展開
湖北國聯(lián)計(jì)算機(jī)科技有限公司
  • 首頁HOME
  • 公司簡(jiǎn)介INTRODUCTION
  • 安全防御DEFENSE
  • 軟件開發(fā)SOFTWARE
  • 物聯(lián)網(wǎng)IOT
  • 運(yùn)行維護(hù)SRE
  • 成功案例CASE
  • 聯(lián)系我們CONTACT

    • Defense Q&A |網(wǎng)安Q&A

    攻擊者侵入系統(tǒng)后如何提升賬戶權(quán)限?
    來源:荊州網(wǎng)站建設(shè) 時(shí)間:2017-07-31

    提權(quán)


    通常而言,惡意攻擊者侵入到某個(gè)系統(tǒng)最初往往只能獲取到一個(gè)普通權(quán)限的賬戶。但這無疑給進(jìn)一步的滲透帶來了阻礙,因此攻擊者會(huì)開始嘗試通過各種手段來提升自己的賬戶權(quán)限。一旦提權(quán)成功攻擊者就可以將目標(biāo)轉(zhuǎn)移至其它基礎(chǔ)架構(gòu),以便進(jìn)一步的查找和破壞存儲(chǔ)有價(jià)值信息的網(wǎng)絡(luò)上的系統(tǒng)。

    提權(quán)最簡(jiǎn)單的方法之一就是利用計(jì)算機(jī)的配置問題。包括管理員憑據(jù),配置錯(cuò)誤的服務(wù),故意削弱的安全措施,用戶權(quán)限過大等。由于這種提權(quán)操作非常的簡(jiǎn)單,因此也是攻擊者最常使用的一種方式。然而這種方法的弊端也顯而易見,就是依賴運(yùn)氣的成分較大。

    更為可靠有效的提權(quán)方法是攻擊操作系統(tǒng)的內(nèi)核導(dǎo)致緩沖區(qū)溢出從而執(zhí)行任意代碼,這種方法通常可以幫助攻擊者繞過所有的安全限制。但這種方法也存在一定的局限性,如果目標(biāo)系統(tǒng)的補(bǔ)丁更新的較為迅速和完整,那么攻擊者想要通過這種方法提權(quán)就必須要擁有0day才行。

    在某些情況下,攻擊者也會(huì)利用密碼相關(guān)的問題來進(jìn)行提權(quán)。例如,管理員設(shè)置的密碼為弱密碼或重復(fù)性密碼。此時(shí)攻擊者就可以嘗試對(duì)管理員的賬戶密碼進(jìn)行暴力破解,并以此來獲得高權(quán)限運(yùn)行他們的惡意軟件。另一種方法是攔截用戶的憑據(jù)信息,并將這些憑據(jù)用于跨網(wǎng)絡(luò)的其他服務(wù)。

    當(dāng)大多數(shù)常見方法都失敗時(shí),攻擊者還會(huì)繼續(xù)嘗試其他類型的提權(quán)手段,但這也意味著攻擊者需要花費(fèi)更多的精力和時(shí)間。例如,攻擊者可能需要重新滲透另一個(gè)目標(biāo)系統(tǒng)。提權(quán)作為APT生命周期中的重要一步,往往起著決定成敗的作用。


    提權(quán)技術(shù)

    偵查

    以下示例顯示了攻擊者是如何對(duì)目標(biāo)系統(tǒng)的當(dāng)前用戶/組,以及補(bǔ)丁情況進(jìn)行快速分析的。通過獲取到的遠(yuǎn)程shell利用一些內(nèi)置命令,攻擊者枚舉了當(dāng)前的用戶組和安全更新信息。如圖1所示:


    從whoami命令的輸出結(jié)果可以看出,并沒有BUILTIN\Administrators組,這意味著當(dāng)前用戶對(duì)目標(biāo)系統(tǒng)的權(quán)限有限。因此,我們又使用了systeminfo命令來獲取當(dāng)前系統(tǒng)的補(bǔ)丁情況,并將補(bǔ)丁信息導(dǎo)入到patches.txt的文本中。然后我們利用一個(gè)名為 Windows-Exploit-Suggester的工具進(jìn)行預(yù)處理,以檢查系統(tǒng)中是否存在未修補(bǔ)的漏洞(參見圖2)。

    通過CVE-2015-1701提權(quán)


    一旦潛在的漏洞被指紋識(shí)別,那么攻擊者就會(huì)試圖利用它們。例如,目標(biāo)系統(tǒng)存有未修復(fù)的 MS15-051(也稱為CVE-2015-1701)漏洞,攻擊者只需簡(jiǎn)單的在Metasploit上調(diào)用一個(gè)利用模塊,就可以輕松獲取到目標(biāo)系統(tǒng)的system權(quán)限。具體執(zhí)行流程如圖3所示。

    錯(cuò)誤配置利用


    在補(bǔ)丁完全被修復(fù)的環(huán)境中,攻擊者往往需要擁有零日漏洞才能完成他的提權(quán)操作。但是如果攻擊者手中沒有零日,那么他該如何提權(quán)呢?其實(shí)除了零日外,有經(jīng)驗(yàn)的攻擊者還可以通過目標(biāo)系統(tǒng)不當(dāng)?shù)呐渲脕硖釞?quán)。常見的錯(cuò)誤配置是不安全的服務(wù)配置,這允許攻擊者提升他們的權(quán)限。因此,我們就可以通過對(duì)各種已知服務(wù)配置問題進(jìn)行探測(cè)。這里我們可以利用 Powersploit的工具包中的 PowerUp腳本,來幫助我們完成探測(cè)任務(wù)。

    PowerUp腳本已經(jīng)識(shí)別出了 RasMan服務(wù)的弱權(quán)限問題。這樣一來攻擊者就可以用他的payload來重新配置服務(wù)然后重啟服務(wù),并利用重啟后獲取的最高(SYSTEM)權(quán)限來執(zhí)行所需的命令。我們可以使用命令I(lǐng)nvoke-ServiceAbuse來完成以上操作,如圖5所示。

    如圖5所示,配置錯(cuò)誤服務(wù)被攻擊者成功利用并直接獲取到了NT AUTHORITY\SYSTEM的最高用戶權(quán)限,這意味著攻擊者可以在該最高權(quán)限下執(zhí)行任意命令(在這種情況下為regsvr32 …)。提供的命令導(dǎo)致下載附加代碼并被執(zhí)行。最終創(chuàng)建了一個(gè)新的session會(huì)話(session 16),并且攻擊者也因此獲取到了完全控制目標(biāo)系統(tǒng)的最高權(quán)限。


    以上介紹的都是一些常見的提權(quán)技術(shù),如果目標(biāo)系統(tǒng)的防護(hù)做的比較到位,那么我們還可以利用一些其它的手段。例如鍵盤記錄,社會(huì)工程學(xué)等。這些手段往往需要攻擊者花費(fèi)更多的時(shí)間,甚至需要物理接觸受害者。此外,攻擊者也更愿意將精力投入到利用工具的開發(fā)以及零日漏洞的挖掘上。




    荊州地區(qū)政府網(wǎng)站建設(shè) 解決方案 專業(yè)團(tuán)隊(duì) 騰訊第三方平臺(tái) 地址:湖北省荊州市沙市區(qū)荊沙大道楚天都市佳園一期C區(qū)29棟112       地址:湖北省松滋市新江口街道才知文化廣場(chǎng)1幢1146-1151室     郵編:434200 聯(lián)系電話:0716-6666211     網(wǎng)站編輯部郵箱:business@gl-ns.com 鄂公網(wǎng)安備 42100202000212號(hào) 備案號(hào):鄂ICP備2021015094號(hào)-1     企業(yè)名稱:湖北國菱計(jì)算機(jī)科技有限公司