翻譯:興趣使然的小胃
預估稿費:300RMB
投稿方式:發送郵件至linwei#360.cn����,或登陸網頁版在線投稿
一、前言
許多組織及機構正逐步轉向虛擬化架構,包括應用及桌面的虛擬化。這一過程通常會涉及如Citrix之類的虛擬化平臺來提供服務���。
對虛擬化平臺而言,如果你配置不當或者鎖定失敗�,那么用戶可能會打破你原以為牢不可破的虛擬化環境�?��?赡茈S后不久��,你就會發現你的整個域都被攻陷了�����。
在這之前,網上可能有很多教程指導用戶如何突破受限桌面環境,但據我們所知,這方面還沒有一個全面的教程囊括受限桌面環境突破的各種辦法。
這正是本文的目的所在,我們希望這是一篇實用的文章���。當然,本文也會是一篇不斷更新的文章,雖然我們做了大量的努力和研究����,但可以肯定的是�,我們沒有覆蓋每一種攻擊方法����。如果你認為我們在某些方面有所欠缺�,請及時告知我們加以補充。
二����、對話框
獲取一個對話框通常是突破虛擬化環境的首個突破口��,如果系統經過某種加固���,這種方法常常能起到奇效�。
即使你只能看到一個非常簡單的Notepad應用����,你手頭上還是有許多可選項的。
即使看起來最為無害�����、最為簡單的應用也可能導致客戶域被攻陷�����,這一點上已經有很多現實案例了��。這種現象通常被稱為“滾雪球”效應,其中某個小問題引發另一個問題,最終導致整個環境存在極大的安全風險。
許多標準的Windows應用程序通常都會提供某種接口來打開一個對話框:
當然有很多種方法可以打開一個對話框�,然而�,最簡單的方法是:
1�、“另存為(Save as)”/“打開為(Open as)”菜單項。
2、“打?�。≒rint)”菜單項:選擇“打印到文件(print to file)”選項(比如XPS/PDF等)����。
三、濫用對話框
打開對話框之后�����,我們可以此為立足點�����,開始探索整個系統,或者用來提升權限����。能達到什么效果通常與你的創造力有關���,但我們通?�?梢杂幸韵聨追N方案:
1、創建新文件
(1)批處理文件:右鍵���,依次選擇“新建(New)”、“文本文件(Text File)”��,重命名為.BAT(或者.CMD)文件�����,之后選擇“編輯(Edit)”��,“打開(Open)”。
(2)快捷方式:右鍵����,依次選擇“新建(New)”����、“快捷方式(Shortcut)”����、選擇“%WINDIR%\system32”����。
2、打開新的Windows資源管理器實例
在任意文件夾上右鍵,選擇“在新窗口中打開(Open in new window)”。
3�、探索上下文菜單
(1)在任意文件或目錄上右鍵���,觀察上下文菜單����。
(2)點擊“屬性(Properties)”���,重點觀察對象是快捷方式,選擇“打開文件路徑(Open File Location)”按鈕�����。
4�����、輸入框
許多輸入框都會接受文件路徑����,你可以嘗試輸入UNC路徑����,如“//attacker–pc/”或者“//127.0.0.1/c$”或者“C:\”。
5�����、繞過文件限制
在“文件名(File name)”框中���,輸入“*.*”或者“*.exe”��。
四、幫助菜單
幫助菜單有多種存在形式����,但我們重點關注的是應用程序的幫助菜單以及通用的“Windows幫助及支持”菜單(可以通過Windows+F1快捷方式啟動)��。
幫助菜單中通常具有鏈接及快捷方式,以提供各種功能。如下圖所示�����,用戶可以點擊其中的鏈接打開命令提示符:
其他方式:
1�、在任意空白處點擊右鍵,選擇“查看源碼(view source)”,通常會打開一個notepad實例。
2�、頂部的打印圖標可以引出一個打印對話框����。
3��、你可以通過語言欄訪問幫助菜單�。許多需要提供多語言服務的環境中(比如機場)經常會遇到這種場景�����。
4����、許多應用程序經常會在開始菜單中帶有指向廠商網頁的超鏈接(比如www.vendor.com)���。點擊這種鏈接通?���?梢砸鲆粋€IE瀏覽器窗口�����,這也是一個突破口���。
五���、環境變量/繞過路徑限制
某些系統做了些加固處理�����,我們無法直接訪問某個敏感路徑,如“C:\Windows\System32”目錄�。但我們還是有可能使用各種符號鏈接繞過這個限制���。
我們也可以使用文件協議前綴���,打開使用其他方式無法打開的應用程序:
六�����、奪取命令提示符
如果我們能夠訪問命令提示符�,那么我們在突破受控系統上已經取得了第一階段的勝利��,我們可以借此獲取操作系統的許多控制權���,比如枚舉許多有用的信息����,為權限提升做準備��。許多系統的加固強度不夠大,在開始菜單中都能看到cmd.exe的標準快捷方式���,我們自然可以將這個接口當成第一個突破口:
通常情況下,我們可以使用多個可執行程序獲取系統的shell接口:
1��、Cmd.exe
2�����、COMMAND.COM
3��、Powershell.exe
4、第三方的管理/shell工具
6.1 通過“運行(Run)”對話框
這可能是最簡單的一種辦法�?���?梢酝ㄟ^開始菜單或者“Windows+R”快捷鍵打開運行對話框:
6.2 通過資源管理器
這也是種簡單有效的方法��。瀏覽包含可執行程序的目錄(例如“C:\windows\system32\”)���,我們可以選擇可執行程序�,在彈出的右鍵菜單中選擇:
6.3 文件拖放
我們可以將任何文件拖放到cmd.exe文件上(即便不正確的擴展名�����,如*.txt也可以)����,這樣會彈出一個命令提示符窗口:
6.4 超鏈接/快捷方式
我們可以利用文件處理器����,使用與可執行程序綁定的鏈接����。這個鏈接可以在許多地方使用,比如對話框、在微軟Office內部按住CTRL再點擊鏈接等等。這個鏈接為“file:///c:/Windows/System32/cmd.exe”���。
6.5 任務管理器
Windows的任務管理器能幫我們不少忙,此外,它也可以用來創建新的進程����。我們可以通過各種方式啟動任務管理器(taskmgr)�,比如開始菜單��、較新版的Windows中的CTRL+ALT+DELETE組合鍵����,以及直接使用CTRL+SHIFT+ESCAPE組合鍵�。
6.6 計劃任務(Task Scheduler)
這是個非常有趣的薄弱點。某些系統可能會限制cmd.exe的訪問,但還是可以通過計劃任務啟動cmd.exe��。我們可以用過命令行形式的計劃任務工具(at.exe)或者GUI形式的計劃任務工具(taskschd.msc)完成這一任務�����。在計劃任務中�,我們可以指定在特定時間(如1分鐘內)或者特定事件(如用戶登錄)發生時運行cmd.exe����。
6.7 COMMAND.COM
這是Windows出于兼容性而保留的一個16位程序����。即使cmd.exe被禁用��,這個程序通常也是可以訪問的���。不幸的是,64位的Windows中再也不提供COMMAND.COM了。
6.8 Powershell.exe
與cmd.exe類似����,但PowerShell具備某些更加高級的功能�,例如它可以使用并調用.NET的某些功能���。
6.9 MSPAINT.exe
這是一種不常用但行之有效的方法���,我們可以在微軟的畫圖工具中繪制特定的顏色����,創建指向cmd.exe的快捷方式,最終獲取shell接口���。其原理與創建BMP文件所使用的編碼算法有關,我們可以小心選擇特定的RGB顏色�,將ASCII數據寫入到某個文件中���。
1���、打開MSPaint.exe���,設置畫布大小為:寬度=6���,高度=1像素���。
2��、放大畫布,以便操作。
3、使用顏色選擇器��,按從左到右的順序�����,依次使用以下數值設置像素值:
(1)R: 10, G: 0, B: 0
(2)R: 13, G: 10, B: 13
(3)R: 100, G: 109, B: 99
(4)R: 120, G: 101, B: 46
(5)R: 0, G: 0, B: 101
(6)R: 0, G: 0, B: 0
4、將該圖保存為24位位圖(*.bmp�����;*.dlib)
5�、將其擴展名從bmp改為bat,然后運行����。
6.10 繞過交互式控制臺限制
當交互式命令提示符被禁用時���,我們通?���?梢允褂谩?K”或者“/C”參數運行cmd.exe����。我們可以使用“cmd.exe /K pause”命令,就能繞過限制��,載入一個交互式shell:
此外����,我們也可以將“/C”參數傳遞給cmd.exe,創建一個非交互式的命令提示符會話���。比如,我們可以使用如下命令“cmd.exe /C tasklist > c:\tasks.txt”�。
6.11 FTP方式
雖然FTP客戶端不能提供完全形式的命令行訪問接口�,但它通常是可用的,在其他通道都被堵死的情況下�,我們可以在FTP客戶端中使用“!dir”命令,羅列系統文件�。此外�����,FTP客戶端也可以用來傳輸數據,下載第三方工具�。
其他一些有用的FTP命令:
1 2 3 | !whoami
!date
!ping 127.0.0.1
|
七���、繞過寫入限制
繞過目標環境的寫入限制是非常重要的一點�����,我們可以借助這類技術,找到上傳第三方工具以及寫入數據的系統區域���。
在一個理想的環境中,最好的管理原則就是用戶只能具備最低的寫入權限��,同時不會對其正常工作造成影響�。在現實中,這意味著用戶在本地文件系統中只能具備非常低的寫權限����。
臨時目錄是一個很好的突破口��,用戶幾乎總是具備該目錄的寫權限。我們可以通過“%TEMP%”環境變量,枚舉默認的臨時目錄位置,類似的命令為“echo %TEMP%”。臨時文件目錄通常為:
1��、C:\Users\USER\AppData\Local\Temp
2����、C:\temp\
3、C:\tmp\
當然“%USERPROFILE%”目錄也是另一個選擇�,不過該目錄有可能會鏈接到某個網絡共享文件夾�。
Accesschk.exe
該工具屬于Sysinternals工具集中的一員�����,與“cacls”/“icacls”功能類似。
我們可以使用這個工具,查找文件系統中我們具備哪些目錄的寫權限:
accesschk.exe -uwdqs Users c:\
accesschk.exe -uwdqs “Authenticated Users” c:\
八���、繞過執行限制
某些系統會使用白名單機制,只允許某些具備特定文件名或文件擴展名的應用程序運行。有些時候,我們可以將malware.exe重命名為白名單中的合法名稱(如mspaint.exe),繞過白名單限制���。
在某些配置不當的環境中,只要目錄符合白名單標準,任何應用程序都可以運行���。如果你正在測試的系統允許運行微軟的Word程序,你可以嘗試將待運行的程序拷貝到WINWORD.EXE所在的目錄加以運行。
九、Internet Explorer瀏覽器
許多Web應用程序使用類似Citrix/遠程服務/Kiosk平臺之類的技術進行分發部署�����。因此�����,大多數情況下����,這意味著用戶需要Web瀏覽器才能訪問這些應用程序�����。以老版本的Internet Explorer(IE)瀏覽器為例��,我們可以借助IE瀏覽器,使用多種方式完成我們的任務:
9.1 對話框及菜單欄
1、地址欄:我們可以使用地址欄,填入前文提到過的各種路徑及環境變量。例如可以使用 “file://c:\windows\system32\cmd.exe” 路徑�。
2����、菜單欄:幫助菜單�����、打印菜單以及搜索菜單都包含某些鏈接及選項,可能指向并打開瀏覽器之外的外部資源(如Windows資源管理器)���。
3���、右鍵點擊:右鍵菜單中包含某些非常有用的選項���,比如“查看源碼”(notepad)以及“保存圖片為”菜單�����。
4、收藏菜單:打開收藏選項卡(ALT+C)����,將文件夾拖到瀏覽器窗口中����,任意項目(如“MSN站點”)都可以��。
9.2 主頁
我們可以將瀏覽器主頁設置為任意值(如“cmd.exe”)來訪問任意文件����,當然這是一種快速但略不文雅的方法��。
9.3 F12開發者工具
在IE瀏覽器中����,我們可以使用F12快捷鍵打開開發者工具���。選擇“文件(File)”菜單中的“自定義Internet Explorer視圖源”選項���,我們有可能可以自主選擇自定義程序�。
根據我們的目的�����,我們可以選擇“C:\windows\system32\cmd.exe”作為視圖源�,這樣cmd.exe就成為IE中默認的HTML源代碼查看器��。最后��,我們可以在某個網頁上點擊右鍵,選擇“查看源碼(View Source)”���,開始探索旅途。
9.4 證書導入
載入IE設置�����,轉到“內容(Content)”選項卡�����,然后選擇“證書(Certificates)”按鈕����。點擊“導入(Import)”選項���,會彈出如下向導:
向導的下一步會要求我們填入證書路徑��,這將打開一個Windows資源管理器(或者文件瀏覽類型)對話框����。我們可以使用“三�����、濫用對話框”這一部分中的技巧來打破受限環境及提升權限。
9.5 瀏覽器附加組件/小程序/動態內容
默認情況下,IE的設計初衷是提供界面友好且內容豐富的用戶體驗�。我們可以利用這一點����,通過瀏覽器自身功能實現與操作系統的交互�����。在IE瀏覽器不被限制的情況下����,我們可以使用ActiveX附加組件、Flash應用����、Java小程序以及類似技術完成這一任務�。
9.6 基于瀏覽器的漏洞利用
如果系統沒有及時打補丁����,不同版本的IE瀏覽器可能存在許多漏洞,攻擊者可以訪問精心構造的某個鏈接來利用這些漏洞���。典型的利用平臺就是Metasploit平臺。
當然我們也可以誘騙系統上的另一個用戶點擊我們精心構造的那個鏈接�����,這意味著惡意代碼會以這些用戶的身份運行���,如果這些用戶是高權限賬戶那再好不過��。
十、微軟Office
與IE瀏覽器類似��,大多數環境中都提供Office套裝以滿足用戶辦公需求�。同樣,這也為我們提供了眾多可利用的點����。
10.1 VBA(Visual Basic for Applications)腳本及宏
我們可以使用msfencode/msfpayload輕松生成VBA代碼����,創建目標主機上的反彈型shell或Meterpreter shell��。這種方法很少會被反病毒軟件阻止�。雖然Meterpreter shell非常有用����,但以這種方式創建的shell會運行在當前文檔用戶的上下文環境中。當然我們可以根據目標系統的具體安全性設置,使用Meterpreter來提升權限�。
10.2 開發者工具
所有的Office應用中都提供開發者工具�����,但這項功能默認情況下并沒有被啟用。不同版本啟用開發者工具的方法有所不同��,以Office 2010為例����,該選項位于應用程序選項的“自定義功能區”選項卡中。開發者工具一旦啟用�����,各種加載項就可以為我們提供豐富的功能�����。
開發者工具中包含大量與操作系統交互的ActiveX控件。如果IE瀏覽器被禁用����,但Excel并沒有被禁用���,我們為什么不創建自己的Web瀏覽器呢�����?
10.3 通過VBA運行命令
通過宏或者VBA代碼,我們只需要簡單的三行代碼就能啟動外部應用程序:
10.4 MS SQL服務器(本地及遠程)
雖然這是條較為漫長的道路�,但如果我們能夠訪問微軟出品的SQL服務器(特別是老版本的服務器)���,這種方法還是值得一試的��。我們可以檢查SQL服務器是否啟用了XP_CMDSHELL組件�����。如果服務器缺乏訪問限制或者用戶控制機制,我們有可能可以在該服務器上執行命令并最終遠程控制它�����。
10.5 對話框及快捷鍵
這又是對話框的一種利用方式���。我們可以在標準文檔(如Word文檔)中嵌入簡單的指向文件系統的快捷方式(如file://)����。
十一、修改ICA文件
Citrix的某些配置依賴.ICA(Independent Computing Architecture��,獨立計算結構)文件來存放某個連接的配置信息�。這些配置信息中包含許多明顯的特征參數�,比如服務器地址以及端口信息,當然還有許多更加有趣的參數可以為我們所用�。
簡單的ICA文件形式如下:
某些應用程序可能需要進一步的身份驗證��,當前的身份無法奏效。我們可以模糊測試(fuzz)“InitialProgram”這個參數�����,枚舉潛在有效的可執行程序���。
Nmap(使用citrix-enum-apps這個NSE插件)以及Metasploit(使用auxiliary/gather/citrix_published_applications)可以用來枚舉已發布的應用程序����,互聯網中還有許多類似的公開腳本可以完成同樣工作。
十二���、默認/弱憑證
在任何環境中,挖掘探索默認的用戶名/密碼組合或者使用弱口令(如“password”)的賬戶顯然是攻擊行動中非常關鍵的一環�。
如果可能的話��,你在發起攻擊前應嘗試枚舉獲取可用的用戶名列表。我們可以通過錯誤信息判斷某個賬戶是否存在����,比如“該用戶名不存在”以及“密碼錯誤”這類錯誤消息都能提供有用的信息��。“忘記密碼”功能通常也能告訴我們某個用戶是否存在����。
如果你已經通過驗證����,也能獲取一個shell�����,你可以嘗試使用“net users”以及“net users /domain”命令。
包括如下用戶名在內的許多用戶名總是值得嘗試的。很多情況下�����,賬戶的密碼有可能就是用戶名:
十三�����、目標中的文件傳輸
我們會簡單介紹一下目標環境中可以使用的某些方法:
1���、FTP
2�����、HTTP服務器(WAMP/LAMP以及其他一些公開工具)
3、SMB客戶端工具 \hacker\tools
4、SMB服務端工具 \server\c$
5�、DNS隧道
6�����、電子郵件(私人或企業郵件)
7���、剪貼板
8����、基于用戶輸入的流數據
9���、設備穿透技術(RS323/串口�、火線接口)
以上某些方法需要在攻擊環境中架設服務器,不過這并不麻煩���,Kali Linux中已經集成了許多服務�����,我們可以直接使用��。
13.1 DNS隧道
即使在高度受限的環境中,DNS查詢請求還是有可能可以抵達外部互聯網,這是非常有趣的一個事實����。我們在另一篇文章中單獨介紹了這個技術點��。
13.2 電子郵件
如果Web瀏覽器可用,通常情況下電子郵件也是可用的����,我們可以使用個人電子郵件賬戶(如Gmail)傳輸目標主機上的數據����。根據目標環境具體的防火墻策略以及網絡過濾規則�,我們可以探索哪種郵件協議可用,如POP3��、IMAP以及SMTP協議���。
全功能桌面環境可能具備公司郵件系統的訪問權限����,我們也可以使用類似的方式利用這一點。需要注意的是,許多企業(特別是大型公司)的郵箱系統通常會采取基于附件的內容過濾機制,我們可以使用加密數據(如ZIP)附件繞過這一限制。
13.3 剪貼板
剪貼板也是傳輸數據的一種方法�����。二進制文件可以先經過BASE64編碼���,在遠程系統上解碼重構以便執行��。此外,我們也可以使用剪貼板傳輸匯編語言代碼�,然后在遠程主機上使用debug.exe執行這些代碼���。
13.4 基于用戶輸入的流數據
利用用戶輸入的標準接口(比如鍵盤及鼠標)����,我們可以創建一個模擬用戶輸入的自動腳本來發送數據����,數據可以使用慢速流進行傳輸,在另一端重構即可���。
例如Rubber Ducky之類的可重新編程的人機接口設備(Human Interface Devices,HIDs)正是這類攻擊的優良載體��。我的一名同事�,David Lodge,寫了篇文章詳細介紹了這類攻擊�。
13.5 設備穿透
根據目標所在的具體環境���,我們有可能穿透本地硬件設備(如USB存儲設備)到達遠程主機�。某些客戶端�����,例如微軟的遠程桌面協議以及Citrix Receiver實際上使用了自動化的設備穿透機制�����,當然這個功能可以根據需要手動進行修改��。
對于微軟的遠程桌面應用而言�,啟動遠程服務客戶端(mstsc.exe),選擇“本地資源”標簽頁����,點擊窗口底部的“更多”按鈕��,我們可以選擇本地哪種設備及驅動會被傳遞到遠程主機。
對Citrix Receiver來說操作類似�,在連接建立之前�,我們可以轉到桌面查看器首選項�,選擇“設備(Devices)”標簽頁:
連接建立后,我們也可以使用狀態欄重復類似操作:
13.6 設備穿透(RS232/串口)
如果類似串口之類的設備也能夠通過設備穿透技術進行連接����,那么主機及服務器之間傳輸數據就會更加便捷����?�?捎玫拇诹斜砜梢栽诒镜刂鳈C枚舉獲得�,流數據可以經過串口傳輸到服務器��。在服務端����,我們可以使用終端應用程序(如Windows HyperTerminal或者使用debug.exe編譯的自定義程序)來接受數據��。
13.7 設備穿透(火線接口)
安全社區對火線接口的印象不佳����,原因在于它們容易受到物理內存攻擊的影響��。這類攻擊利用了火線中的某個“功能”��,使連接火線的外部設備能夠具備DMA(Direct Memory Access,直接內存訪問)能力�。從理論上講��,支持DMA功能的某些模擬火線設備(例如Apple iPod)也可能使用設備穿透功能���,然后該設備就可能具備遠程內存的完全讀寫權限�����。這將帶來嚴重的問題����,因為內存中很有可能包含敏感數據���,比如用戶憑證����、加密密鑰等。
十四�、實用的系統/管理工具
當Windows系統經過加固后�����,某些內置的用于系統管理的默認工具可能會被管理員忘記加固,因此可以為攻擊者所用。其中大部分工具可以使用前文介紹的方法來運行;
1��、MMC.exe:微軟管理控制臺��,允許我們使用“管理單元“控制許多系統功能��。
2、Mstsc.exe:微軟遠程服務,用來連接到另一臺主機���。
3、Regedit.exe:注冊表控制工具。
4����、Taskmgr.exe:任務管理器��。
5、Control.exe:控制面板快捷方式��。
6���、Rundll32.exe:利用該工具可以調用原生API訪問隱藏的系統功能���。
7����、Dxdiag.exe:DirecX診斷工具,可以用來收集系統信息�。
8����、Msconfig.exe:系統配置工具����,可以顯示許多系統信息,包含指向系統工具的鏈接。
9���、Eventvwr.exe:本地事件查看器。
10����、Systeminfo.exe:系統信息收集器的命令行工具��。
11、Msinfo32.exe:系統信息收集����。
12�����、Osk.exe:虛擬鍵盤程序���,在沒有鍵盤的環境中十分有用��。
13����、At.exe:計劃任務調度程序命令行版��。
14�、Taskschd.msc:計劃任務調度程序界面版����。
15、Explorer.exe:創建一個新的Windows資源管理器實例��。
16��、WMIC.exe
17��、Qwinsta.exe:顯示RDP會話相關信息。
18�、Tasklist.exe /qprocess.exe:列出進程信息�。
當然有時候枚舉當前可用的本地或第三方可執行文件也是非常有用的:
14.1 Rundll32
通過Rundll32����,我們可以運行許多命令,常見的命令如下所示:
已保存的用戶名及密碼:
1 | RunDll32.exe keymgr.dll,KRShowKeyMgr
|
控制面板:
1 | RunDll32.exe shell32.dll,Control_RunDLL
|
日期及時間屬性:
1 | RunDll32.exe shell32.dll,Control_RunDLL timedate.cpl
|
設備管理器:
1 | RunDll32.exe devmgr.dll DeviceManager_Execute
|
文件管理器屬性:
1 | RunDll32.exe shell32.dll,Options_RunDLL 0
|
忘記密碼向導:
1 | RunDll32.exe keymgr.dll,PRShowSaveWizardExW
|
鍵盤屬性:
1 | RunDll32.exe shell32.dll,Control_RunDLL main.cpl @1
|
鎖定屏幕:
1 | RunDll32.exe user32.dll,LockWorkStation
|
網絡鏈接:
1 | RunDll32.exe shell32.dll,Control_RunDLL ncpa.cpl
|
彈出打開方式對話框:
1 | Rundll32 Shell32.dll,OpenAs_RunDLL FILE.ext
|
打印機用戶界面:
1 | Rundll32 Printui.dll,PrintUIEntry /?
|
系統屬性對話框:
1 | Rundll32 Shell32.dll,Control_RunDLL Sysdm.cpl,,3
|
Windows防火墻:
1 | RunDll32.exe shell32.dll,Control_RunDLL firewall.cpl
|
Windows關于對話框:
1 | RunDll32.exe SHELL32.DLL,ShellAboutW
|
14.2 WMIC.exe
WMIC(Windows Management Instrumentation Command-Line)是一個非常強大的命令行工具��,可以用來收集信息:
WMIC覆蓋的范圍非常廣泛����,我們只選取某些使用案例:
本地共享:
1 | wmic share list /format:table
|
本地用戶:
1 | wmic useraccount list full
|
本地用戶 – 輸出到HTML文件:
1 | wmic /output:c:\users.html useraccount list full /format:hform
|
進程:
服務:
軟件:
已安裝的補丁/服務包/修補程序:
十五、快捷方式
與大多數操作系統一樣���,Windows中經常使用的功能都會有快捷方式。特別是系統加固方式只是浮于表面時(例如只是簡單刪除了開始菜單鏈接)�,某些快捷方式在這種場景中就顯得尤為有用。
15.1 標準的操作系統快捷方式
我們可以在Windows系統的許多地方創建標準的系統快捷方式,比如我們可以嘗試在桌面或者資源管理器中點擊右鍵���,在彈出的右鍵菜單中創建指向其他資源的鏈接,如“%WINDIR%\system32\cmd.exe“。
15.2 輔助功能快捷鍵
許多快捷方式指向的是輔助功能��,比如“粘滯鍵“以及”鼠標按鍵“等�。按下正確的組合鍵會彈出相應的對話框,這些對話框可以用來訪問輕松訪問中心(Ease of Access Centre�,EAC)����。我們可以使用EAC作為突破口。
1�、粘滯鍵:按下SHIFT鍵5次��。
2、鼠標按鍵:SHIFT+ALT+NUMLOCK
3�、高對比度:SHIFT+ALT+PRINTSCN
4����、切換鍵:按住NUMLOCK鍵5秒鐘
5�、過濾鍵:按住右SHIFT鍵12秒鐘
其他標準快捷方式也有用處,有些快捷鍵與特定程序有關:
1�����、WINDOWS+F1 – Windows搜索
2����、WINDOWS+D – 顯示桌面
3、WINDOWS+E – 啟動Windows資源管理器
4����、WINDOWS+R – 運行對話框
5�����、WINDOWS+U – 輕松訪問中心
6、WINDOWS+F – 搜索
7、SHIFT+F10 – 右鍵上下文菜單
8�����、CTRL+SHIFT+ESC – 任務管理器
9�����、CTRL+ALT+DEL – 顯示鎖定屏幕
10、F1 – 幫助
11、F3 – 搜索
12、F6 – 地址欄
13�、F11 – IE瀏覽器會進入全屏模式
14���、CTRL+H – IE瀏覽器歷史記錄
15����、CTRL+T – IE瀏覽器新標簽頁
16��、CTRL+N – IE瀏覽器新頁面
17�����、CTRL+O – 打開文件
18、CTRL+S – 保存
19����、CTRL+N – 新建
十六��、RDP/Citrix快捷方式
Citrix以及微軟遠程桌面協議(RDP)有一套自己的快捷方式或者“熱鍵“,對應操作系統功能或者其他功能��。
16.1 遠程桌面熱鍵
1�、CTRL+ALT+END – 打開Windows安全對話框
2、CTRL+ALT+BREAK – 在窗口和全屏之間切換
3�����、ALT+INSERT – 循環切換窗口
4����、ALT+HOME – 顯示開始菜單
5��、ALT+DELETE – 顯示控制/上下文菜單
6����、CTRL+ALT+NUMBER 結合-號 – 截取活動窗口屏幕并保存到RDP剪貼板中
7�、CTRL+ALT+NUMBER 結合+號 – 截取整個RDP會話屏幕并保存到RDP剪貼板中
16.2 Citrix ICA熱鍵
1、SHIFT+F1 – 顯示Windows任務列表
2��、SHIFT+F2 – 切換標題欄
3��、SHIFT+F3 – 關閉遠程應用/Citrix連接
4�����、CTRL+F1 – 顯示Windows NT安全桌面
5�、CTRL+F2 – 顯示遠程任務列表或者開始菜單
6����、CTRL+F3 – 顯示任務管理器
7、ALT+F2 – 循環切換最大化及最小化窗口
8���、ALT+PLUS – 循環切換已打開的窗口
9、ALT+MINUS – 反向循環切換已打開的窗口
十七����、批處理文件及腳本
當交互式shell被禁用時��,我們可以使用諸如.BAT和.CMD之類的批處理文件來執行系統命令。雖然.BAT文件可能會被禁用�,但較為陌生的.CMD文件有時候還是能發揮作用的��。
17.1 Windows腳本宿主(Windows Script Host,WSH)
假如“cscript.exe“或者”wscript.exe“未被禁用���,我們可以使用WSH來運行許多腳本語言,默認情況下可以運行VBScript、VBA以及JScript語言����。
例如,我們可以執行如下VBScript片段���,將代碼片段保存為.VBS文件即可。使用這段代碼�,我們有可能可以啟動一個CMD命令行:
1 2 | set objApp=CreateObject(“WScript.Shell”)
objApp.Run “CMD C:\”
|
我們可以通過雙擊方式來運行這個VBS文件�,也可以將文件名作為參數傳遞給cscript.exe或者wscript.exe來運行�����。
系統支持的其他語言也有可能被攻擊者濫用����,如Python��、Perl����、PHP等�,我們可以嘗試使用這些語言。許多主機上默認會安裝Java運行環境����,我們可以采用類似方式使用javac.exe以及java.exe完成命令運行目的�。
十八����、敏感文件及數據
許多敏感數據對(快速)權限提升來說非常有用。總會有某些人會以明文形式將密碼保存在某個文件中�����。
18.1 使用十八般武藝來搜索文件
1���、Windows資源管理器
2�����、Windows搜索功能
3、命令行配合“dir c:\ /s juicy.txt“以及“dir c:\ /s *password*==*cred*==*vnc*==*.config*”命令。
18.2 枚舉可能保存敏感數據的應用程序
1、VNC:ultravnc.ini等
2、Apache:httpd.conf,.htaccess等
3�、KeePass以及類似應用程序
18.3 敏感注冊表項
1�、reg query “HKCU\Software\ORL\WinVNC3\Password”
2�、reg query “HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon”
3、reg query “HKLM\SYSTEM\Current\ControlSet\Services\SNMP”
4、reg query “HKCU\Software\SimonTatham\PuTTY\Sessions”
18.4 敏感文件
1����、sysprep.inf
2�、sysprep.xml
3���、%WINDIR%\Panther\Unattend\Unattended.xml
4�����、%WINDIR%\Panther\Unattended.xml
5���、%WINDIR%\debug\NetSetup.log
6�、%WINDIR%\repair\sam
7、%WINDIR%\repair\system
8、%WINDIR%\repair\software
9����、%WINDIR%\repair\security
10�、%WINDIR%\system32\config\AppEvent.Evt
11����、%WINDIR%\system32\config\SecEvent.Evt
12、%WINDIR%\system32\config\default.sav
13��、%WINDIR%\system32\config\security.sav
14�、%WINDIR%\system32\config\software.sav
15����、%WINDIR%\system32\config\system.sav
16、%USERPROFILE%\ntuser.dat
18.5 Citrix ICAClient緩存連接
我們有可能會在本地應用數據倉庫中找到已緩存的連接信息。檢查“ICAClient”目錄��,這個目錄通常位于%APPDATA%目錄�����。使用“dir /s ICAClient”命令也可以��。
我們可以將其他用戶的ICAClient內容復制到自己的目錄中,這樣有可能可以劫持他們已緩存的連接�。
18.6 組策略首選項中保存的密碼
如果你正在測試的主機屬于某個域����,并且你可以訪問域控上的SYSVOL網絡共享目錄�,那么我們可以尋找存儲在各種XML文件中的“cPassword”字段。我們可以手動瀏覽SYSVOL文件夾����,查看以下相關文件:
1����、Groups.xml
2����、Services.xml
3、ScheduledTasks.xml
4、Printers.xml
5����、Drives.xml
6����、DataSources.xml
“Password”屬性經過AES加密�,然而密鑰為靜態密鑰���,并且微軟官方通過許多MSDN文章介紹了這個靜態密鑰����。
十九、二進制駐留
二進制程序的駐留涉及到將惡意代碼放在某個目錄�,而這個目錄經常會被存在漏洞的應用或服務所使用�。通常我們需要結合多種脆弱配置才能完成這一任務�。
19.1 脆弱的Windwos服務權限
常見的一個攻擊點就是存在漏洞的Windows服務以及文件/目錄權限。正如前文所述���,Sysinternals的accesschk.exe工具可以用來枚舉此類信息。
首先�����,要確認我們位于那個用戶組�。對于低權限用戶來說,他們通常位于標準的“已認證用戶”組中�����。
現在我們需要枚舉哪些服務可以被我們修改:
1 | accesschk.exe -uwcqv “Authenticated Users” *
|
如果結果中包含任意服務��,我們就可以選擇它作為攻擊目標����。
許多服務會運行在SYSTEM權限下,因此如果我們具備這類服務的寫權限�����,我們就能以最高權限運行任何應用程序�����。
19.2 DLL劫持
應用程序通常不能自己啟動運行,而是以來他們掛載的資源池來完成運行目的�。這種情況對諸如DLL之類的代碼庫來說非常普遍�。通常情況下��,Windows應用程序會按照預設路徑來查找DLL文件����,會依次檢查如下目錄:
1����、應用程序加載的目錄
2、32位系統目錄(C:\Windows\System32)
3����、16位系統目錄(C:\Windows\System)
4�、Windows目錄(C:\Windows)
5��、當前工作目錄(CWD)
6�、PATH環境變量指定的目錄(先是系統變量然后是用戶變量)
如果我們可以將我們的惡意DLL放在上游路徑�����,那么應用程序就會優先加載我們的惡意代碼�����。
二十、總結
通過本文分析��,我們知道這類環境通常難以進行安全防護�����,甚至難以正確地進行安全防護���。
當用戶可以使用全功能的桌面環境時,這種安全防護可能是一項更具挑戰的任務。操作系統的設計初衷是提供豐富的功能�,盡可能地對用戶友好����。不幸的是����,這兩點都與系統安全存在某種沖突。
我們建議任何遠程環境都按照務實方式進行配置�����,盡可能少地向用戶提供可用功能�����,滿足用戶日常需求即可����,這樣能盡可能少地減少整體攻擊面�。
所有的默認配置都應該被調整和加強,以盡可能地減少攻擊者可以使用的攻擊路徑。
當然這些環境應該提供盡可能豐富的日志功能��,同時將日志報告給中央監控/報告系統���。這樣管理員就能實時監控可能發生的任何攻擊行為���。
二十一、參考資料及延伸閱讀
1、Citrix安全規范:http://www.citrix.com/support/security-compliance.html
2�����、SANS白皮書:Citrix以及遠程服務環境中的服務器安全:http://www.citrix.com/content/dam/citrix/en_us/documents/support/citrix-xenapp-6-5-and-xendesktop-5-6-security-standards-and-deployment-scenarios.pdf
3����、Tariq Azad撰寫的《如何對企業中的Citrix XenApp服務器進行安全加固》:http://www.goodreads.com/author/show/3072999.Tariq_Azad
4�、windows-privesc-check:http://pentestmonkey.net/tools/windows-privesc-check
5、使用mspaint創建cmd.exe:http://nsimattstiles.wordpress.com/2013/03/19/gain-command-prompt-access-via-mspaint/
