Writable Sys Path +Dll Hijacking Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Introduction

もしあなたがシステムパスフォルダーに書き込むことができることを発見した場合（ユーザーパスフォルダーに書き込むことができる場合は機能しないことに注意）、システム内で特権を昇格させることができる可能性があります。

そのためには、Dll Hijackingを悪用することができ、あなたよりもより多くの特権を持つサービスやプロセスによって読み込まれるライブラリをハイジャックします。そして、そのサービスがおそらくシステム全体に存在しないDllを読み込もうとしているため、書き込むことができるシステムパスからそれを読み込もうとします。

Dll Hijackingとは何かについての詳細は、以下を確認してください：

Dll Hijacking

Privesc with Dll Hijacking

Finding a missing Dll

最初に必要なのは、あなたよりも多くの特権を持つプロセスを特定することで、そのプロセスがあなたが書き込むことができるシステムパスからDllを読み込もうとしていることです。

この場合の問題は、おそらくそれらのプロセスはすでに実行中であることです。サービスが不足しているDllを見つけるために、プロセスが読み込まれる前にできるだけ早くprocmonを起動する必要があります。したがって、不足している.dllを見つけるために、次のことを行います：

フォルダーC:\privesc_hijackingを作成し、パスC:\privesc_hijackingをシステムパス環境変数に追加します。これを手動またはPSで行うことができます：

# Set the folder path to create and check events for
$folderPath = "C:\privesc_hijacking"

# Create the folder if it does not exist
if (!(Test-Path $folderPath -PathType Container)) {
New-Item -ItemType Directory -Path $folderPath | Out-Null
}

# Set the folder path in the System environment variable PATH
$envPath = [Environment]::GetEnvironmentVariable("PATH", "Machine")
if ($envPath -notlike "*$folderPath*") {
$newPath = "$envPath;$folderPath"
[Environment]::SetEnvironmentVariable("PATH", $newPath, "Machine")
}

procmon を起動し、Options --> Enable boot logging に移動し、プロンプトで OK を押します。
その後、再起動します。コンピュータが再起動すると、procmon はすぐにイベントの記録を開始します。
Windows が 起動したら procmon を再度実行します。実行中であることを知らせ、イベントをファイルに保存するかどうかを 尋ねます。はいと答え、イベントをファイルに保存します。
ファイル が 生成されたら、開いている procmon ウィンドウを閉じ、イベントファイル を 開きます。
これらの フィルター を追加すると、書き込み可能なシステムパスフォルダーから プロセスが読み込もうとした すべてのDllが見つかります：

見逃したDll

無料の 仮想（vmware）Windows 11マシン でこれを実行したところ、以下の結果が得られました：

この場合、.exe は無駄なので無視してください。見逃したDLLは以下のものでした：

サービス Dll CMDライン

サービス	Dll	CMDライン
タスクスケジューラ (Schedule)	WptsExtensions.dll	`C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule`
診断ポリシーサービス (DPS)	Unknown.DLL	`C:\Windows\System32\svchost.exe -k LocalServiceNoNetwork -p -s DPS`
???	SharedRes.dll	`C:\Windows\system32\svchost.exe -k UnistackSvcGroup`

タスクスケジューラ (Schedule)

WptsExtensions.dll

C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule

診断ポリシーサービス (DPS)

Unknown.DLL

C:\Windows\System32\svchost.exe -k LocalServiceNoNetwork -p -s DPS

???

SharedRes.dll

C:\Windows\system32\svchost.exe -k UnistackSvcGroup

これを見つけた後、WptsExtensions.dllを利用して特権昇格する方法を説明している興味深いブログ記事を見つけました。これが今から 行うこと です。

悪用

したがって、特権を昇格させるために、ライブラリ WptsExtensions.dll をハイジャックします。パスと名前が分かれば、悪意のあるdllを生成するだけです。

これらの例のいずれかを使用してみることができます。リバースシェルを取得したり、ユーザーを追加したり、ビーコンを実行したりするペイロードを実行できます...

すべてのサービスが NT AUTHORITY\SYSTEM で実行されているわけではなく、一部は NT AUTHORITY\LOCAL SERVICE で実行されており、権限が少ないため、新しいユーザーを作成することはできません。ただし、そのユーザーには seImpersonate 権限があるため、ポテトスイートを使用して特権を昇格させることができます。したがって、この場合、リバースシェルはユーザーを作成しようとするよりも良い選択です。

執筆時点で タスクスケジューラ サービスは Nt AUTHORITY\SYSTEM で実行されています。

悪意のあるDllを生成した後（私の場合はx64リバースシェルを使用し、シェルを取得しましたが、msfvenomからのものであるためDefenderに殺されました）、書き込み可能なシステムパスに WptsExtensions.dll という名前で保存し、コンピュータを再起動します（またはサービスを再起動するか、影響を受けたサービス/プログラムを再実行するために必要なことを行います）。

サービスが再起動されると、dllが読み込まれ実行されるはずです（procmon トリックを再利用して、**ライブラリが期待通りに読み込まれたかどうかを確認できます）。

HackTricksをサポートする

サブスクリプションプランを確認してください！
💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

PreviousDll Hijacking NextDPAPI - Extracting Passwords

Last updated 4 months ago