经过任意文件覆盖漏洞直接获取系统操作的最高权限
发布时间:2022-08-04 10:31:30 所属栏目:安全 来源:互联网
导读:任意文件覆盖一直被视为关键漏洞,因为它可能导致权限升级。在Windows系统中,这通常意味着模拟管理员或系统运行。 第三方软件始终是一个选项,因为通常它们不受受信任的安装程序的保护。攻击者应枚举所有已安装的软件和可执行文件,识别哪些运行在高语境(hi
|
任意文件覆盖一直被视为关键漏洞,因为它可能导致权限升级。在Windows系统中,这通常意味着模拟管理员或系统运行。 第三方软件始终是一个选项,因为通常它们不受“受信任的安装程序”的保护。攻击者应枚举所有已安装的软件和可执行文件,识别哪些运行在高语境(high context)中,以及如何配置它们。一个典型的例子是服务可执行文件,它以SYSTEM身份运行,并且可由标准用户启动。在我的惠普笔记本电脑上,我拥有满足所有要求的“惠普软件框架服务(HP Software Framework)”,HP Software Framework提供了一套通用的软件接口,可以集中并简化对硬件、BIOS 和 HP 设备驱动程序的访问。 另一个不错的选择是“ Dropbox Updater Service”,它以每小时一次的系统权限(在标准安装中)作为预定任务运行。 但是如果攻击者只想依靠标准的Windows操作系统软件呢?它变得越来越困难与微软补丁,但显然有一些可能性。例如,还记得“ALPC任务调度程序”漏洞吗? 最终结果是覆盖“ Printconfig.dll”,其中SYSTEM拥有完全控制权,启动XPS打印作业(将加载修改后的Printconfig.dll),并在SYSTEM用户上下文中执行代码。结果,它仍然可以使用。 接下来,我将向你展示如何使用相对简单的多合一Powershell脚本从printconfig.dll中“滥用”。 “Microsoft XPS Document Writer”是一种特殊的打印机驱动程序:“Microsoft XPS文档编写器(MXDW)是一种打印到文件的驱动程序,该驱动程序使Windows应用程序可以从带有Service Pack 2(SP2)的Windows XP开始的Windows版本上创建XML Paper Specification(XPS)文档文件。” 这个驱动程序位于不同的位置(在本例中为Win 2019服务器): 有趣的是第一个文件,因为它是最新的文件,并且与我们的体系结构(X64)相匹配。 因此,如果我们能够完全控制此文件,则可以使用修改后的dll覆盖该文件,启动XPS打印作业,该作业将加载dll并以SYSTEM用户身份执行代码(例如,反向shell)。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号