Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-01-10 12:18:52 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/windows-hardening/windows-local-privilege-escalation/privilege-escalation-abusing-tokens
History
Translator 64531bac7f Translated ['windows-hardening/windows-local-privilege-escalation/privil
2024-02-25 12:24:45 +00:00
..
README.md Translated ['windows-hardening/windows-local-privilege-escalation/privil 2024-02-25 12:24:45 +00:00

README.md

Nadużywanie tokenów

Nauka hakowania AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Tokeny

Jeśli nie wiesz, co to są tokeny dostępu systemu Windows, przeczytaj tę stronę przed kontynuacją:

{% content-ref url="../access-tokens.md" %} access-tokens.md {% endcontent-ref %}

Być może będziesz w stanie eskalować uprawnienia, nadużywając tokenów, które już posiadasz

SeImpersonatePrivilege

To uprawnienie, które jest przypisane do dowolnego procesu, umożliwia impersonację (ale nie tworzenie) dowolnego tokenu, pod warunkiem uzyskania do niego uchwytu. Uprawniony token można uzyskać od usługi systemu Windows (DCOM), wywołując autentykację NTLM przeciwko exploitowi, umożliwiając następnie wykonanie procesu z uprawnieniami SYSTEM. Tę podatność można wykorzystać za pomocą różnych narzędzi, takich jak juicy-potato, RogueWinRM (które wymaga wyłączenia winrm), SweetPotato i PrintSpoofer.

{% content-ref url="../roguepotato-and-printspoofer.md" %} roguepotato-and-printspoofer.md {% endcontent-ref %}

{% content-ref url="../juicypotato.md" %} juicypotato.md {% endcontent-ref %}

SeAssignPrimaryPrivilege

Jest bardzo podobne do SeImpersonatePrivilege, będzie używać tej samej metody do uzyskania uprzywilejowanego tokenu.
Następnie to uprawnienie pozwala przypisać token podstawowy do nowego/zawieszonego procesu. Dzięki uprzywilejowanemu tokenowi impersonacji można wygenerować token podstawowy (DuplicateTokenEx).
Z tym tokenem można utworzyć nowy proces za pomocą 'CreateProcessAsUser' lub utworzyć proces zawieszony i ustawić token (zazwyczaj nie można modyfikować podstawowego tokenu działającego procesu).

SeTcbPrivilege

Jeśli masz włączone to uprawnienie, możesz użyć KERB_S4U_LOGON do uzyskania tokena impersonacji dla dowolnego innego użytkownika bez znajomości poświadczeń, dodać dowolną grupę (administratorów) do tokenu, ustawić poziom integralności tokenu na "średni" i przypisać ten token do bieżącego wątku (SetThreadToken).

SeBackupPrivilege

System jest zmuszony do udzielenia wszystkich uprawnień do odczytu do dowolnego pliku (ograniczone do operacji odczytu) za pomocą tego uprawnienia. Jest ono wykorzystywane do odczytywania skrótów haseł kont lokalnych Administratora z rejestru, po czym narzędzia takie jak "psexec" lub "wmicexec" mogą być użyte z hasłem (technika Pass-the-Hash). Jednak ta technika zawodzi w dwóch przypadkach: gdy konto Lokalnego Administratora jest wyłączone lub gdy istnieje polityka, która usuwa prawa administracyjne od Lokalnych Administratorów łączących się zdalnie.
Możesz nadużyć to uprawnienie za pomocą:

{% content-ref url="../../active-directory-methodology/privileged-groups-and-token-privileges.md" %} privileged-groups-and-token-privileges.md {% endcontent-ref %}

SeRestorePrivilege

Uprawnienie do zapisu do dowolnego pliku systemowego, niezależnie od listy kontroli dostępu (ACL) pliku, jest udzielane przez to uprawnienie. Otwiera to wiele możliwości eskalacji, w tym możliwość modyfikacji usług, wykonywania DLL Hijacking oraz ustawiania debuggerów za pomocą opcji wykonania pliku obrazu, między innymi różne techniki.

SeCreateTokenPrivilege

SeCreateTokenPrivilege to potężne uprawnienie, szczególnie przydatne, gdy użytkownik posiada zdolność impersonacji tokenów, ale także w przypadku braku SeImpersonatePrivilege. Ta zdolność opiera się na możliwości impersonacji tokenu reprezentującego tego samego użytkownika, którego poziom integralności nie przekracza poziomu integralności bieżącego procesu.

