Privilege Escalation with Autoruns
Savet za bug bounty: registrujte se za Intigriti, premium platformu za bug bounty kreiranu od hakera, za hakere! Pridružite nam se na https://go.intigriti.com/hacktricks danas, i počnite da zarađujete nagrade do $100,000!
WMIC
Wmic se može koristiti za pokretanje programa pri pokretanju sistema. Pogledajte koje binarne datoteke su programirane da se pokrenu pri pokretanju sistema sa:
Planirani zadaci
Zadaci mogu biti zakazani da se pokrenu sa određenom učestalošću. Pogledajte koje binarne datoteke su zakazane za pokretanje sa:
Folderi
Svi binarni fajlovi smešteni u Folderima za pokretanje će biti izvršeni prilikom pokretanja sistema. Uobičajeni folderi za pokretanje su navedeni u nastavku, ali folder za pokretanje je naznačen u registru. Pročitajte ovde da saznate gde.
Registar
Napomena odavde: Unos Wow6432Node u registar ukazuje da koristite 64-bitnu verziju Windows-a. Operativni sistem koristi ovaj ključ da prikaže poseban prikaz HKEY_LOCAL_MACHINE\SOFTWARE za 32-bitne aplikacije koje se pokreću na 64-bitnim verzijama Windows-a.
Pokretanja
Opšte poznati AutoRun registri:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Wow6432Npde\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
Registarski ključevi poznati kao Run i RunOnce dizajnirani su da automatski izvršavaju programe svaki put kada se korisnik prijavi na sistem. Komandna linija dodeljena kao vrednost podataka ključa ograničena je na 260 ili manje karaktera.
Pokretanja servisa (mogu kontrolisati automatsko pokretanje servisa prilikom podizanja sistema):
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServices
RunOnceEx:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx
Na Windows Vista i novijim verzijama, registarski ključevi Run i RunOnce se ne generišu automatski. Unosi u ovim ključevima mogu direktno pokrenuti programe ili ih specificirati kao zavisnosti. Na primer, da bi se učitao DLL fajl prilikom prijavljivanja, mogao bi se koristiti registarski ključ RunOnceEx zajedno sa "Depend" ključem. Ovo je demonstrirano dodavanjem unosa u registar za izvršavanje "C:\temp\evil.dll" prilikom pokretanja sistema:
Eksploatacija 1: Ako možete pisati unutar bilo kog od navedenih registara unutar HKLM, možete eskalirati privilegije kada se drugi korisnik prijavi.
Eksploatacija 2: Ako možete prebrisati bilo koji od binarnih fajlova naznačenih u bilo kom od registara unutar HKLM, možete modifikovati taj binarni fajl sa zadnjim ulazom kada se drugi korisnik prijavi i eskalirate privilegije.
Putanja za pokretanje
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Prečice postavljene u Startup fascikli automatski će pokrenuti servise ili aplikacije prilikom prijavljivanja korisnika ili ponovnog pokretanja sistema. Lokacija Startup fascikle je definisana u registru za oba opsega, Lokalni računar i Trenutni korisnik. To znači da će bilo koja prečica dodata na ove određene lokacije Startup-a osigurati da povezani servis ili program startuje nakon procesa prijavljivanja ili ponovnog pokretanja, čineći to jednostavnim metodama za automatsko pokretanje programa.
Ako možete da prepišete bilo koji [User] Shell Folder pod HKLM, moći ćete da ga usmerite ka fascikli kojom upravljate i postavite zadnja vrata koja će biti izvršena svaki put kada se korisnik prijavi u sistem i tako povećate privilegije.
Winlogon ključevi
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Tipično, ključ Userinit je postavljen na userinit.exe. Međutim, ako je ovaj ključ izmenjen, navedeni izvršni fajl će takođe biti pokrenut od strane Winlogon-a prilikom prijavljivanja korisnika. Slično tome, ključ Shell treba da pokazuje na explorer.exe, koji je podrazumevani shell za Windows.
Ako možete prebrisati vrednost registra ili binarni fajl, bićete u mogućnosti da eskalirate privilegije.
Postavke politike
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Proverite Run ključ.
AlternateShell
Promena komande Sigurnog moda
U Windows registru pod HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
, podrazumevano je postavljena vrednost AlternateShell
na cmd.exe
. To znači da kada izaberete "Siguran mod sa komandnom linijom" prilikom pokretanja (pritiskom na F8), koristi se cmd.exe
. Međutim, moguće je podesiti računar da automatski počne u ovom režimu bez potrebe da pritisnete F8 i ručno ga izaberete.
Koraci za kreiranje opcije za automatsko pokretanje u "Sigurnom modu sa komandnom linijom":
Promenite atribute fajla
boot.ini
da biste uklonili read-only, system i hidden oznake:attrib c:\boot.ini -r -s -h
Otvorite
boot.ini
za uređivanje.Ubacite liniju kao što je:
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /SAFEBOOT:MINIMAL(ALTERNATESHELL)
Sačuvajte promene u
boot.ini
.Ponovo postavite originalne atribute fajla:
attrib c:\boot.ini +r +s +h
Eksploatacija 1: Menjanje ključa registra AlternateShell omogućava postavljanje prilagođene komandne linije, potencijalno za neovlašćen pristup.
