Win2k / WinXP, повышение привелегий, Обзор уязвимостей Опции

[Decker]

Иногда возникает задача получения прав доступа локального администратора на машинах с Win2k / WinXP, обладая только полномочиями пользователя. Варианты со сбросом пароля и т.п. не рассматриваем, предположим что загрузиться с внешнего носителя нельзя, однако, тем или иным способом скачать свое ПО на ПК можно. В этой теме хотелось бы подискутировать на тему существующих работоспособных exploit'ов для повышения привелегий. Ну собственно как простейший пример, чуть-ли не 3-х 5-ти летней давности - kaht2 remote rpc dcom exploit, с помощью которого можно было не только получить права SYSTEM локально, но также и удаленно. Вообщем-то думаю тема будет полезна и для тех, кто хотел бы подобный доступ получить, и для системных администраторов, которые наверняка хотели бы закрыть такие "дырки" в своей системе. Я конечно подозреваю, что мало кто из участников этого форума способен предложить что-то рабочее, но вдруг кому-то тоже интересна описанная проблема. Так или иначе тема о локальном повышении привелегий, за счет уязвимостей в ОС ...

[Phoen]

Иногда возникает задача получения прав доступа локального администратора на машинах с Win2k / WinXP, обладая только полномочиями пользователя. Варианты со сбросом пароля и т.п. не рассматриваем, предположим что загрузиться с внешнего носителя нельзя, однако, тем или иным способом скачать свое ПО на ПК можно. В этой теме хотелось бы подискутировать на тему существующих работоспособных exploit'ов для повышения привелегий. Ну собственно как простейший пример, чуть-ли не 3-х 5-ти летней давности - kaht2 remote rpc dcom exploit, с помощью которого можно было не только получить права SYSTEM локально, но также и удаленно. Вообщем-то думаю тема будет полезна и для тех, кто хотел бы подобный доступ получить, и для системных администраторов, которые наверняка хотели бы закрыть такие "дырки" в своей системе. Я конечно подозреваю, что мало кто из участников этого форума способен предложить что-то рабочее, но вдруг кому-то тоже интересна описанная проблема. Так или иначе тема о локальном повышении привелегий, за счет уязвимостей в ОС ...

Тема то конечно интересная, но...

Варианты со сбросом пароля и т.п. не рассматриваем, предположим что загрузиться с внешнего носителя нельзя

...это не реально.

Лучшее что можно предложить - NT root loader ( http://www.inattack.ru/article/499.html ), его вроде бы выкладывали в паблик, может где нибудь даже ещё можно найти линки... Самому вобщемто пригодилось бы, спрошу на злом.

[URAL]

Думаю, тема не будет иметь конструктивного продолжения и опустится до обычного трёпа (флуда) потому, что:
1. Все известные уязвимости своевременно устраняются через Windows Update.
2. Если какой-нибудь "умник" нашёл действительную уязвимость и похвастается об этом здесь, она станет известной и будет своевременно устранена (см. п.1)
Считаю Windows лучшей пользовательской ОС. (Это моё личное мнение. Я его никому не навязываю. Спорить какая ОС лучшая не намерен также как и менять своё мнение).

[Phoen]

На Злом не подвели.

Иого выжимка:

Данный способ подходит к Windows 2000/XP/2003 и любого Service Pack.
Использование его не означает использование уязвимости Windows,просто новый вид перехвата через собственный загрузчик. Ни одна из распространенных и существующих публичных защит не смогла выявить ничего. Как итог удалось запустить на компьютере программу, которая требовала прав привилегированного пользователя.

1. Создаем загрузочную дискету, CD-ROM, DVD-ROM, flash-накопитель в загрузочном секторе которого будет находиться наш загрузчик. Остальное содержимое носителя не важно, удобно записать туда те программы, которые мы хотим установить.
2. Выставляем в BIOS загрузку с этого носителя.
3. Такое впечатление, что никакой загрузки не произошло с носителя, просто грузится Windows. Передача управления загрузочному сектору жесткого диска прошла успешно.
4. На окне User - Logon вызываем программу. Результат положительный – перед нами CMD на Logon экране.

