Writable Sys Path +Dll Hijacking Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Introduction

もしあなたがシステムパスフォルダーに書き込むことができることを発見した場合（ユーザーパスフォルダーに書き込むことができる場合は機能しません）、システム内で権限を昇格させることができる可能性があります。

そのためには、Dll Hijackingを悪用することができ、あなたよりも権限の高いサービスやプロセスによって読み込まれるライブラリをハイジャックします。そして、そのサービスがおそらくシステム全体に存在しないDllを読み込もうとしているため、書き込むことができるシステムパスからそれを読み込もうとします。

Dll Hijackingとは何かについての詳細は、以下を確認してください：

Privesc with Dll Hijacking

Finding a missing Dll

最初に必要なのは、あなたよりも権限の高いプロセスを特定することです。そのプロセスは、あなたが書き込むことができるシステムパスからDllを読み込もうとしている必要があります。

この場合の問題は、おそらくそれらのプロセスはすでに実行中であることです。サービスが不足しているDllを見つけるためには、プロセスが読み込まれる前にできるだけ早くprocmonを起動する必要があります。したがって、不足している.dllを見つけるために、次のことを行います：

フォルダーC:\privesc_hijackingを作成し、パスC:\privesc_hijackingをシステムパス環境変数に追加します。これを手動またはPSで行うことができます：

# Set the folder path to create and check events for
$folderPath = "C:\privesc_hijacking"

# Create the folder if it does not exist
if (!(Test-Path $folderPath -PathType Container)) {
New-Item -ItemType Directory -Path $folderPath | Out-Null
}

# Set the folder path in the System environment variable PATH
$envPath = [Environment]::GetEnvironmentVariable("PATH", "Machine")
if ($envPath -notlike "*$folderPath*") {
$newPath = "$envPath;$folderPath"
[Environment]::SetEnvironmentVariable("PATH", $newPath, "Machine")
}

procmon を起動し、Options --> Enable boot logging に移動し、プロンプトで OK を押します。
その後、再起動します。コンピュータが再起動すると、procmon はすぐにイベントの記録を開始します。
Windows が 起動したら procmon を再度実行します。実行中であることが表示され、イベントをファイルに保存するかどうかを 尋ねられます。はいと答え、イベントをファイルに保存します。
ファイル が 生成されたら、開いている procmon ウィンドウを閉じ、イベントファイル を 開きます。
これらの フィルター を追加すると、書き込み可能なシステムパスフォルダーから プロセスが読み込もうとした すべてのDllが見つかります：

見逃したDlls

無料の 仮想（vmware）Windows 11マシン でこれを実行したところ、次の結果が得られました：

この場合、.exe は無駄なので無視してください。見逃したDLLは次のものでした：

サービス

Dll

CMDライン

タスクスケジューラ (Schedule)

WptsExtensions.dll

C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule

診断ポリシーサービス (DPS)

Unknown.DLL

C:\Windows\System32\svchost.exe -k LocalServiceNoNetwork -p -s DPS

???

SharedRes.dll

C:\Windows\system32\svchost.exe -k UnistackSvcGroup

これを見つけた後、WptsExtensions.dllを悪用して特権昇格する方法を説明している興味深いブログ記事を見つけました。これが今から 行うことです。

悪用

したがって、特権を昇格させるために、ライブラリ WptsExtensions.dll をハイジャックします。パスと名前がわかれば、悪意のあるdllを生成するだけです。

これらの例のいずれかを使用してみることができます。リバースシェルを取得したり、ユーザーを追加したり、ビーコンを実行したりするペイロードを実行できます...

すべてのサービスが NT AUTHORITY\SYSTEM で実行されているわけではなく、一部は NT AUTHORITY\LOCAL SERVICE で実行されており、権限が少ないため、新しいユーザーを作成することはできません。ただし、そのユーザーには seImpersonate 権限があるため、ポテトスイートを使用して特権を昇格することができます。したがって、この場合、リバースシェルはユーザーを作成しようとするよりも良い選択です。

執筆時点で、タスクスケジューラ サービスは Nt AUTHORITY\SYSTEM で実行されています。

悪意のあるDllを生成した後（私の場合はx64リバースシェルを使用し、シェルを取得しましたが、msfvenomからのものであるため、Defenderに殺されました）、書き込み可能なシステムパスに WptsExtensions.dll という名前で保存し、コンピュータを 再起動 します（またはサービスを再起動するか、影響を受けたサービス/プログラムを再実行するために必要なことを行います）。

サービスが再起動されると、dllが読み込まれ、実行されるはずです（procmon トリックを再利用して、**ライブラリが期待通りに読み込まれたかどうかを確認できます）。

HackTricksをサポートする

サブスクリプションプランを確認してください！
💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

PreviousDll Hijacking NextDPAPI - Extracting Passwords

Last updated 1 day ago