Kluczowe punkty:

  • Impersonacja bez SeImpersonatePrivilege: Możliwe jest wykorzystanie SeCreateTokenPrivilege do EoP poprzez impersonację tokenów w określonych warunkach.
  • Warunki impersonacji tokenów: Skuteczna impersonacja wymaga, aby docelowy token należał do tego samego użytkownika i miał poziom integralności mniejszy lub równy poziomowi integralności procesu próbującego dokonać impersonacji.
  • Tworzenie i modyfikacja tokenów impersonacji: Użytkownicy mogą tworzyć token impersonacji i wzbogacać go, dodając identyfikator SID (Security Identifier) uprzywilejowanej grupy.

SeLoadDriverPrivilege

To uprawnienie pozwala na ładowanie i usuwanie sterowników urządzeń poprzez utworzenie wpisu rejestru z określonymi wartościami dla ImagePath i Type. Ponieważ bezpośredni zapis do HKLM (HKEY_LOCAL_MACHINE) jest ograniczony, należy zamiast tego użyć HKCU (HKEY_CURRENT_USER). Jednak aby sprawić, że HKCU będzie rozpoznawalne przez jądro do konfiguracji sterownika, należy podążać za określoną ścieżką.

Ta ścieżka to \Registry\User\<RID>\System\CurrentControlSet\Services\DriverName, gdzie <RID> to względny identyfikator bieżącego użytkownika. Wewnątrz HKCU należy utworzyć tę całą ścieżkę i ustawić dwie wartości:

  • ImagePath, czyli ścieżka do binariów do wykonania
  • Type, z wartością SERVICE_KERNEL_DRIVER (0x00000001).

Kroki do wykonania:

  1. Uzyskaj dostęp do HKCU zamiast HKLM ze względu na ograniczony zapis.
  2. Utwórz ścieżkę \Registry\User\<RID>\System\CurrentControlSet\Services\DriverName w HKCU, gdzie <RID> reprezentuje względny identyfikator bieżącego użytkownika.
  3. Ustaw ImagePath na ścieżkę wykonywania binariów.
  4. Przypisz Type jako SERVICE_KERNEL_DRIVER (0x00000001).
# Example Python code to set the registry values
import winreg as reg

# Define the path and values
path = r'Software\YourPath\System\CurrentControlSet\Services\DriverName' # Adjust 'YourPath' as needed
key = reg.OpenKey(reg.HKEY_CURRENT_USER, path, 0, reg.KEY_WRITE)
reg.SetValueEx(key, "ImagePath", 0, reg.REG_SZ, "path_to_binary")
reg.SetValueEx(key, "Type", 0, reg.REG_DWORD, 0x00000001)
reg.CloseKey(key)

Więcej sposobów na nadużycie tego uprawnienia można znaleźć w https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/privileged-accounts-and-token-privileges#seloaddriverprivilege

SeTakeOwnershipPrivilege

To jest podobne do SeRestorePrivilege. Jego główna funkcja pozwala procesowi przyjąć własność obiektu, omijając konieczność uzyskania wyraźnego dostępu dyskrecyjnego poprzez zapewnienie praw dostępu WRITE_OWNER. Proces obejmuje najpierw zabezpieczenie własności zamierzonego klucza rejestru w celu zapisywania, a następnie zmianę DACL w celu umożliwienia operacji zapisu.

takeown /f 'C:\some\file.txt' #Now the file is owned by you
icacls 'C:\some\file.txt' /grant <your_username>:F #Now you have full access
# Use this with files that might contain credentials such as
%WINDIR%\repair\sam
%WINDIR%\repair\system
%WINDIR%\repair\software
%WINDIR%\repair\security
%WINDIR%\system32\config\security.sav
%WINDIR%\system32\config\software.sav
%WINDIR%\system32\config\system.sav
%WINDIR%\system32\config\SecEvent.Evt
%WINDIR%\system32\config\default.sav
c:\inetpub\wwwwroot\web.config

SeDebugPrivilege

To uprawnienie umożliwia debugowanie innych procesów, w tym odczyt i zapis w pamięci. Z jego pomocą można zastosować różne strategie wstrzykiwania pamięci, zdolne do uniknięcia większości programów antywirusowych oraz rozwiązań zapobiegających intruzji na hostingu.

Zrzut pamięci

Możesz użyć ProcDump z pakietu SysInternals Suite, aby przechwycić pamięć procesu. W szczególności dotyczy to procesu Local Security Authority Subsystem Service (LSASS), który jest odpowiedzialny za przechowywanie poświadczeń użytkownika po pomyślnym zalogowaniu do systemu.

