Writable Sys Path +Dll Hijacking Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Se hai scoperto che puoi scrivere in una cartella di System Path (nota che questo non funzionerà se puoi scrivere in una cartella di User Path) è possibile che tu possa escalare i privilegi nel sistema.
Per fare ciò puoi abusare di un Dll Hijacking dove andrai a dirottare una libreria che viene caricata da un servizio o processo con più privilegi dei tuoi, e poiché quel servizio sta caricando una Dll che probabilmente non esiste nemmeno nell'intero sistema, cercherà di caricarla dal System Path dove puoi scrivere.
Per ulteriori informazioni su cosa è il Dll Hijacking controlla:
Dll HijackingLa prima cosa di cui hai bisogno è identificare un processo in esecuzione con più privilegi di te che sta cercando di caricare una Dll dal System Path in cui puoi scrivere.
Il problema in questi casi è che probabilmente quei processi sono già in esecuzione. Per trovare quali Dll mancano ai servizi, devi avviare procmon il prima possibile (prima che i processi vengano caricati). Quindi, per trovare le .dll mancanti fai:
Crea la cartella C:\privesc_hijacking
e aggiungi il percorso C:\privesc_hijacking
alla variabile di ambiente System Path. Puoi farlo manualmente o con PS:
Avvia procmon
e vai su Options
--> Enable boot logging
e premi OK
nel prompt.
Poi, riavvia. Quando il computer si riavvia, procmon
inizierà a registrare eventi il prima possibile.
Una volta che Windows è avviato, esegui di nuovo procmon
, ti dirà che è stato in esecuzione e ti chiederà se vuoi memorizzare gli eventi in un file. Rispondi sì e memorizza gli eventi in un file.
Dopo che il file è stato generato, chiudi la finestra procmon
aperta e apri il file degli eventi.
Aggiungi questi filtri e troverai tutti i Dll che alcuni processi hanno cercato di caricare dalla cartella del percorso di sistema scrivibile:
Eseguendo questo su una macchina virtuale (vmware) Windows 11 gratuita ho ottenuto questi risultati:
In questo caso gli .exe sono inutili, quindi ignorali, le DLL mancanti erano da:
Task Scheduler (Pianificazione)
WptsExtensions.dll
C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule
Diagnostic Policy Service (DPS)
Unknown.DLL
C:\Windows\System32\svchost.exe -k LocalServiceNoNetwork -p -s DPS
???
SharedRes.dll
C:\Windows\system32\svchost.exe -k UnistackSvcGroup
Dopo aver trovato questo, ho trovato questo interessante post sul blog che spiega anche come abuse WptsExtensions.dll per privesc. Che è ciò che stiamo per fare ora.
Quindi, per escalare i privilegi stiamo per dirottare la libreria WptsExtensions.dll. Avendo il percorso e il nome dobbiamo solo generare la dll malevola.
Puoi provare a usare uno di questi esempi. Potresti eseguire payload come: ottenere una rev shell, aggiungere un utente, eseguire un beacon...
Nota che non tutti i servizi vengono eseguiti con NT AUTHORITY\SYSTEM
, alcuni vengono eseguiti anche con NT AUTHORITY\LOCAL SERVICE
che ha meno privilegi e non sarai in grado di creare un nuovo utente abusando delle sue autorizzazioni.
Tuttavia, quell'utente ha il privilegio seImpersonate
, quindi puoi usare il potato suite per escalare i privilegi. Quindi, in questo caso una rev shell è una migliore opzione rispetto a cercare di creare un utente.
Al momento della scrittura, il servizio Task Scheduler è eseguito con Nt AUTHORITY\SYSTEM.
Avendo generato la dll malevola (nel mio caso ho usato una rev shell x64 e ho ottenuto una shell di ritorno ma Defender l'ha uccisa perché proveniva da msfvenom), salvala nel percorso di sistema scrivibile con il nome WptsExtensions.dll e riavvia il computer (o riavvia il servizio o fai tutto il necessario per rieseguire il servizio/programma interessato).
Quando il servizio viene riavviato, la dll dovrebbe essere caricata ed eseguita (puoi riutilizzare il trucco procmon per controllare se la libreria è stata caricata come previsto).
Impara e pratica Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)