寻找oneui微信消息号aoneer的人?

来源:蜘蛛抓取(WebSpider) 时间:2019-10-29 01:35 标签: 微信

在获得对目标系统的访问权限后但尚未提升特权的攻击者将获得什么级别的访问权限?

与其在目标系统主机上进行试验还不如先在本地主机上了解 Windows 隐式授予非特权用戶的权限。这是因为在目标主机上试验试验过程会产生大量日志,本地测试无疑是个更好的策略选择

在 Windows 中,几乎所有的访问都由 控制这篇文章的目的是:要建立一种方法来审计由 安全描述符错误配置引起的潜在风险

建立方法后我们将其应用于实际用例:Windows 事件日志Φ授予非特权组有哪些潜在的可滥用访问?为了回答这些问题我们应该定义以下内容:

  1. 什么构成“滥用”访问权限?

在回答这些问题之湔让我们首先建立获取安全描述符的方式。

Target audience:已经熟悉安全描述符访问控制列表SACL 的人都希望对其审计自动化方法进行形式化。那些不熟悉这些概念的人也可以从阅读下面 “参考” 部分中的资源得到帮助

通常,安全描述符对文件、目录和注册表之类的东西提供安全保护但是该如何识别所有的安全项目呢?对于不熟许的人来说会认为很多事物的内核都是 “安全的”,我们称这些事物为“

可枚举嘚安全对象类型的方法有几种,但我个人最先想起的方法是 的 项目的 PowerShell 模块中的 Get-NtType cmdlet在没有任何参数的情况下在 Windows 10主机上运行 Get-NtType 会返回以下安全对潒: 


  

    但是,从返回的所有安全对象来看似乎都与我们的特定用例无关:事件日志。 因此问题仍然存在事件日志是否可以安全保存? 直觀上讲他们必须考虑例如无特权的用户无法查看或清除安全事件日志。
  

  

    在本文中它引用了通过 “CustomSD”注册表值设置自定义安全描述符的功能。它还在 “Isolation”值中设置了默认安全权限
  

  

    因此,既然我们知道安全描述符可以应用于事件日志我们如何检索它们?
  

  

    作为参考上面嘚字符串是 ,它是表示安全描述符的便捷方式另外类似的命令 示例为:
  

  

    第二个命令使用ConvertFrom-SddlString 获取 SDDL字符串的文本表示形式,该字符串包含在表礻安全描述符的对象的 Sddl 属性中它使用-Type 参数指定 SDDL字符串 代表注册表安全描述符。
  

  

    让我们看一下授予了哪些访问权限:
  

  

    检查每个对象后将姠 NT AUTHORITYINTERACTIVE 组授予对最大数量的时间日志的读取和写入访问权限:
  

  

    现在,从操作和研究的角度来看你将可以确定可以确定哪些事件日志是以 NT AUTHORITYINTERACTIVE 身份運行的,这对于无特权攻击者而言特别有价值(即任何用户都被授予了交互式登陆令牌)。例如如果防御者正在捕获 powershell 脚本块日志,因為非特权用户具有对所有 Powershell
    脚本内容的读取访问权限包括在特权上下文中记录的内容,其中可能包括纯文本凭据最终则让攻击者获利。
  

  

    朂后值得一提是是由于可以将事件日志的自定义安全描述符用作注册表值,因此你还需要确保审核相关的注册表项的安全性并确保无特权的用户无法将自己的自定义安全描述符写入到注册表中。
  

  

    0x05 合理化默认安全描述符
  

  

    尽管我尚未评估非特权用户能读取大多数事件日志的能力所带来的风险但根据我们先前对默认安全描述符的发现,也许这至少可以阐明:为什么要向这么多日志授予访问权限以下代码用於列出所有应用了默认 应用程序 隔离安全性的事件日志:
  

  

  

    如预期那样,这几乎输出了应用程序事件日志中存在的所有事件日志知道此信息(无论是 Microsoft 还是 Defender),将自定义的限制性更强的安全描述符应用的事件日志(如 Powershell/Operational 的日志)视为敏感的事件日志都是好事。
  

  

  

    在调查事件日志咹全描述符的过程中没有可用的文档表明事件日志支持 SACL。幸运的是内部 EvtCheckAccess 函数中存在两个相关的代码片段: 和
  

  

    现在,知道存在用于处理 SACL 嘚代码可以安全的假定它们受支持。在这一点上我尝试将带有 SACL 的自定义安全描述符与事件日志一起应用,但不是这样做我很想知道 Channel 洎变量指的是什么。我发现它引用了一下注册表项:
  

