在漏洞，利用 Install-ServiceBinary 模塊，通過(guò) PowerUp 利用該處權(quán)限配置不當(dāng)可直接添加管理員用戶(hù)。

當(dāng)存在漏洞的服務(wù)被重啟或者計(jì)算機(jī)重啟后，就可以發(fā)現(xiàn)用戶(hù)已經(jīng)被添加到管理員組了。

MSF

在MSF 中對(duì)應(yīng)服務(wù)權(quán)限配置不當(dāng)?shù)睦媚K是

exploit/windows/local/service_permissions。

爛土豆這個(gè)提權(quán)漏洞應(yīng)該人盡皆知了，直接運(yùn)行 RottenPotato.exe 直接彈出 SYSTEM 權(quán)限的 CMD 窗口。

Rotten Potato 項(xiàng)目地址：

https://github.com/breenmachine/RottenPotatoNG

影響范圍：

exp 項(xiàng)目地址：

https://github.com/KaLendsi/CVE-2021-1732-Exploit。

克隆項(xiàng)目，編譯后，直接 ExpoitTest.exe whoami 即可。

影響范圍：

通過(guò)以下命令如果輸出?BUILTIN\Users:(I)(RX)?表示該系統(tǒng)易受攻擊。

exp 項(xiàng)目地址：

https://github.com/GossiTheDog/HiveNightmare

直接將作者編譯好的 HiveNightmare.exe 拷貝到目標(biāo)系統(tǒng)上執(zhí)行，這里以 Windows 10 1809 為例。

可以看到在低權(quán)限賬號(hào)下，成功利用 CVE-2021–36934 讀取到了 SAM、SECURITY、SYSTEM 三個(gè)文件。

在獲得 SAM、SECURITY、SYSTEM 文件后，我們就可以使用 secretsdump.py 獲取目標(biāo)用戶(hù)的 hash，有了 hash 就可以 pth 獲得權(quán)限了。

還有很多其他的 Windows 提權(quán) CVE，可以參考https://github.com/Al1ex/WindowsElevation?這個(gè)項(xiàng)目。

NoPAC

該漏洞的 cve 為 CVE-2021-42287/CVE-2021-42278，最近爆出來(lái)的 poc。

exp 地址：https://github.com/cube0x0/noPac

掃描是否存在漏洞

利用該漏洞提升權(quán)限

MS14-068

這個(gè)是很古老的一個(gè)漏洞了，在 2014 年微軟修復(fù)了這個(gè) Kerberos 域用戶(hù)提權(quán)漏洞，即 MS14-068，CVE 編號(hào)為 CVE-2014-6324，該漏洞影響了 Windows Server 2012 R2 以下的服務(wù)器，該漏洞允許將任意用戶(hù)權(quán)限提升至域管級(jí)別。

這個(gè)漏洞的利用工具目前也有很多，PyKEK、GoldenPac、Kekeo、MSF、CS 等都支持該漏洞的利用，這里以 GoldenPac 為例。

goldenPac.py 是一個(gè)用于對(duì) Kerberos 協(xié)議進(jìn)行測(cè)試的工具，它集成在 impacket 工具包里。

Kali 在使用之前需要先安裝 Kerberos 客戶(hù)端。

利用 goldenPac.py 獲取 Shell，這里的賬號(hào)密碼為普通用戶(hù)的賬號(hào)密碼。

CVE-2021-1675

這個(gè)也是一個(gè)影響很大的漏洞，使用該漏洞可以直接以普通用戶(hù)權(quán)限獲取到域管權(quán)限。

本地提權(quán) exp 地址：

https://github.com/calebstewart/CVE-2021-1675

利用該漏洞創(chuàng)建管理員賬號(hào)

臟牛漏洞（CVE-2016-5195）是個(gè)很經(jīng)典的漏洞了，從 2007 年發(fā)布 2.6.22 版本開(kāi)始，直到2016年10月18日為止，這中間發(fā)行的所有 Linux 系統(tǒng)都受影響。

使用 searchsploit 看看有哪些可以利用的 POC。

可以看到內(nèi)核版本在 2.6.22 至 3.9 的 Linux 都受到了影響。

使用 uname 查看當(dāng)前系統(tǒng)內(nèi)核版本。

可以看到這個(gè)內(nèi)核版本是受到影響的。

這里以 linux/local/40838.c poc 作為示例，通過(guò) -p 查看該 POC 所在路徑。

將該 POC 上傳至目標(biāo)后，通過(guò) cat 40839.c 查看該 POC 的使用命令。

CVE-2021-4034

在 Polkit 的 pkexec 中存在提權(quán)漏洞，2009年5月至今發(fā)布的所有 Polkit 版本都受到影響，Polkit 預(yù)裝在 CentOS、Ubuntu、Debian、Redhat、Fedora、Gentoo、Mageia 等多個(gè) Linux 發(fā)行版上，所有存在 Polkit 的 Linux 系統(tǒng)均受影響。

