Privilege Escalation with Autoruns
Bug bounty ipucu: Intigriti'ye kaydolun, hackerlar tarafından, hackerlar için oluşturulmuş bir premium bug bounty platformu! Bugün https://go.intigriti.com/hacktricks adresine katılın ve $100,000'a kadar ödüller kazanmaya başlayın!
WMIC
Wmic, başlangıçta programları çalıştırmak için kullanılabilir. Hangi ikili dosyaların başlangıçta çalışacak şekilde programlandığını görmek için:
Planlanmış Görevler
Görevler, belirli bir sıklıkla çalışacak şekilde planlanabilir. Hangi ikili dosyaların çalışacak şekilde planlandığını görmek için:
Klasörler
Başlangıç klasörlerinde bulunan tüm ikili dosyalar, başlangıçta çalıştırılacaktır. Yaygın başlangıç klasörleri aşağıda listelenmiştir, ancak başlangıç klasörü kayıt defterinde belirtilmiştir. Nerede olduğunu öğrenmek için bunu okuyun.
Kayıt Defteri
Buradan not: Wow6432Node kayıt defteri girişi, 64-bit bir Windows sürümü çalıştırdığınızı gösterir. İşletim sistemi, 64-bit Windows sürümlerinde çalışan 32-bit uygulamalar için HKEY_LOCAL_MACHINE\SOFTWARE'ün ayrı bir görünümünü göstermek için bu anahtarı kullanır.
Çalıştırmalar
Yaygın olarak bilinen AutoRun kayıt defteri:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceHKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunHKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnceHKCU\Software\Microsoft\Windows\CurrentVersion\RunHKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceHKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunHKCU\Software\Wow6432Npde\Microsoft\Windows\CurrentVersion\RunOnceHKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceHKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
Run ve RunOnce olarak bilinen kayıt defteri anahtarları, her kullanıcı sisteme giriş yaptığında programları otomatik olarak çalıştırmak için tasarlanmıştır. Bir anahtarın veri değeri olarak atanan komut satırı 260 karakter veya daha az ile sınırlıdır.
Hizmet çalıştırmaları (açılış sırasında hizmetlerin otomatik başlatılmasını kontrol edebilir):
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnceHKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnceHKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesHKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesHKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnceHKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnceHKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServicesHKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServices
RunOnceEx:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceExHKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx
Windows Vista ve sonraki sürümlerde, Run ve RunOnce kayıt defteri anahtarları otomatik olarak oluşturulmaz. Bu anahtarlardaki girişler ya doğrudan programları başlatabilir ya da bunları bağımlılık olarak belirtebilir. Örneğin, bir DLL dosyasını oturum açıldığında yüklemek için, RunOnceEx kayıt defteri anahtarını "Depend" anahtarı ile birlikte kullanabilirsiniz. Bu, sistem başlangıcında "C:\temp\evil.dll" dosyasını çalıştırmak için bir kayıt defteri girişi ekleyerek gösterilmektedir:
Exploit 1: Eğer HKLM içindeki belirtilen kayıt defterlerinden birine yazabiliyorsanız, farklı bir kullanıcı oturum açtığında ayrıcalıkları artırabilirsiniz.
Exploit 2: Eğer HKLM içindeki kayıt defterlerinden herhangi birinde belirtilen ikili dosyalardan birini üzerine yazabiliyorsanız, farklı bir kullanıcı oturum açtığında o ikili dosyayı bir arka kapı ile değiştirebilir ve ayrıcalıkları artırabilirsiniz.
Başlangıç Yolu
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell FoldersHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell FoldersHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell FoldersHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Başlangıç klasörüne yerleştirilen kısayollar, kullanıcı oturumu açıldığında veya sistem yeniden başlatıldığında hizmetlerin veya uygulamaların otomatik olarak başlatılmasını tetikler. Başlangıç klasörünün konumu, hem Yerel Makine hem de Geçerli Kullanıcı kapsamları için kayıt defterinde tanımlanmıştır. Bu, belirtilen Başlangıç konumlarına eklenen her kısayolun, bağlantılı hizmetin veya programın oturum açma veya yeniden başlatma sürecinin ardından başlatılmasını sağlayacağı anlamına gelir; bu da programların otomatik olarak çalıştırılmasını planlamak için basit bir yöntemdir.
Eğer HKLM altında herhangi bir [Kullanıcı] Shell Klasörünü geçersiz kılabiliyorsanız, bunu kontrol ettiğiniz bir klasöre yönlendirebilir ve bir arka kapı yerleştirerek, bir kullanıcı sisteme giriş yaptığında bu arka kapının çalıştırılmasını sağlayabilirsiniz.
Winlogon Anahtarları
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Genellikle, Userinit anahtarı userinit.exe olarak ayarlanmıştır. Ancak, bu anahtar değiştirilirse, belirtilen çalıştırılabilir dosya kullanıcı oturumu açıldığında Winlogon tarafından da başlatılacaktır. Benzer şekilde, Shell anahtarı Windows'un varsayılan kabuğu olan explorer.exe'ye işaret etmek için tasarlanmıştır.
Eğer kayıt defteri değerini veya ikili dosyayı yazabilirseniz, yetkileri artırabileceksiniz.
Politika Ayarları
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ExplorerHKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Çalıştır anahtarını kontrol edin.
AlternateShell
Güvenli Mod Komut İstemcisini Değiştirme
Windows Kayıt Defteri'nde HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot altında, varsayılan olarak cmd.exe olarak ayarlanmış bir AlternateShell değeri bulunmaktadır. Bu, başlangıçta "Komut İstemcisi ile Güvenli Mod" seçeneğini seçtiğinizde (F8 tuşuna basarak) cmd.exe'nin kullanıldığı anlamına gelir. Ancak, bilgisayarınızı bu moda otomatik olarak başlatacak şekilde ayarlamak mümkündür; böylece F8'e basıp manuel olarak seçmenize gerek kalmaz.
"Komut İstemcisi ile Güvenli Mod"da otomatik olarak başlatmak için bir önyükleme seçeneği oluşturma adımları:
boot.inidosyasının özelliklerini, salt okunur, sistem ve gizli bayrakları kaldıracak şekilde değiştirin:attrib c:\boot.ini -r -s -hboot.inidosyasını düzenlemek için açın.Aşağıdaki gibi bir satır ekleyin:
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /SAFEBOOT:MINIMAL(ALTERNATESHELL)boot.inidosyasındaki değişiklikleri kaydedin.Orijinal dosya özelliklerini yeniden uygulayın:
attrib c:\boot.ini +r +s +h
Exploit 1: AlternateShell kayıt defteri anahtarını değiştirmek, yetkisiz erişim için potansiyel olarak özel komut kabuğu ayarlamaya olanak tanır.
Exploit 2 (PATH Yazma İzinleri): Sistem PATH değişkeninin herhangi bir bölümünde yazma izinlerine sahip olmak, özellikle
C:\Windows\system32'den önce, özel bircmd.exeçalıştırmanıza olanak tanır; bu, sistem Güvenli Mod'da başlatıldığında bir arka kapı olabilir.Exploit 3 (PATH ve boot.ini Yazma İzinleri):
boot.inidosyasına yazma erişimi, otomatik Güvenli Mod başlatmayı sağlar ve bir sonraki yeniden başlatmada yetkisiz erişimi kolaylaştırır.
Mevcut AlternateShell ayarını kontrol etmek için bu komutları kullanın:
Yüklenmiş Bileşen
Active Setup, Windows'ta masaüstü ortamı tamamen yüklenmeden önce başlatılan bir özelliktir. Kullanıcı oturumu devam etmeden önce tamamlanması gereken belirli komutların yürütülmesine öncelik verir. Bu işlem, Run veya RunOnce kayıt defteri bölümlerindeki diğer başlangıç girişleri tetiklenmeden önce bile gerçekleşir.
Active Setup, aşağıdaki kayıt defteri anahtarları aracılığıyla yönetilmektedir:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed ComponentsHKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed ComponentsHKCU\SOFTWARE\Microsoft\Active Setup\Installed ComponentsHKCU\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components
Bu anahtarlar içinde, her biri belirli bir bileşene karşılık gelen çeşitli alt anahtarlar bulunmaktadır. Özellikle ilgi çekici anahtar değerleri şunlardır:
IsInstalled:
0, bileşenin komutunun yürütülmeyeceğini gösterir.1, komutun her kullanıcı için bir kez yürütüleceği anlamına gelir; bu,IsInstalleddeğeri eksikse varsayılan davranıştır.StubPath: Active Setup tarafından yürütülecek komutu tanımlar.
notepadgibi geçerli bir komut satırı olabilir.
Güvenlik İçgörüleri:
IsInstalleddeğeri"1"olarak ayarlanmış bir anahtarı belirli birStubPathile değiştirmek veya yazmak, yetkisiz komut yürütülmesine yol açabilir ve bu da ayrıcalık yükseltmesine neden olabilir.Herhangi bir
StubPathdeğerinde referans verilen ikili dosyanın değiştirilmesi de yeterli izinler varsa ayrıcalık yükseltmesine ulaşabilir.
Active Setup bileşenleri arasındaki StubPath yapılandırmalarını incelemek için bu komutlar kullanılabilir:
Tarayıcı Yardımcı Nesneleri
Tarayıcı Yardımcı Nesneleri (BHO'lar) Genel Bakış
Tarayıcı Yardımcı Nesneleri (BHO'lar), Microsoft'un Internet Explorer'ına ekstra özellikler ekleyen DLL modülleridir. Her başlatmada Internet Explorer ve Windows Gezgini'ne yüklenirler. Ancak, NoExplorer anahtarını 1 olarak ayarlayarak yürütmeleri engellenebilir, bu da Windows Gezgini örnekleriyle yüklenmelerini önler.
BHO'lar, Windows 10 ile Internet Explorer 11 aracılığıyla uyumludur, ancak daha yeni Windows sürümlerinde varsayılan tarayıcı olan Microsoft Edge'de desteklenmezler.
Bir sistemde kayıtlı BHO'ları keşfetmek için aşağıdaki kayıt defteri anahtarlarını inceleyebilirsiniz:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper ObjectsHKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Her BHO, kayıt defterinde benzersiz bir tanımlayıcı olarak CLSID ile temsil edilir. Her CLSID hakkında ayrıntılı bilgi, HKLM\SOFTWARE\Classes\CLSID\{<CLSID>} altında bulunabilir.
Kayıt defterinde BHO'ları sorgulamak için bu komutlar kullanılabilir:
Internet Explorer Uzantıları
HKLM\Software\Microsoft\Internet Explorer\ExtensionsHKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions
Not edin ki, kayıt defteri her bir dll için 1 yeni kayıt içerecek ve bu CLSID ile temsil edilecektir. CLSID bilgilerini HKLM\SOFTWARE\Classes\CLSID\{<CLSID>} içinde bulabilirsiniz.
Font Sürücüleri
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font DriversHKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Font Drivers
Açık Komut
HKLM\SOFTWARE\Classes\htmlfile\shell\open\commandHKLM\SOFTWARE\Wow6432Node\Classes\htmlfile\shell\open\command
Görüntü Dosyası Çalıştırma Seçenekleri
SysInternals
Not edin ki, autorun bulabileceğiniz tüm siteler zaten winpeas.exe tarafından arama yapılmıştır. Ancak, otomatik olarak çalıştırılan dosyaların daha kapsamlı bir listesi için autoruns kullanabilirsiniz.
Daha Fazla
Kayıt defterlerinde olduğu gibi daha fazla Autorun bulmak için https://www.microsoftpressstore.com/articles/article.aspx?p=2762082&seqNum=2
Referanslar
Hata ödülü ipucu: hackerlar tarafından, hackerlar için oluşturulmuş premium bir bug bounty platformu olan Intigriti'ye kaydolun! Bugün https://go.intigriti.com/hacktricks adresine katılın ve $100,000'a kadar ödüller kazanmaya başlayın!
Last updated