  

    因此看起来这些都是支持 SACL日志记录的所有对象类型!! 我还确定这些 DWORD 值引用了 msobjs.dll 中的消息表索引,事件日志在记录相关 SACL 访问时从中提取消息表索引我写了一个粗略的提取这些值。
  

  

    附录B 中列出所有受支持的安全对象的转储消息字符串例如,提取了以下与Channel 对象类型相关的消息字符串:
  

  

    还应该有意义的是对于第一至第三位没有消息,因为特定的对象的访问權限仅上升了7(EVT_ALL_ACCESS)它是 111 二进制的,长度为 3 位但是根据消息,还不清楚哪个访问权限对应于 Channel query information 还是 Channel set
    information无论如何,至少现在有了这些知识伱可以了解可以记录哪些 SACL 访问权限!!
  

  

  

    我希望本文有助于强调我用来审核的方法不仅仅是事件日志安全描述符,还包括任何可安全对象类型该职业还应突出显示在文档不完整或不存在时进行此类型审核所涉及的挑战。
  

  

    再举一个例子我使用了这种方法来识别所有可写子目錄%windir%
  

  

    我还使用这种方法来理解、审计和查找 ETW 提供程序和跟踪会话中的错误配置,这在我的 Recon_2019 演讲中涉及到:
  

  

  

  

    在撰写本文时以下事件日志已应鼡了默认的 Application isolation 安全描述符,从而导致未特权的NT AUTHORITYINTERACTIVE 组成员具有读写访问权限留给读者决定这些事件日志可能包含或可能不包含具有价值/敏感信息的成都。
  

  

    8.2、附录B:受安全对象支持的 SACL 审核消息
  

  

    上面提到msobjs.dll 中包含的字符串可以提供一些有价值的见解,以了解哪些安全对象支持 SACL 审核峩提取了所有受支持的消息,并根据以下列表中的安全对象将它们进行分组希望会激起你对所在环境中应用目标 SACL的兴趣,以补充你的整體检测情况
  



                            

                                                    

                                

  
  

  

    在获得对目标系统的访问权限后但尚未提升特权的攻击者将获得什么级别的访问权限?
  

  

    与其在目标系统主机上进行试验还不如先在本地主机上了解 Windows 隐式授予非特权用戶的权限。这是因为在目标主机上试验试验过程会产生大量日志,本地测试无疑是个更好的策略选择
  

  

    在 Windows 中,几乎所有的访问都由 控制这篇文章的目的是:要建立一种方法来审计由 安全描述符错误配置引起的潜在风险

  

    建立方法后我们将其应用于实际用例:Windows 事件日志Φ授予非特权组有哪些潜在的可滥用访问?为了回答这些问题我们应该定义以下内容:
  

  
    
    
  1. 什么构成“滥用”访问权限?
    
    2. 
  

  

    在回答这些问题之湔让我们首先建立获取安全描述符的方式。
  

  

    Target audience:已经熟悉安全描述符访问控制列表SACL 的人都希望对其审计自动化方法进行形式化。那些不熟悉这些概念的人也可以从阅读下面 “参考” 部分中的资源得到帮助
  

  

  

    通常,安全描述符对文件、目录和注册表之类的东西提供安全保护但是该如何识别所有的安全项目呢?对于不熟许的人来说会认为很多事物的内核都是 “安全的”,我们称这些事物为“ 
  

  

    可枚举嘚安全对象类型的方法有几种,但我个人最先想起的方法是 的 项目的 PowerShell 模块中的 Get-NtType cmdlet在没有任何参数的情况下在 Windows 10主机上运行 Get-NtType 会返回以下安全对潒:
  

  

  

    但是,从返回的所有安全对象来看似乎都与我们的特定用例无关:事件日志。 因此问题仍然存在事件日志是否可以安全保存? 直觀上讲他们必须考虑例如无特权的用户无法查看或清除安全事件日志。
  

  

    在本文中它引用了通过 “CustomSD”注册表值设置自定义安全描述符的功能。它还在 “Isolation”值中设置了默认安全权限
  

  

    因此,既然我们知道安全描述符可以应用于事件日志我们如何检索它们?
  

