Post112 nn

Dos formas de Elevar privilegios en Windows 10


Img 2344
Misael Banales

Introducción


Entre las fases de Pentest es muy importante la fase de elevación de privilegios, pero, exactamente ¿qué es?, Microsoft nos lo define como; La elevación de privilegios resulta al proporcionar permisos de autorización a un atacante más allá de aquéllos concedidos inicialmente. Por ejemplo, un atacante con un conjunto de privilegios de permisos de "solo lectura" eleva de algún modo el conjunto para incluir la "lectura y escritura".

Así que el día de hoy hablaremos sobre dos técnicas para elevar privilegios, pero lo haremos desde la perspectiva de un atacante, exactamente basándonos en las vulnerabilidades de FodHelper.exe y Slui.exe (esta vulnerabilidad también afecta perfectamente a Windows 8 y 8.1).


Mas información respecto a la parte teórica aquí:

FodHelper.exe

first-entry-welcome-and-uac-bypass/

Slui.exe

slui-file-handler-hijack-privilege-escalation

uac-mola-de-elevenpaths-ya-lo-infirio.html

Método FodHelper.exe


Esta vulnerabilidad en pocas palabras se basa en que el ejecutable FodHelper.exe en que este tiene una línea del registro vacía que nosotros podemos llenar con bajos privilegios y ejecutar código malicioso en él.

Para nuestra PoC del lado del atacante usaremos un Framework de post Explotación llamado Empire




En la imagen vemos que es un Windows 10 pro en el que nos encontramos, subiremos un ejecutable a la maquina víctima, ese ejecutable será el que meteremos en el registro para poder elevar privilegios.




El archivo vbs.exe es nuestro malware para la PoC pero se puede usar otro tipo de archivo que al dar clic derecho en el permita ejecutarse como administrador por ejemplo un archivo .bat




En donde dice %USERNAME% deben cambiarlo por el enorme del usuario de la sesión actual que tengan, en la imagen de abajo vemos que la llave del registro se ha creado



En la imagen de arriba vemos que en Empire tenemos una sesión con altos privilegios

Método Slui.exe


Al igual que el método anterior esta técnica igual consisten en modificar el registro porque también el binario tiene una cadena de registro vacía que nosotros podemos crear con pocos privilegios y llenaros con algún virus personal.


REG ADD "HKEY_CURRENT_USER\Software\Classes\exefile\shell\open\command" /d c:\Windows\System32\cmd.exe
powershell.exe -c start-process c:\Windows\System32\slui.exe -verb runas
REG DELETE "HKEY_CURRENT_USER\Software\Classes\exefile" /f

En este caso en particular tenemos que tener cuidado al ejecutarlo ya que podríamos saturar nuestro pc si no borramos la llave del registro, ya que al parecer Windows empezara a ejecutar infinidad de veces la llave del registro que creamos, esto no se verá reflejado en pantalla, pero si en el administrador de tareas todo se llenara de procesos svhost




En el momento que ejecutamos slui.exe debemos estar atentos cuando Empire diga que se completó la ejecución del comando e inmediatamente ejecutar el comando de borrar la llave del registro porque sino nuestro malware entrará en un loop infinito tratando de iniciarse pero no nos dará sesión hasta que borremos la llave del registro que le creamos





Vemos que ahora tenemos otro agente con privilegios altos, nos damos cuenta de ello por el * que está en el nombre del equipo comprometido.



Artículos que te pueden interesar