На этом уже можно остановится, тк дальнейшие действия зависят исключительно от фантазии. Т.к. вы имеете CMD запущенный из ядра ОС, с привилегией SYSTEM. Вы без труда можете воспользоваться net user /add,… и добавить пользователя в группу администраторов. Можно запустить программу с любого из носителей, загрузочный диск не нужен уже давно. Из созданной cmd можно даже запустить far или explorer(последний явно не создавался для такого метода запуска под SYSTEM… но рабочий стол инициализируется для пользователя SYSTEM ).

И вуаля, сам загрузчик:

Прикрепленные файлы

 nt.root.ldr.zip ( 223,29 килобайт ) Кол-во скачиваний: 670

 

[Decker]

Спасибо за загрузчик (на самом деле вариант интересный), но точно таким же образом, можно например загрузиться с LiveCD / LiveUSB и сбросить / поменять пароль администратора с помощью Offline NT Password Changer например и кучи других утилит (вообщем-то у меня на LiveCD все это есть), пусть у нас будут права не SYSTEM, а локального администратора, что для наших целей вообщем-то тоже годится (смутно могу себе представить задачу, которую нужно выполнять именно от имени системы, а не локального админа). Гораздо интереснее задача когда у нас нет возможности загрузиться с чего-либо, доступ к USB носителям перекрыт в BIOS (отключен USB контроллер к примеру), доступны только CD/DVD привод, на котором мы теоретически можем принести что угодно, или/и интернет / электронная почта, посредством которых мы тоже можем прислать себе что угодно ... при всем при этом мы обладаем только правами пользователя. Вот это уже интереснее ... ) По-поводу прозвучавших здесь мнений касательно Windows Update и т.п., да, действительно, большинство уязвимостей закрывается, но не все системные администраторы поднимают локальные WSUS'ы, настраивают автоматическое обновление на всех машинах и т.п. Наиболее распространенная практика - отключение автоматических обновлений на всех ПК в сети с целью экономии траффика. Так что про WU забываем сразу. Считаем что по-дефолту мы имеем либо Win2k SP4, либо WinXP SP2 или SP3 и права пользователя. Возможности загрузиться с внешнего носителя нет, разобрать системный блок, чтобы сбросить CMOS тоже ... будем считать что он опечатан. Давайте попробуем смоделировать такую ситуацию.

p.s. Также не стоит упоминать о том, что любой скопилированный эксплоит будет детектироваться антивирусами, если таковые установлены на ПК, т.к. существует 1000 и 1 простых и не очень методик, которые позволяют скрыть код от антивируса, начиная от обработки полиморфами, и заканчивая ... вообщем методики есть. Для определенности будем считать что антивирус позволяет нам запустить все что мы принесли / прислали себе.

[Phoen]

Спасибо за загрузчик (на самом деле вариант интересный), но точно таким же образом, можно например загрузиться с LiveCD / LiveUSB и сбросить / поменять пароль администратора с помощью Offline NT Password Changer например и кучи других утилит (вообщем-то у меня на LiveCD все это есть), пусть у нас будут права не SYSTEM, а локального администратора, что для наших целей вообщем-то тоже годится (смутно могу себе представить задачу, которую нужно выполнять именно от имени системы, а не локального админа).

Ну дык в том и плюс загрузчика что можно дать юзверю права локального админа, при этом не трогая учётку администратора и ничего не меняя в системе.

А в остальном согласен с URAL'ом, врядли существует какой либо способ повысить привелегии при тобой описанных условиях.

[Decker]

Ну дык в том и плюс загрузчика что можно дать юзверю права локального админа, при этом не трогая учётку администратора и ничего не меняя в системе.
А в остальном согласен с URAL'ом, врядли существует какой либо способ повысить привелегии при тобой описанных условиях.

С помощью некоторых версий софта можно например не изменить пароль администратора, а добавить своего пользователя с правами администратора, соответственно после завершения работы - можно его удалить, можно сделать backup папки C:\Windows\System32\config , сбросить пароль администратора, поработать, а потом вернуть базу sam на место. Таким образом восстановив предыдущий пароль. Понятно что в случае с твоим загрузчиком набор этих телодвижений сводится к минимуму, этим он и удобен.

По-поводу повышения привелегий способы все-таки есть ... Иначе бы я тему не открывал. Например shatter атаки (краткая обзорная статья), действительно, не обязательно использовать эксплоиты использующие переполнение буфера и т.п.

[Decker]

Используем shatter-атаки для повышения прав

Сегодня мы рассмотрим довольно недавно появившийся вид атак на Windows-системы. Так называемые SHATTER – атаки. Для чего их можно использовать? Для повышения прав в системе. Для понимания атаки вы должны хоть чуть-чуть знать, как виндозные приложения обмениваются данными между собой и системой. Работа окон контролируется с помощью сообщений Windows. Когда вы например, нажали клавишу, Windows посылает сообщение активному окну и сообщает ему об этом событии. Фактически, когда происходит какое-то событие о котором должно знать окно, ему посылается сообщение. Эти сообщения помещаются в очередь и обрабатываются в порядке поступления. Это довольно удобный механизм управления, но он имеет довольно серьёзный недостаток. Дело в том, что все сообщения посланные любым приложением имеют равные права с системой, то есть приложение, запущенное с правами ограниченного пользователя, может легко посылать сообщения любому системному процессу. А теперь представьте что есть сообщения способные менять ход исполнения программы… То есть если мы найдём приложение имеющие большие права чем мы, то мы можем попытаться использовать его для повышения своих прав.

Сообщения Windows состоят из трех частей: идентификатора сообщений и двух параметров. Параметры используются в зависимости от идентификатора. Значит для удачной атаки нам надо знать дескриптор окна и сообщение которое мы хотим послать. Рассмотрим сообщения WM_TIMER. Оно используется окном для исполнения некоторой функции через определённый интервал времени. Формат использования этого сообщения таков:

SendMessage(Handle, WM_TIMER, Interval, Addr);
Handle – дескриптор окна которому посылается сообщение
WM_TIMER – само сообщение
Interval – через сколько миллисекунд запустить сообщение
Addr – адрес запускаемой функции

Если мы укажем дескриптор окна имеющего большие права чем мы, а по адресу запускаемой функции будет находится наш шеллкод то он исполнится с правами атакуемого приложения!

Единственные две проблемы:

1) Узнать нужный дескриптор
2) Сделать так чтобы шеллкод находился в областном пространстве атакуемой программы, да ещё нужно знать его адрес.

Всё решается довольно легко, для того чтобы узнать дескриптор можно использовать программу Shutter (www.xakep.ru/post/16039/shatter.zip), и вообще сегодня мы будем использовать эту программу для большинства наших операций. А для того чтобы шеллкод находился в областном пространстве атакуемой проги достаточно поместить его в поле ввода любого окна этой проги. А для получения нужного адреса мы будем использовать отладчик SoftIce. Но обо всём по порядку.

Для примера я использовал Agnitum Outpost Firewall Pro 2.0 , ось Windows XP. Прога имеет права SYSTEM – это то что нам нужно. Залогинимся под гостём, зайдём в прогу, выберем:

Параметры -> Системные -> Общие правила -> Параметры -> Изменить. Внизу видно поле ввода, это то что нам нужно. Запустим shutter, щелкнем в поле ввода мышкой а в shatter выберем: GetCursorWindow. В итоге мы получим дескриптор поля ввода. Теперь нам нужно достаточно места для ввода щеллкода, для изменения размера поля вода используется сообщения: EM_SETLIMITTEXT. В shatter в поле handle введём полученный дескриптор, в WPARAM – 3, в LPARAM – 0. Нажмём EM_SETLIMITTEXT. Теперь в поле ввода Oupost’a вытрем всё и попробуем чё-то ввести, максимальная длина 3 символа. Теперь в WPARAM напишем FFFFFFF, и снова нажмём EM_SETLIMITTEXT. Теперь у нас в распоряжение 4 гига, вводите чё хотите… Теперь попробуем сообщение WM_PAST, оно используется для вставки текста из буфера обмена, оба параметра нули. Скопируйте любой текст, WPARAM – 0, в LPARAM – 0, и нажмите WM_PAST. В принципе всё понятно. Теперь попробуем всё на практике.

