Windows XP: uzyskiwanie uprawnień systemowych

Autor: Marcin Guzowski | Data: 04.10.2006, 21:01 | Kategorie: Bezpieczeństwo | Komentarze (5) | Ślady (0)

W systemie Windows XP do uzyskania uprawnień systemowych (większych niż uprawnienia administratora systemu) można wykorzystać możliwości, jakie daje harmonogram zadań (task scheduler). Jeżeli po wydaniu w shellu komendy at nie uzyskamy komunikatu odmowy dostępu, system jest prawdopodobnie podatny na eskalowanie uprawnień do poziomu systemowego. Podatność w konkretnym przypadku zależy od zainstalowanych poprawek i poziomu dostępu konta, z którego wykonywana jest próba.

Opisywana podatność wynika z faktu, że usługa harmonogramu zadań działa na koncie systemowym (Local system account), więc w tym kontekście uruchamiane są wszystkie harmonogramowane zadania. Wydanie polecenia:

at 00:00 /interactive "cmd.exe"

sprawi, że o żądanym czasie (odpowiednio dobranym, by stało to się szybko po wydaniu powyższego polecenia) zostanie odpalona powłoka. Co ciekawe, na pasku tytułowym nie będzie widniało "cmd.exe", tylko "svhost.exe" (Service Host), czyli shell zostanie uruchomiony w "trybie roota", używając analogii *nixowej. Teraz wystarczy zabić proces explorer.exe i wydać z powłoki systemowej polecenie:

explorer.exe

Efekt będzie identyczny, jakbyśmy zalogowali się na konto "SYSTEM".

W związku z powyższym zaleca się:

1. wyłączenie usługi harmonogram zadań - jeżeli nie jest używana
2. skonfigurowanie usługi na działanie na nisko uprzywilejowanym koncie

Więcej informacji i dokładny opis krok-po-kroku: kliknij tutaj

Ślady

Użyj tego linku jeśli chcesz stworzyć Ślad (Trackback) do tego wpisu

Brak Śladów

Komentarze

Wyświetl komentarze jako (Płasko | Wątki)

Ciekawy sposób, chociaż na standardowo skonfigurowanym systemie z SP2 nie ma możliwości wykorzystania tego na koncie z ograniczeniami, także zagrożenie nie duże...

Mam jednak pytanie - jak odwrócić zmiany które zachodzą w systemie po uruchomieniu explorera jako SYSTEM ? :-) Chodzi mi o to, że podczas pierwszego uruchamiania explorera z takimi uprawnieniami zostaje jakby stworzony użytkownik SYSTEM. I teraz podczas każdego uruchamiania systemu na chwile miga mi standardowy pulpit (tak jak by się ten użytkownik uruchamiał podczas startu). Niby nic złego, ale jak chce się dostać na swój komp przez zdalny pulpit, to okienko do logowania jest zamiast na czarnym tle, to jest na tle standardowej tapety (nawet przy wyłączonym pokazywaniu tła pulpitu - co bardzo spowalnia proces logowania).

Czy da się coś z tym zrobić?

#1 T-1000 o 2007-01-10 21:34 (Odpowiedz)

Każde zagrożenie ma wiele aspektów, choć oczywiście znane są bardziej niebezpiecznie przypadłości niż ta wyżej opisana ;)

Co do pytania:
Żeby (elegancko) usunąć efekt pulpitu na koncie systemowym, trzeba najpierw zidentyfikować jego wewnętrzny identyfikator systemowy. Identyfikatory te znajdują się w rejestrze w gałęzi HKEY_USERS. Prawdopodobnie będzie chodziło o klucz o najniższej wartości (w stylu S-1-5-18), ale głowy za to nie daję. Zakładamy że standardowy pulpit XP (z tego co pamiętam - Idylla.bmp) jest w tym momencie używany tylko przez konto SYSTEM. Szukamy więc 'Idylla.bmp' w wartości Wallpaper klucza HKEY_USERS\[id]\Control Panel\Desktop dla poszczególnych użytkowników ([id]). Tam gdzie znajdziemy, zamieniamy na wartość (Brak) - zakładam, że to polska wersja systemu. Myślę, że to wystarczy.

Pozdrawiam,
M.G.

#1.1 Marcin Guzowski (Strona) o 2007-01-10 23:13 (Odpowiedz)

Dzięki, pomogło :)

W sumie wywaliłem całą gałąź Desktop + kilka innych (po porównaniu z drugim windowsem). Teraz jest już OK.

Pozdrawiam
T-1000

#2 T-1000 o 2007-01-11 00:26 (Odpowiedz)

W sumie można osiągnąć podobny efekt podstawiając cmd.exe zamiast defaultowego wygaszacza - czyli logon.scr :) (nadpisując go).

Teraz wystarczy uruchomić ponownie kompa i poczekać jakieś 8 min na ekranie logowania ( o ile ktoś nie ma automatycznego logowania) i zamiast wygaszacza zostanie uruchomiona linia poleceń - oczywiście z uprawnieniami konta Systemowego...

#3 T-1000 o 2007-01-18 00:17 (Odpowiedz)

Cenna uwaga - istnieje pewnie co najmniej kilka sposobów na wymuszenie uruchomienia określonego procesu (tu linii poleceń) na uprawnieniach systemowych.

P.S.
Widzę tematyka okazała się interesująca. W razie znalezienia jakiejś ciekawej podatności proszę o info :)

Pozdrawiam,
M.G.

#3.1 Marcin Guzowski (Strona) o 2007-01-18 17:57 (Odpowiedz)

Dodaj komentarz

Nazwa
Email
Strona
Odpowiedź
Komentarz	Proszę, wpisz widoczny na obrazku kod do odpowiedniego pola. Twój komentarz zostanie dodany tylko gdy wpisany kod będzie się zgadzał z tym widocznym na obrazku. Proszę, upewnij się, że Twoja przeglądarka ma włączoną obsługę cookies (ciasteczek) lub Twój komentarz nie przejdzie poprawnie weryfikacji. Wpisz ciąg znaków widoczny na obrazku powyżej: Zamknięcie tekstu w znakach gwiazdki spowoduje jego wytłuszczenie (tekst), podkreślenia są tworzone przez zastosowanie _tekst_.
	Zapamiętać dane? Wyślij mailem powiadomienie o odpowiedziach