Как повысить привилегии в Windows с помощью binPath

Повышение привилегий в Windows binPath

Мы уже рассказывали о техниках повышения привилегий Windows, очень рекомендую ознакомиться. Сегодня продолжим данную тему и рассмотрим еще один способ повышения привилегий, с помощью параметра  binPath.

Еще по теме: Поиск учетных записей и служб в сетях Windows без привилегий

Повышение привилегий в Windows с помощью binPath

binPath — обязательный параметр службы, указывающий путь к двоичному файлу службы. Если какая-либо служба настроена с неправильными разрешениями и предоставляет несанкционированный доступ к конфигурации службы, злоумышленник может использовать эту неправильную конфигурацию и выполнять произвольные команды через параметр binPath.

Если служба настроена для работы с повышенными привилегиями, злоумышленник может выполнять произвольные команды с правами администратора, войдя в систему как обычный пользователь.

Идея атаки состоит в том, чтобы идентифицировать службу, которая работает с системными или административными привилегиями, и использовать неподходящее разрешение для конфигурации службы и выполнения произвольных команд через параметр binPath.

Стенд для повышения привилеий в Windows

Для демонстрации я буду использовать уязвимую машину от TryHackMe, которая называется Windows PrivEsc Arena.

  • IP машины хакера — 10.10.249.6
  • IP-адрес машины жертвы — 10.10.140.212
  • Пользователь с привилегиями — user

Начальный доступ

Итак, у нас есть доступ с привилегиям обычного пользователя user. Нам нужно повысить привилегии путем добавления пользователя user в группу администраторов.

Компьютер-жертва с пользователем с привилегиями User
Компьютер-жертва с привилегиями user

Видим, что только пользователь TCM входит в группу администраторов.

Группа администраторов
Группа администраторов

Разведка

Первым шагом будет определение слабых разрешений для служб. Мы можем использовать инструмент Accesschk для поиска служб, которые можно изменить.

Разведка с Accesschk
Разведка с Accesschk

Служба daclsvc имеет разрешение SERVICE_CHANGE_CONFIG, установленное для всех.

Мы можем запросить службу для получения дополнительной информации с помощью команды:

Служба daclsvc
Служба daclsvc

Служба daclsvc
Служба daclsvc

На приведенном выше скрине видно, что служба daclsvc запускается с системными привилегиями. Попробуем добавить пользователя user в группу администраторов, используя неправильную конфигурацию.

Эксплуатация

Изменим параметр binPath службы daclsvc с помощью команды:

Изменение параметра binPath
Изменение параметра binPath

Видим, что команда выполняется успешно. Проверим параметр binPath:

Служба запросов daclsvc
Служба запросов daclsvc

После перезапуска службы, в группу администраторов добавится пользователь user.

Запуск службы
Запуск службы

Заключение

Я показал, как повысить привилегии в Windows с помощью параметра binPath. Для защиты от атаки необходимо запретить не авторизованным администраторам вносить изменения в службы.

Полезные ссылки:

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован.