渗透技巧——Windows Token九种权限的利用

利用思路

• 创建驱动文件的注册表

reg add hkcuSystemCurrentControlSetCAPCOM /v ImagePath /t REG_SZ /d "??C:testCapcom.sys" 
reg add hkcuSystemCurrentControlSetCAPCOM /v Type /t REG_DWORD /d 1 

• 加载驱动文件Capcom.sys
• Capcom.sys存在漏洞，系统加载后，可从普通用户权限提升至System权限，利用代码可参考：https://github.com/tandasat/ExploitCapcom
• 获得System权限

可供参考的测试代码： https://github.com/3gstudent/Homework-of-C-Language/blob/master/EnableSeLoadDriverPrivilege.cpp

代码实现了开启当前进程的SeLoadDriverPrivilege权限，读取注册表项hkcuSystemCurrentControlSetCAPCOM，加载驱动文件Capcom.sys

0x0A SeTakeOwnershipPrivilege权限的利用思路

参考资料：

https://github.com/hatRiot/token-priv/blob/master/abusing_token_eop_1.0.txt#L688

SeTakeOwnershipPrivilege

同SeRestorePrivilege类似，对当前系统任意文件具有写权限

利用思路1

• 获得SeTakeOwnershipPrivilege权限，修改注册表HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
• 劫持exe文件的启动
• 实现提权或是作为后门

利用思路2

• 获得SeTakeOwnershipPrivilege权限，向任意路径写入dll文件
• 实现dll劫持
• 实现提权或是作为后门

可供参考的测试代码：

https://github.com/3gstudent/Homework-of-C-Language/blob/master/EnableSeTakeOwnershipPrivilege.cpp

代码实现了开启当前进程的SeTakeOwnershipPrivilege权限，修改注册表项hklmSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options的权限，普通用户权限对其具有完整操作权限

后续的写操作：

reg add "hklmSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options" /v takeownership /t REG_SZ /d "C:WindowsSystem32calc.exe"

0x0B SeDebugPrivilege权限的利用思路

参考资料：

https://github.com/hatRiot/token-priv/blob/master/abusing_token_eop_1.0.txt#L736

SeDebugPrivilege

用来调试指定进程，包括读写内存，常用作实现dll注入

利用思路

• 找到System权限的进程
• dll注入
• 获得System权限

可供参考的测试代码：

https://github.com/3gstudent/Homework-of-C-Language/blob/master/EnableSeDebugPrivilege.cpp

代码实现了开启当前进程的SeDebugPrivilege权限，向指定进程注入dll

0x0C 小结

本文总结了普通用户(或者LocalService用户)Token中九种权限的利用方法，分析利用思路，完善实现代码。

（编辑：宿州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!