Для начала полностью очистим поле ввода. Теперь нам нужно вставить шеллкод в поле ввода. Где взять шеллкод??? Можно написать самому, можна использовать с любого виндозного эксплоита, но мы возьмем шеллкод который идёт вместе с shatter’ом, он открывает шелл на 123 порту. Теперь откроем файл sploit.bin с помощью HEX-редактора, я использовал WinHex. Скопируем его вместе со словом FOON. В shatter вводим нужный дескриптор, 0, 0, и жмём WM_PAST. Теперь нам необходимо найти адрес шеллкода. Запустим SoftIce(Ctrl+D), и ведём: s 10000000 l FFFFFFFF ‘FOON’ . У меня нашлось по адресу E1CE04BC. Ваш адрес будет отличатся от моего. Но так как слово FOON мы не будем пытаться исполнить, да ещё в шеллкоде целый килобайт nop’ов. Мы к полученному адресу прибавим 200. Кто не знает как, может просто использовать виндозный калькулятор в HEX режиме. 0хE1CE04BC + 0х200 = 0хE1CE06BC. Остался последний штрих. В shatter в WPARAM введите чё хотите, в LPARAM полученный адрес(у меня это E1CE06BC). Жмите WM_TIMER. Если всё сделано правильно, мы получим шелл на 123 порту с правами системы. Если чё не получается, пишите, помогу. На этом всё.

p.s. 2Phoen: Ну и ради интереса просто посмотри краткий список дыр, позволяющих удаленное выполнение кода в XP SP3, далеко не все из них можно использовать для повышения локальных привилегий, далеко не под все есть public exploit'ы, но кто ищет как говорится, что-нибудь да найдет )

Сообщение отредактировал Decker - 25.9.2015, 2:57

Причина редактирования: Удаление архива shatter.zip

[Decker]

Ну что же ... не прошло пары лет, как мы снова и снова возвращаемся к этой теме. Повышение локальных привелегий, и не просто, а до уровня NT AUTHORITY/SYSTEM в любой версии Windows.

19 января 2010 года стала публичной 0-day уязвимость, позволяющая выполнить повышение привилегий в любой версии Windows, начиная от NT 3.1, выпущенной в еще в 1993 году, и заканчивая новомодной "семеркой". На exploit-db.com хакером Tavis Ormandy были опубликованы как исходники сплоита KiTrap0d, так и скомпилированный бинарник, готовый к применению. Опробовать оригинальный сплоит может любой желающий. Для этого нужно лишь извлечь из архива vdmexploit.dll и vdmallowed.exe, каким-либо образом передать на машину-жертву, и там запустить exe-шник. В результате, независимо от того, под аккаунтом какого пользователя выполнен запуск, появится консоль с привилегиями системного пользователя, то есть NT AUTHORITY\SYSTEM. Проверки ради можно запустить сплоит на своей машине, предварительно залогинившись в систему под обычным пользователем. После запуска сплоита откроется новое окно cmd.exe с максимальными привилегиями.

Что это дает? Представь ситуацию, что сплоит пробивает некоторое приложение и получает шелл на удаленном компьютере. Пускай это будет сплоит для Internet Explorer - в этом случае у взломщика на руках будет доступ к системе с правами того пользователя, под учеткой которого был запущен браузер. Не спорю, очень часто это будет аккаунт с правами администратора (пользователь сам виноват), но если нет? Вот здесь-то и можно заюзать KiTrap0d, чтобы поднять свои привилегии до NT AUTHORITY\SYSTEM! Мало того, даже те пользователи, которые входят в группу администратора, не могут обращаться к некоторым участкам системы, например, для чтения хешей паролей пользователей (об этом ниже). А NT системный акаунт - может! При всем этом, на момент публикации статьи ни одного патча со стороны Microsoft, закрывающего уязвимость, выпущено не было.

