![](https://img-blog.csdnimg.cn/img_convert/b83139e08d5820c24efc164945e60c1d.jpeg)
低权限的用户可以访问敏感注册表数据库文件,Windows 10和11被爆本地权限提升漏洞。
Windows Registry(注册表)是Windows操作系统的配置文件库,其中含有哈希后的密码、用户定制数据、应用配置选项、系统解密密钥等数据。
研究人员发现低权限的用户可以访问敏感注册表数据库文件后,Windows 10和Windows 11操作系统就可以实现利用这一问题实现本地权限提升。
与Windows注册表相关的数据库文件保存在C:\Windows\system32\config 文件夹下,并被分成不同的文件比如SYSTEM、SECURITY、SAM、DEFAULT和 SOFTWARE。这些文件中含有与设备上用户账号相关的敏感信息,以及Windows特征使用的安全token,因此没有特权的普通用户应当被限制查看权限。
尤其是Security Account Manager (SAM)文件,其中含有系统中所有用户的哈希后的密码,攻击者可以利用这些信息来推测用户身份。
任何人都可以读取SAM文件
安全研究人员Jonas Lykkegaard称发现Windows 10和Windows 11中与Security Account Manager (SAM)相关的注册表文件以及其他注册表数据库都可以被设备上低权限的user组访问。
BleepingComputer研究人员在Windows 10 20H2设备上确认了这些权限:
![](https://img-home.csdnimg.cn/images/20230724024159.png?be=1&origin_url=https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/9fe92035a78e4229922ac988abf11e4f~tplv-k3u1fbpfcp-zoom-in-crop-mark:4536:0:0:0.image%29 SAM文件的文件权)
由于文件权限很低,因此权限非常有限的攻击者也可以提取设备上NTLM哈希过的口令并使用这些哈希值来获取提升后的权限。
SAM文件这样的注册表文件经常被操作系统使用,当用户尝试访问该文件时,常常会收到文件已打开或被其他程序锁定的访问限制提示。
![](https://img-blog.csdnimg.cn/img_convert/3fbffd46e2fdbec9dd4e6b8020e9cf08.png)
无法访问打开的SAM文件
但包括SAM在内的注册表文件会在Windows卷影副本中备份,而访问卷影副本不会出现访问限制的情况。
比如,攻击者可以使用如下的win32设备命名空间路径来访问SAM文件:
\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SAM
由于低文件权限和不准确的文件权限,以及文件的卷影副本,安全研究人员Benjamin Delpy称可以非常容易地窃取其他账号的NTML哈希密码来实现权限提升。
PoC视频如下所示:
除了窃取NTLM哈希值和进行权限提升外,Delpy称低访问权限还可以用于其他的攻击活动,比如Silver Ticket攻击。
目前,尚不清楚微软为什么要讲注册表的权限修改为普通用户也可以读取。但CERT/CC漏洞分析员 Will Dormann称,微软是在Windows 10 1809 版本中引入的这些权限变化。Dormann在安装今年6月最新版本的Windows 10 20H2时这些低权限的情况并没有发生。
## 最后
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
干货主要有:
①1000+CTF历届题库(主流和经典的应该都有了)
②CTF技术文档(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ CTF/渗透测试工具镜像文件大全
⑦ 2023密码学/隐身术/PWN技术手册大全
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
扫码领取
![](https://img-blog.csdnimg.cn/img_convert/fed5d74abbef0d1d54ce3de2770419db.png)