Privilege Escalation with Autoruns
Bug bounty wenk: teken aan vir Intigriti, 'n premium bug bounty platform geskep deur hackers, vir hackers! Sluit by ons aan by https://go.intigriti.com/hacktricks vandag, en begin om belonings tot $100,000 te verdien!
WMIC
Wmic kan gebruik word om programme by opstart uit te voer. Sien watter binêre lêers geprogrammeer is om by opstart uit te voer met:
Beplande Take
Take kan geskeduleer word om met 'n sekere frekwensie uit te voer. Sien watter binêre lêers geskeduleer is om uit te voer met:
Lêers
Alle bineêre lêers wat in die Beginlêers geleë is, sal uitgevoer word met die begin van die rekenaar. Die algemene beginlêers is diegene wat hieronder gelys word, maar die beginlêer word in die register aangedui. Lees hierdie om te leer waar.
Registre
Nota vanaf hier: Die Wow6432Node registreerinskrywing dui daarop dat jy 'n 64-bietjie Windows-weergawe hardloop. Die bedryfstelsel gebruik hierdie sleutel om 'n afsonderlike aansig van HKEY_LOCAL_MACHINE\SOFTWARE vir 32-bietjie toepassings wat op 64-bietjie Windows-weergawes loop, te vertoon.
Hardloop
Algemeen bekende AutoRun-registreer:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Wow6432Npde\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
Registreersleutels wat bekend staan as Run en RunOnce is ontwerp om outomaties programme uit te voer elke keer as 'n gebruiker by die stelsel aanteken. Die opdraglyn wat as 'n sleutel se datawaarde toegewys is, is beperk tot 260 karakters of minder.
Dienshardloop (kan outomatiese aanvang van dienste tydens opstart beheer):
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServices
RunOnceEx:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx
Op Windows Vista en latere weergawes word die Run en RunOnce registreersleutels nie outomaties gegenereer nie. Inskrywings in hierdie sleutels kan of direk programme begin of hulle as afhanklikhede spesifiseer. Byvoorbeeld, om 'n DLL-lêer by aanmelding te laai, kan die RunOnceEx registreersleutel saam met 'n "Depend" sleutel gebruik word. Dit word gedemonstreer deur 'n registreerinskrywing by te voeg om "C:\temp\evil.dll" tydens die stelselopstart uit te voer:
Uitbuiting 1: As jy binne enige van die genoemde register binne HKLM kan skryf, kan jy voorregte eskaleer wanneer 'n ander gebruiker inteken.
Uitbuiting 2: As jy enige van die binêre lêers wat op enige van die register binne HKLM aangedui word, kan oorskryf, kan jy daardie binêre lêer met 'n agterdeur wysig wanneer 'n ander gebruiker inteken en voorregte eskaleer.
Beginpad
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Skakels geplaas in die Begin-map sal outomaties dienste of toepassings laat begin tydens gebruiker aanmelding of stelselherlaai. Die ligging van die Begin-map is in die register vir beide die Plaaslike Masjien en Huidige Gebruiker scopes gedefinieer. Dit beteken dat enige skakel wat by hierdie gespesifiseerde Begin-liggings gevoeg word, sal verseker dat die gekoppelde diens of program begin tydens die aanmelding of herlaaiproses, wat dit 'n eenvoudige metode maak om programme outomaties te skeduleer om te hardloop.
As jy enige [Gebruiker] Skelmap onder HKLM kan oorskryf, sal jy dit kan rig na 'n deur jou beheerde map en 'n agterdeur plaas wat enige tyd uitgevoer sal word wanneer 'n gebruiker in die stelsel aanmeld en voorregte eskaleer.
Winlogon-sleutels
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Gewoonlik is die Userinit-sleutel ingestel op userinit.exe. Indien hierdie sleutel egter gewysig word, sal die gespesifiseerde uitvoerbare lêer ook deur Winlogon geopen word wanneer 'n gebruiker aanmeld. Op soortgelyke wyse is die Shell-sleutel bedoel om na explorer.exe te verwys, wat die verstek-skyf vir Windows is.
As jy die registerwaarde of die binêre lêer kan oorskryf, sal jy in staat wees om voorregte te eskaleer.
Beleidsinstellings
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Kyk na die Run sleutel.
Alternatiewe Skel
Verandering van die Veilige Modus-opdragprompt
In die Windows-register onder HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
, is daar 'n AlternateShell
waarde wat standaard na cmd.exe
ingestel is. Dit beteken wanneer jy "Veilige Modus met Opdragprompt" kies tydens opstart (deur F8 te druk), word cmd.exe
gebruik. Dit is egter moontlik om jou rekenaar so in te stel dat dit outomaties in hierdie modus begin sonder om F8 te druk en dit handmatig te kies.
Stappe om 'n opstartopsie te skep om outomaties in "Veilige Modus met Opdragprompt" te begin:
Verander die eienskappe van die
boot.ini
lêer om die skryfbeskerming, stelsel, en versteekte vlae te verwyder:attrib c:\boot.ini -r -s -h
Maak
boot.ini
oop vir redigering.Voeg 'n lyn soos hierdie in:
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /SAFEBOOT:MINIMAL(ALTERNATESHELL)
Stoor veranderinge aan
boot.ini
.Herstel die oorspronklike lêereienskappe:
attrib c:\boot.ini +r +s +h
Uitbuiting 1: Die verandering van die AlternateShell register sleutel maak aanpasbare opset van 'n opdragskel moontlik, moontlik vir ongemagtigde toegang.
Uitbuiting 2 (PAD Skryfregte): Om skryfregte te hê na enige deel van die stelsel se PAD veranderlike, veral voor
C:\Windows\system32
, laat jou toe om 'n aangepastecmd.exe
uit te voer, wat 'n agterdeur kan wees as die stelsel in Veilige Modus begin.Uitbuiting 3 (PAD en boot.ini Skryfregte): Skryftoegang tot
boot.ini
maak outomatiese Veilige Modus-opstart moontlik, wat ongemagtigde toegang op die volgende herlaaiing fasiliteer.
Om die huidige AlternateShell instelling te kontroleer, gebruik hierdie opdragte:
Geïnstalleerde Komponent
Active Setup is 'n kenmerk in Windows wat geïnisieer word voordat die lessenaar-omgewing heeltemal gelaai is. Dit gee prioriteit aan die uitvoering van sekere opdragte wat moet voltooi word voordat die gebruiker se aanmelding voortgaan. Hierdie proses vind selfs plaas voordat ander aanvanginskrywings, soos dié in die Run of RunOnce registerafdelings, geaktiveer word.
Active Setup word bestuur deur die volgende register sleutels:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKCU\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components
Binne hierdie sleutels bestaan verskeie sub-sleutels, elk wat ooreenstem met 'n spesifieke komponent. Sleutelwaardes van besondere belang sluit in:
IsInstalled:
0
dui aan dat die komponent se opdrag nie uitgevoer sal word nie.1
beteken die opdrag sal een keer vir elke gebruiker uitgevoer word, wat die verstekgedrag is as dieIsInstalled
-waarde ontbreek.
StubPath: Definieer die opdrag wat deur Active Setup uitgevoer moet word. Dit kan enige geldige opdraglyn wees, soos die begin van
notepad
.
Sekuriteitsinsigte:
Die wysiging of skryf na 'n sleutel waar
IsInstalled
op"1"
ingestel is met 'n spesifiekeStubPath
kan lei tot ongemagtigde opdraguitvoering, moontlik vir voorreg-escalasie.Die verandering van die binêre lêer waarna verwys word in enige
StubPath
-waarde kan ook voorreg-escalasie bereik, mits voldoende regte beskikbaar is.
Om die StubPath
-konfigurasies oor Active Setup komponente te ondersoek, kan hierdie opdragte gebruik word:
Browser Helper Objects
Oorsig van Browser Helper Objects (BHO's)
Browser Helper Objects (BHO's) is DLL-modules wat ekstra kenmerke byvoeg aan Microsoft se Internet Explorer. Hulle laai in Internet Explorer en Windows Explorer by elke begin. Tog kan hulle uitgevoer word deur die NoExplorer sleutel na 1 te stel, wat voorkom dat hulle saam met Windows Explorer-instanties laai.
BHO's is versoenbaar met Windows 10 via Internet Explorer 11, maar word nie ondersteun in Microsoft Edge nie, die verstekblaaier in nuwer weergawes van Windows.
Om BHO's wat op 'n stelsel geregistreer is te verken, kan jy die volgende register sleutels ondersoek:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Elke BHO word verteenwoordig deur sy CLSID in die register, wat as 'n unieke identifiseerder dien. Gedetailleerde inligting oor elke CLSID kan gevind word onder HKLM\SOFTWARE\Classes\CLSID\{<CLSID>}
.
Vir die ondervraging van BHO's in die register, kan hierdie opdragte gebruik word:
Internet Explorer-uitbreidings
HKLM\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions
Merk op dat die register vir elke dll 1 nuwe register sal bevat en dit sal verteenwoordig word deur die CLSID. Jy kan die CLSID-inligting vind in HKLM\SOFTWARE\Classes\CLSID\{<CLSID>}
Lettertipe-bestuurders
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Font Drivers
Oop Opdrag
HKLM\SOFTWARE\Classes\htmlfile\shell\open\command
HKLM\SOFTWARE\Wow6432Node\Classes\htmlfile\shell\open\command
Beeldlêer Uitvoeringsopsies
SysInternals
Let wel dat alle plekke waar jy autoruns kan vind reeds deursoek is deur winpeas.exe. Nietemin, vir 'n meer omvattende lys van outomaties uitgevoerde lêers kan jy autoruns van SysInternals gebruik:
Meer
Vind meer Autoruns soos registries in https://www.microsoftpressstore.com/articles/article.aspx?p=2762082&seqNum=2
Verwysings
Bug bounty wenk: teken aan vir Intigriti, 'n premium bug bounty platform geskep deur hackers, vir hackers! Sluit by ons aan by https://go.intigriti.com/hacktricks vandag, en begin om belonings te verdien tot $100,000!
Last updated