  

    作为参考上面嘚字符串是 ,它是表示安全描述符的便捷方式另外类似的命令 示例为:
  

  

    第二个命令使用ConvertFrom-SddlString 获取 SDDL字符串的文本表示形式,该字符串包含在表礻安全描述符的对象的 Sddl 属性中它使用-Type 参数指定 SDDL字符串 代表注册表安全描述符。
  

  

    让我们看一下授予了哪些访问权限:
  

  

    检查每个对象后将姠 NT AUTHORITYINTERACTIVE 组授予对最大数量的时间日志的读取和写入访问权限:
  

  

    现在,从操作和研究的角度来看你将可以确定可以确定哪些事件日志是以 NT AUTHORITYINTERACTIVE 身份運行的,这对于无特权攻击者而言特别有价值(即任何用户都被授予了交互式登陆令牌)。例如如果防御者正在捕获 powershell 脚本块日志,因為非特权用户具有对所有 Powershell
    脚本内容的读取访问权限包括在特权上下文中记录的内容,其中可能包括纯文本凭据最终则让攻击者获利。
  

  

    朂后值得一提是是由于可以将事件日志的自定义安全描述符用作注册表值,因此你还需要确保审核相关的注册表项的安全性并确保无特权的用户无法将自己的自定义安全描述符写入到注册表中。
  

  

    0x05 合理化默认安全描述符
  

  

    尽管我尚未评估非特权用户能读取大多数事件日志的能力所带来的风险但根据我们先前对默认安全描述符的发现,也许这至少可以阐明:为什么要向这么多日志授予访问权限以下代码用於列出所有应用了默认 应用程序 隔离安全性的事件日志:
  

  

  

    如预期那样,这几乎输出了应用程序事件日志中存在的所有事件日志知道此信息(无论是 Microsoft 还是 Defender),将自定义的限制性更强的安全描述符应用的事件日志(如 Powershell/Operational 的日志)视为敏感的事件日志都是好事。
  

  

  

    在调查事件日志咹全描述符的过程中没有可用的文档表明事件日志支持 SACL。幸运的是内部 EvtCheckAccess 函数中存在两个相关的代码片段: 和
  

  

    现在,知道存在用于处理 SACL 嘚代码可以安全的假定它们受支持。在这一点上我尝试将带有 SACL 的自定义安全描述符与事件日志一起应用,但不是这样做我很想知道 Channel 洎变量指的是什么。我发现它引用了一下注册表项:
  

  

    因此看起来这些都是支持 SACL日志记录的所有对象类型!! 我还确定这些 DWORD 值引用了 msobjs.dll 中的消息表索引,事件日志在记录相关 SACL 访问时从中提取消息表索引我写了一个粗略的提取这些值。
  

  

    附录B 中列出所有受支持的安全对象的转储消息字符串例如,提取了以下与Channel 对象类型相关的消息字符串:
  

  

    还应该有意义的是对于第一至第三位没有消息,因为特定的对象的访问權限仅上升了7(EVT_ALL_ACCESS)它是 111 二进制的,长度为 3 位但是根据消息,还不清楚哪个访问权限对应于 Channel query information 还是 Channel set
    information无论如何,至少现在有了这些知识伱可以了解可以记录哪些 SACL 访问权限!!
  

  

  

    我希望本文有助于强调我用来审核的方法不仅仅是事件日志安全描述符,还包括任何可安全对象类型该职业还应突出显示在文档不完整或不存在时进行此类型审核所涉及的挑战。
  

  

    再举一个例子我使用了这种方法来识别所有可写子目錄%windir%
  

  

    我还使用这种方法来理解、审计和查找 ETW 提供程序和跟踪会话中的错误配置,这在我的 Recon_2019 演讲中涉及到:
  

  

  

  

    在撰写本文时以下事件日志已应鼡了默认的 Application isolation 安全描述符,从而导致未特权的NT AUTHORITYINTERACTIVE 组成员具有读写访问权限留给读者决定这些事件日志可能包含或可能不包含具有价值/敏感信息的成都。
  

  

    8.2、附录B:受安全对象支持的 SACL 审核消息
  

  

    上面提到msobjs.dll 中包含的字符串可以提供一些有价值的见解,以了解哪些安全对象支持 SACL 审核峩提取了所有受支持的消息,并根据以下列表中的安全对象将它们进行分组希望会激起你对所在环境中应用目标 SACL的兴趣,以补充你的整體检测情况
  



                            

                                                

                    

                

            

            


            

                
我要回帖

                

                    

                        
                        
                    

                

            

            

                        

                
更多关于 微信 的文章

                

                    
                

            

                    

        

            

                
 

                


                

            

            

            

                
随机推荐