快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

使用SCCM以及Viewfinity进行提权实验

如今越来越多的公司最先制约用户以内陆治理员的身份来运行软件,随之带来的问题是,怎么样允许用户执行某些治理举动,例如装置已批准的软件。市场上有一些工具旨在解决这个问题。但我也发现了一个问题,即当用户被允许与装置程序进行交互时,他们通常可以抬举他们当前在计算机上的权限。本文我将为人人演示,怎么样使用SCCM以及Viewfinity进行提权。

SCCM Software Center

体系中心设置治理器(SCCM)支持治理员将软件装置程序发布到Software Center,或当前登录的用户,更常见的是以NT Authority\System权限运行。 有关SCCM部署类型的更多信息,请参阅此处。

根据装置程序命令的部署方式,恶意用户可能会使用这些列入白名单的装置程序来抬举其计算机上的权限。通常,要是允许用户与装置程序进行交互,这将是可能的。下面是一个场景的示例。

可以看到Software Center发布的应用程序“Flowdock”可用于装置,并被标记为“Attended Install”。

image1.png

装置程序运行,并允许我们配置装置路径,这对于此攻击(通常)是必不可少的前提。因为要是程序被装置到Program Files,低权限用户将没法写入装置目录。 相反,要是我们可以控制装置路径,则可以将装置路径更改至我们拥有充足权限的地位。这里,我选择将该程序装置到我的桌面。

image2.png

继续装置进程,直至看到实现按钮的界面。接着,我们启动PowerShell。

image4.png

在PowerShell中备份flowdock.exe程序,并将cmd.exe复制到flowdock.exe。然后,我们选中“Launch Flowdock”复选框实现装置。

image3.png

cmd.exe启动后,我们键入whoami命令,可以看到当前我正以NT Authority\System权限运行。

image5.png

Viewfinity

在为某客户做测试时,我使用owerUp等工具进行初始探测后并没有任何的发现。因此,我决定最先手动查看。根据以往的经验,我起首观察的就是当前运行的进程。或许我能找到一个0day,因为我有充足的时间以及耐性去一一的测试这些服务。一番阅读后,一个Viewfinity的进程引起了我的注意。这是一个权限治理软件,与Software Center有些不同,因为它可以用于黑名单、白名单以及特权抬举。

起初,我并不知道这个软件,当我阅读文件体系时,我看到一个名为vf_elevate.exe的可执行文件。经过一番研究后,我找到了设置文件,并试图搞清楚这个程序是怎么样工作的。下图是该设置文件的片段截图。

image6.png

由于在多个地位引用了组以及权限,因此XML难以导航,我决定信任程序组名称。我下载了Sysinternals Process Explorer,和在设置文件中引用的Wireshark版本。这里,我没有使用上述SCCM中描摹的要领。而是按照通常的做法,装置Wireshark并立即启动了它。

image7.png

通过Process Explorer我们可以看到,该进程的Integrity Level为high,这说明它具有完备的治理员权限,但当前仍以低权限用户身份运行。这与Software Center的举动方式不同。我没法确定Viewfinity使用什么机制来抬举权限(要是你知道,可以在Twitter上告诉我)。

image8.png

在捣鼓Wireshark时,我几乎尝试了所有的可能性,例如使用关上或导出对话框启动cmd。我发现从这些对话框中启动的任何内容都将以medium等级运行,并且不会继承Wireshark的权限。荣幸的是,这里有一个Lua脚本控制台被内置在Wireshark中。我使用Lua启动了cmd,可以看到它的进程启动级别为high,这至关于我获取了一个具有治理员权限的shell。

image9.pngimage12.png

为了验证我当前的运行身份,我创建了一个用户,并将他们添加到内陆治理员组中。

image10.png

使用net user命令查看用户列表,可以看到新创建的用户以成功被添加至治理员组。

image11.png

*参考来源:ninja, secist 编译,,工控黑客

您可能还会对下面的文章感兴趣: