溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本篇文章為大家展示了什么是Windows Rid劫持技術,內容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細介紹希望你能有所收獲。
大家好,今天給大家分享的是一個Msf框架中關于后滲透階段的模塊,這個模塊有趣的地方在于,它在某種程度上來說是完全隱形的。開發者把這種技術叫Windows Rid劫持。
首先我們簡單了解下該技術所針對的核心——RID。Windows都使用安全帳戶管理器(SAM)來存儲本地用戶和內置帳戶的安全描述符。正如“安全主管如何工作”(鏈接https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc779144(v=ws.10))中所述,每個帳戶都有一個指定的RID來標識它。與域控制器不同,Windows工作站和服務器會將大部分數據存儲在HKLM\SAM\SAM\Domains\Account\Users項中,這需要訪問System權限。
有時候,在某些環境中維持訪問權限是相當棘手的,特別是在不可能執行諸如創建或將用戶添加到管理員組、轉儲用戶的憑據或散列哈希、部署持久的shell或任何可能觸發對受害者發出警報的任何東西時。只有使用系統資源才能持久化的訪問,那么還有什么更方便的呢?
msf中的rid劫持模塊實現了這一點。Rid_Hijack模塊是一個關于后滲透階段用來維持權限的模塊,該模塊將通過修改現有帳戶的某些屬性在目標系統上創建一個條目。它將通過設置一個相對標識符(RID)來更改帳戶屬性,該標識符應由目標機器上的一個現有賬戶擁有。利用一些Windows本地用戶管理完整性的缺陷,該模塊將允許使用一個已知帳戶憑證(如GUEST帳戶)進行身份驗證,并使用另一個現有帳戶(如Administrator帳戶)的權限進行訪問,即使禁用了Administrator賬戶。模塊在MSF中名字為post/windows/manage/rid_hijack,如果沒有下載的話可以去rapid7的github倉庫中下載放在相應目錄下啟動Msfconsole后輸入“reload_all”便可在msf中使用。鏈接如下: https://github.com/rapid7/metasploit-framework/pull/9595
Rid劫持模塊會自動的將攻擊者與受害者的任何現有帳戶相關聯。在模塊執行后是非常正常的,因為hashdump和wmic命令加載lsass.exe模塊執行之前運行的用戶信息和其他進程。另一方面,當以任何人登錄到機器時,通過使用由模塊修改的注冊表鍵來獲得特權。此模塊不會更改它所在的所有注冊表項中的用戶的RID,但只能在導致完整性問題被利用的一個注冊表項中。這意味著它不會將所有系統數據中的RID從一個更改為另一個(例如在你的情況下,從501到500),這就是為什么這個攻擊是完全隱秘的。
Windows XP,2003.(32位)
Windows 8.1專業版。(64位)
Windows 10.(64位)
Windows Server 2012.(64位)
該模塊未經過測試,但可能適用于:?其他版本的Windows(x86和x64)
這個模塊的工作原理就是在Windows受害者上建立一個meterpreter會話。它將嘗試查看權限(并在需要時獲取它們)并修改與指定帳戶關聯的注冊表項。靶機IP:192.168.192.128 操作系統為win7 64位。(測試賬戶5ecurity本身為普通權限)
該模塊的利用基礎是建立在拿到目標系統的meterpreter會話之后的,所以首先需要拿到目標系統的meterpreter會話。
加載msf中自帶的mimikatz模塊,用于抓取目標系統中的明文密碼。
通過wgigest命令抓取普通賬戶5ecurity的密碼為5ecurity。然后加載我們文中的主要利用模塊。
輸入Show options獲取所需配置的參數。的簡要說明:?GETSYSTEM:如果為true,將嘗試獲取目標系統的SYSTEM權限。?GUEST_ACCOUNT:如果為true,將使用目標系統用戶帳戶作為攻擊者的帳戶。?RID:將分配給攻擊者帳戶的RID。這個值應該由一個現有賬戶擁有,意圖被劫持。默認設置為 500 。?USERNAME:設置后,將用作生效的用戶帳戶,并將其視為攻擊者帳戶。如果參數GUEST_ACCOUNT被指定,這個參數將被忽略。?PASSWORD:設置后,它會將帳戶密碼設置為該值。我們將需要配置的參數一一配置,指定meterpreter會話的session id給Rid劫持模塊。
運行模塊,可以看到模塊運行的很順利。
然后通過我們抓取到的普通權限賬號5ecurity登錄,就可以發現一些神奇的地方。
再進行一些其他命令的操作確定自己的權限。
使用普通權限的5ecurity賬戶在system32目錄下成功進行寫入操作。完成Rid劫持。
上述內容就是什么是Windows Rid劫持技術,你們學到知識或技能了嗎?如果還想學到更多技能或者豐富自己的知識儲備,歡迎關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