Eksploatacija 2 (Dozvole za pisanje u PATH-u): Imajući dozvole za pisanje bilo gde u sistemu u PATH promenljivoj, posebno pre
C:\Windows\system32
, omogućava vam izvršavanje prilagođenogcmd.exe
, koji bi mogao biti tajni prolaz ako se sistem pokrene u Sigurnom modu.Eksploatacija 3 (Dozvole za pisanje u PATH-u i boot.ini): Pisanje pristupa
boot.ini
omogućava automatsko pokretanje Sigurnog moda, olakšavajući neovlašćen pristup pri sledećem ponovnom pokretanju.
Za proveru trenutnog podešavanja AlternateShell, koristite ove komande:
Instalirani komponent
Aktivni Setup je funkcija u Windows-u koja inicira pre nego što je okruženje radne površine potpuno učitano. Ona daje prioritet izvršavanju određenih komandi, koje moraju biti završene pre nego što se nastavi sa prijavljivanjem korisnika. Ovaj proces se dešava čak i pre nego što se pokrenu ostali unosi prilikom pokretanja, poput onih u sekcijama registra Run ili RunOnce.
Aktivni Setup se upravlja putem sledećih ključeva registra:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKCU\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components
Unutar ovih ključeva postoje različiti podključevi, od kojih svaki odgovara određenom komponentu. Ključne vrednosti od posebnog interesa uključuju:
IsInstalled:
0
označava da se komanda komponente neće izvršiti.1
znači da će se komanda izvršiti jednom za svakog korisnika, što je podrazumevano ponašanje ako vrednostIsInstalled
nedostaje.
StubPath: Definiše komandu koja će biti izvršena od strane Aktivnog Setup-a. Može biti bilo koja važeća komandna linija, poput pokretanja
notepad
.
Bezbednosni uvidi:
Menjanje ili pisanje u ključu gde je
IsInstalled
postavljen na"1"
sa određenimStubPath
može dovesti do neovlašćenog izvršavanja komandi, potencijalno za eskalaciju privilegija.Izmena binarnog fajla na koji se referiše u bilo kojoj vrednosti
StubPath
takođe može postići eskalaciju privilegija, uz dovoljne dozvole.
Za pregled konfiguracija StubPath
-a preko komponenti Aktivnog Setup-a, mogu se koristiti ove komande:
Browser Helper Objects
Pregled Browser Helper Objects (BHOs)
Browser Helper Objects (BHOs) su DLL moduli koji dodaju dodatne funkcije Microsoft-ovom Internet Explorer-u. Oni se učitavaju u Internet Explorer i Windows Explorer pri svakom pokretanju. Ipak, njihovo izvršavanje može biti blokirano postavljanjem NoExplorer ključa na 1, sprečavajući ih da se učitaju sa instancama Windows Explorera.
BHOs su kompatibilni sa Windows 10 putem Internet Explorer 11, ali nisu podržani u Microsoft Edge-u, podrazumevanom pregledaču u novijim verzijama Windows-a.
Da biste istražili BHO-e registrovane na sistemu, možete pregledati sledeće registarske ključeve:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Svaki BHO je predstavljen svojim CLSID-om u registru, koji služi kao jedinstveni identifikator. Detaljne informacije o svakom CLSID-u mogu se pronaći pod HKLM\SOFTWARE\Classes\CLSID\{<CLSID>}
.
Za upitivanje BHO-a u registru, mogu se koristiti sledeće komande:
Internet Explorer proširenja
HKLM\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions
Imajte na umu da će registar sadržati 1 novi registar za svaki dll i biće predstavljen CLSID-om. Informacije o CLSID-u možete pronaći u HKLM\SOFTWARE\Classes\CLSID\{<CLSID>}
Font drajveri
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Font Drivers
Otvori naredbu
HKLM\SOFTWARE\Classes\htmlfile\shell\open\command
HKLM\SOFTWARE\Wow6432Node\Classes\htmlfile\shell\open\command
Opcije izvršenja datoteka slike
SysInternals
Imajte na umu da su svi sajtovi na kojima možete pronaći autorun fajlove već pretraženi od strane winpeas.exe. Međutim, za detaljniju listu fajlova koji se automatski izvršavaju možete koristiti autoruns iz SysInternals-a:
Više
Pronađite više Autorun opcija poput registara na https://www.microsoftpressstore.com/articles/article.aspx?p=2762082&seqNum=2
Reference
Savet za bug bounty: Prijavite se za Intigriti, premium platformu za bug bounty kreiranu od hakera, za hakere! Pridružite nam se na https://go.intigriti.com/hacktricks danas, i počnite da zarađujete nagrade do $100,000!
Last updated