• Microsoft Windows NT #GP Trap Handler Allows Users to Switch Kernel Stack - оригинальный пост на exploit-db.com, там же внутри ссылки на исходники, бинарники и видео.
• Долой userlevel: повышаем привилегии до NT AUTHORITY\SYSTEM в любой версии Windows - статья в Ксакепе, там этот exploit используют в составе Metasploit.
• Nagits's Blog - userLevel2system и узнаем пароль администраторской учетной записи, Повышаем привилегии до системных с помощью сплоита KiTrap0d, а также вытягиваем пароль админа с помощью PWdump и L0phtCrack.
• Как взломать сменившийся пароль админа со своей адмнской учетки? - а вот тут собственно люди задаются тем же вопросом. Ответов на него несколько, нам более интересен второй.

Ищи сплоит KiTrap0d, с помощью него можно повысить привилегии и дернуть хеш пароля (exploit-db.com)

(с) s1r1us

Q. Возможно ли инициировать создание обновленной копии sam и реестра в папке repair?
A. ntbackup - [buck up] - [only back up the System State data] - запусти и подожди пока побежит прогресс, прерывай - в repair будет уже лежать обновленный sam и компания

(с) DrakonHaSh

Почему нам интересен второй ответ? Ну потому что это оригинальный способ получить SAM и компанию ... компания = SYSTEM ... т.к. при использовании SYSKEY, для того чтобы достать хеши паролей, нужны именно ветки SAM и SYSTEM. А вот тут уже нужно проявить фантазию ... либо использовать по совету Nagits'а KiTrap0D эксплоит для получения прав системы ... а потом уже либо выдирать хеши с помощью специального софта сразу, либо тащить из под работающей системы SAM и SYSTEM с помощью низкоуровнего доступа к диску.

Это очень хорошо описано на сайте http://wasm.ru/article.php?article=lockfileswork под заголовком (Чтение файла с помощью прямого доступа к диску). Вот ссылка на скомпилированную программу: http://wasm.ru/pub/21/files/lockfileswork/RawRead.rar (Пример чтения SAM с помошью прямого доступа к тому).

Либо же ицициировать процесс резервного копирования и вытащить уже готовые файлы из Repair'а. Вообщем-то все ... как получить права - мы поняли, как вытащить NTLM хеши паролей тоже. Теперь вопрос как их расшифровать ... скажу лишь ключевое слово ... Extreme GPU Bruteforcer ... с технологией CUDA от NVIDIA скорость перебора NTLM хешей на обычном GeForce 250 GTS составляет 500M/s ... (да, да, 500 миллионов) ...

Ну и теперь собственно сам софт:

•  KiTrap0D.zip ( 319,8 килобайт ) Кол-во скачиваний: 735
  - KiTrap0D Exploit (внимание, большинством антивирусов определяется как HackTool)
• Extreme.GPU.Bruteforcer.v1.9, Extreme GPU Bruteforcer.

Как обезопасить себя от эксплойта?

Поскольку полноценного обновления для решения уязвимости пока нет, придется воспользоваться обходными путями. Самый надежный вариант - отключить MSDOS и WOWEXEC подсистемы, что сразу лишит сплоит функциональности, т.к. он больше не сможет вызывать функцию NtVdmControl() для запуска NTVDM-системы. В старых версиях Windows это реализуется через реестр, в котором нужно найти ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW и добавить какой-нибудь символ к ее названию. Для современных ОС устанавливать ограничение на запуск 16-битных приложений надо через групповые политики. Для этого вызываем GPEDIT.MSC, далее переходим в раздел "Конфигурация пользователя/Административные шаблоны/Компоненты Windows/Совместимость приложений" и активируем опцию "Запрещение доступа к 16-разрядным приложениям".

http://support.microsoft.com/kb/979682 - Временное решение для устранения проблемы от Microsoft.
http://www.microsoft.com/rus/technet/secur...ory/979682.mspx - Уязвимость в ядре Windows делает возможным несанкционированное получение прав.
Microsoft Security Bulletin MS10-015 - (!) здесь собраны необходимые исправления.

[Decker]

А есть еще многочисленные уязвимости в win32k.sys ... вообщем тема для обсуждения достаточно обширная. Если у вас есть интересная информация по теме, а также работающие образцы эксплоитов для локального повышения привелегий - пишите, не стесняйтесь А то иногда у меня возникает ощущение что я здесь собственный блог веду

[URAL]

А есть еще многочисленные уязвимости в win32k.sys ... вообщем тема для обсуждения достаточно обширная. Если у вас есть интересная информация по теме, а также работающие образцы эксплоитов для локального повышения привелегий - пишите, не стесняйтесь А то иногда у меня возникает ощущение что я здесь собственный блог веду

Давным-давно слышал байку о том, что некий чел соорудил катапульту на Чукотке и перебрасывал желающих на соседний континент. Можно ли реализовать идею? Да, можно! А надо ли? Есть способы получить привилегии Администратора и попроще (Социальная Инженерия). Кстати к машинам с действительно ценной информацией ограничен физический доступ.

[Decker]

Собственно еще один способ:

How to exploit:
1. Log in under an unprivileged system account.2. Download and extract the HTB23108-P0c-Windows-Services.rar archive.
3. Copy the files from the archive into the C:\Perl\site\bin folder.
4. Reboot the system.
5. Log in under unprivileged system account.
6. Run the C:\Perl\site\bin\ADMC.exe file.
7. Enter the following credentials when asked:
Login: fox
Password: 1234
8. Type “shell” and then “whoami” command in the system console and you will see: “nt authority\system” – you have administrative console.
Original advisory: https://www.htbridge.com/advisory/HTB23108

 HTB23108_P0c_Windows_Services.rar ( 833,33 килобайт ) Кол-во скачиваний: 239

[Decker]

Разработчик из Google выложил 0day-эксплойт для Windows //04.06.2013

(с) http://www.xakep.ru/post/60733/

Специалист по безопасности Тэвис Орманди (Tavis Ormandy) из компании Google опять отличился. Он опубликовал 0day-уязвимость для Windows, не сообщив предварительно о ней в компанию Microsoft.

Три года назад компания Microsoft подвергла критике Орманди, который сообщил об уязвимости в Microsoft 5 июня и опубликовал информацию в открытом доступе 9 июня.

Сейчас ситуация практически повторилась с той лишь разницей, что Тэвис вовсе не потрудился сообщать что-то в Microsoft. В списке рассылке Full Disclosure он написал, что у него «нет свободного времени, чтобы разбираться в глупом коде Microsoft», так что он не смог оформить как следует сообщение с описанием уязвимости. Вместо этого, Тэвис просто прислал в рассылку Full Disclosure фрагмент кода с «очевидным багом win32k!EPATHOBJ::pprFlattenRec». Первое письмо пришло 17 мая, и в нем исследователь обратился ко всем коллегам с призывом посмотреть код и подумать, как можно эксплуатировать данную уязвимость.

Спустя две недели, 2 июня, Тэвис Орманди опубликовал уже готовый эксплойт, с помощью которого осуществляется эскалация привилегий в Windows (см. скриншот).



По словам автора, злоумышленники уже используют эту уязвимость и сделали эксплойт еще раньше него, так что публикация информации в такой ситуации вполне оправдана. Компания Google недавно уменьшила срок молчания для активно эксплуатируемых уязвимостей с 60 до 7 дней.

Прикрепленные файлы

 ComplexPath_c.7z ( 9,69 килобайт ) Кол-во скачиваний: 331