Następnie możesz załadować ten zrzut do mimikatz, aby uzyskać hasła:

mimikatz.exe
mimikatz # log
mimikatz # sekurlsa::minidump lsass.dmp
mimikatz # sekurlsa::logonpasswords

RCE

Jeśli chcesz uzyskać powłokę NT SYSTEM, możesz użyć:

# Get the PID of a process running as NT SYSTEM
import-module psgetsys.ps1; [MyProcess]::CreateProcessFromParent(<system_pid>,<command_to_execute>)

Sprawdź uprawnienia

whoami /priv

Tokeny, które są oznaczone jako Wyłączone, mogą zostać włączone, co pozwala na nadużycie tokenów Włączonych i Wyłączonych.

Włącz wszystkie tokeny

Jeśli masz wyłączone tokeny, możesz użyć skryptu EnableAllTokenPrivs.ps1, aby włączyć wszystkie tokeny:

.\EnableAllTokenPrivs.ps1
whoami /priv

lub skrypt osadzony w tym poście.

Tabela

Pełny cheatsheet uprawnień tokenów znajduje się pod adresem https://github.com/gtworek/Priv2Admin, poniższe podsumowanie zawiera tylko bezpośrednie sposoby wykorzystania uprawnienia do uzyskania sesji administratora lub odczytu poufnych plików.

Uprawnienie Wpływ Narzędzie Ścieżka wykonania Uwagi
SeAssignPrimaryToken Admin Narzędzie zewnętrzne "Pozwala użytkownikowi na podszycie się pod tokeny i eskalację uprawnień do systemu nt za pomocą narzędzi takich jak potato.exe, rottenpotato.exe i juicypotato.exe" Dziękuję Aurélienowi Chalot za aktualizację. Spróbuję wkrótce przefrazować to w bardziej przepisowy sposób.
SeBackup Zagrożenie Wbudowane polecenia Odczytaj poufne pliki za pomocą robocopy /b

- Może być bardziej interesujące, jeśli można odczytać %WINDIR%\MEMORY.DMP

- SeBackupPrivilege (i robocopy) nie są pomocne przy otwieraniu plików.

- Robocopy wymaga zarówno uprawnienia SeBackup, jak i SeRestore, aby działać z parametrem /b.
SeCreateToken Admin Narzędzie zewnętrzne Utwórz dowolny token, w tym lokalne uprawnienia administratora za pomocą NtCreateToken.
SeDebug Admin PowerShell Zduplikuj token lsass.exe. Skrypt można znaleźć na stronie FuzzySecurity
SeLoadDriver Admin Narzędzie zewnętrzne

1. Załaduj błędny sterownik jądra, taki jak szkg64.sys
2. Wykorzystaj podatność sterownika

Alternatywnie uprawnienie to może być używane do wyłączania sterowników związanych z bezpieczeństwem za pomocą wbudowanego polecenia ftlMC. np.: fltMC sysmondrv

1. Podatność szkg64 jest wymieniona jako CVE-2018-15732
2. Kod eksploatacyjny szkg64 został stworzony przez Parvez Anwar
SeRestore Admin PowerShell

1. Uruchom PowerShell/ISE z obecnością uprawnienia SeRestore.
2. Włącz uprawnienie za pomocą Enable-SeRestorePrivilege).
3. Zmień nazwę utilman.exe na utilman.old
4. Zmień nazwę cmd.exe na utilman.exe
5. Zablokuj konsolę i naciśnij Win+U

Atak może być wykryty przez niektóre oprogramowanie AV.

Alternatywna metoda polega na zastępowaniu binarnych plików usług przechowywanych w "Program Files" przy użyciu tego samego uprawnienia
SeTakeOwnership Admin Wbudowane polecenia

1. takeown.exe /f "%windir%\system32"
2. icalcs.exe "%windir%\system32" /grant "%username%":F
3. Zmień nazwę cmd.exe na utilman.exe
4. Zablokuj konsolę i naciśnij Win+U

Atak może być wykryty przez niektóre oprogramowanie AV.

Alternatywna metoda polega na zastępowaniu binarnych plików usług przechowywanych w "Program Files" przy użyciu tego samego uprawnienia.
SeTcb Admin Narzędzie zewnętrzne

Manipuluj tokeny, aby zawierały lokalne uprawnienia administratora. Może wymagać SeImpersonate.

Do weryfikacji.

Odnośniki

Dowiedz się, jak hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!