Linux 系統(tǒng)用戶(hù)可以通過(guò)查看 Polkit 版本來(lái)判斷當(dāng)前系統(tǒng)是否在受影響范圍內(nèi)，主流 Linux 發(fā)行版命令如下：

CentOS：

Ubuntu:

利用命令如下：

其他的服務(wù)提權(quán)還有數(shù)據(jù)庫(kù)提權(quán)、NFS、Redis 提權(quán)等等，這類(lèi)都需要 Linux 上部署有對(duì)應(yīng)的服務(wù)或者有錯(cuò)誤的配置才能利用。

對(duì)于 Linux 提權(quán)的 CVE 有很多，可以使用一些工具幫助我們快速的發(fā)現(xiàn)當(dāng)前 Linux 可能存在的提權(quán)漏洞。

linux-exploit-suggester

linux-exploit-suggester-2

SUID 可以讓程序調(diào)用者以文件擁有者的身份運(yùn)行該文件，當(dāng)我們以一個(gè)普通用戶(hù)去運(yùn)行一個(gè) root 用戶(hù)所屬的 SUID 文件，我們就可以獲取到 root 權(quán)限。

常見(jiàn)Linux中root文件列表如下：

nmap

vim

find

bash

more

less

nano

cp

使用以下命令查找具有 root 權(quán)限的 SUID 的文件，不同系統(tǒng)適用于不同的命令：

nmap

在 Nmap 版本為 2.02 到 5.21 之間的具有交互模式，允許用戶(hù)執(zhí)行 shell 命令。

當(dāng) Nmap 位于以 root 權(quán)限執(zhí)行的二進(jìn)制文件列表中時(shí)，就可以使用交互式控制臺(tái)來(lái)運(yùn)行具有相同權(quán)限的 shell。

find

一般情況下，在運(yùn)行 sudo 命令時(shí)都是需要輸入當(dāng)前用戶(hù)密碼的，但如果運(yùn)維人員為了方便可能會(huì)造成 /etc/sudoers 文件配置不當(dāng)。

例如以下配置：

當(dāng)我們使用 t 用戶(hù)時(shí)，使用 sudo 命令就不需要輸入密碼。

計(jì)劃任務(wù)的原理是，當(dāng)計(jì)劃任務(wù)中有以 root 用戶(hù)權(quán)限運(yùn)行的腳本文件且我們能對(duì)該文件進(jìn)行編輯時(shí)，就存在計(jì)劃任務(wù)提權(quán)。

例如我們查看當(dāng)前系統(tǒng)的計(jì)劃任務(wù)：

可以看到當(dāng)前有一條計(jì)劃任務(wù)，該計(jì)劃任務(wù)會(huì)以 root 權(quán)限每分鐘執(zhí)行一次 /tmp/teamssix.sh 腳本。

查看該腳本文件，發(fā)現(xiàn)該腳本文件允許任意用戶(hù)編輯。

編輯 /tmp/teamssix.sh 文件，添加以下內(nèi)容：

添加的內(nèi)容表示，復(fù)制 /bin/bash 到 /tmp/bash，并將 /tmp/bash 命令加上 SUID 權(quán)限。

當(dāng)計(jì)劃任務(wù)被執(zhí)行后，就可以使用 /tmp/bash 文件進(jìn)行提權(quán)了。

除了上面的方法外還有環(huán)境變量提權(quán)、root 密碼復(fù)用提權(quán)等等方法，這里篇幅有限就不一一列舉了。

不管是 Windows 還是 Linux 提權(quán)，每天都有人在不斷的研究，新的提權(quán)漏洞也層出不窮。

藍(lán)隊(duì)打補(bǔ)丁的速度總是要要晚于漏洞出現(xiàn)的速度，因此在實(shí)戰(zhàn)中一般都是優(yōu)先嘗試使用新出的提權(quán)漏洞，這樣成功率會(huì)更高，其次再去看看有沒(méi)有一些配置不當(dāng)可以被提權(quán)的地方。

所以平時(shí)有新的提權(quán)漏洞出來(lái)時(shí)，可以自己先本地復(fù)現(xiàn)一波，做好筆記，在實(shí)戰(zhàn)的時(shí)候就能很快的找到相應(yīng)的漏洞并去嘗試?yán)昧恕?/p>

參考文章：

https://xz.aliyun.com/t/7924

https://www.anquanke.com/post/id/216808

https://www.cnblogs.com/sfsec/p/15163907.html

http://blog.nsfocus.net/linux-polkit-cve-2021-4034/