Malware Dev 02 - Windows SDDL 后门利用之 SCManager

原创 已于 2023-03-02 23:28:59 修改 · 974 阅读 · 2 ·
CC 4.0 BY-SA版权
本文为博主原创文章,未经博主允许不得转载。
文章标签:

#windows #SDDL #SCManager #后门 #权限维持

于 2023-03-02 11:47:35 首次发布

写在最前

如果你是信息安全爱好者,如果你想考一些证书来提升自己的能力,那么欢迎大家来我的 Discord 频道 Northern Bay。邀请链接在这里:

https://discord.gg/9XvvuFq9Wb

我拥有 OSCP,OSEP,OSWE,OSED,OSCE3,CRTO,CRTP,CRTE,PNPT,eCPPTv2,eCPTXv2,KLCP,eJPT 证书。

所以,我会提供任一证书备考过程中尽可能多的帮助,并分享学习和实践过程中的资源和心得,大家一起进步,一起 NB~

背景

看到 Grzegorz Tworek(@0gtweet)的有关于 SDDL 后门利用的推文,感觉非常新奇。所以花时间学习了一下 SDDL,并且动手实践了一下 SCManager 的利用。

Windows 的访问控制(或者就是权限管理)让人摸不着头脑(想象 Linux 真的是单纯又简单),一会儿 SDDL,一会儿 ACL,一会儿 ACE,一会儿 DACL,一会儿 SACL,一会儿安全描述符(Security Descriptors),这些都是什么东西。这篇文章,我们一起浅析一下 Windows 访问控制(Access Control)。

其实不用被这么多术语所迷惑,等我们接下来用实际的例子把 SDDL 解释一遍,整个 Windows 访问控制就基本上清晰了。

在对 Windows SDDL 权限管理有一定的了解之后,我们再一起看一下对于 SDDL 的后门利用。

Windows 访问控制列表(Access Control List)

定义

Windows 访问控制,或者通常就叫权限,是随处可见的。每一个文件,每一个文件夹,甚至每一个注册表的键值,每一个服务,都有各自的权限(Permissions)。

每个用户,或者组,对于一个文件的权限。

在这里插入图片描述

每个用户,或者组,对于一个文件夹的权限。

在这里插入图片描述

每个用户,或者组,对于一个注册表键值对的权限。

在这里插入图片描述

以上看到的内容,就是 Windows 中,一个用户,或者组的 Access Control List(访问控制列表)。这是 GUI 上的样子,那么我们深入到最底层,Access Control List 又是什么样子的呢?

我们来看一下用户或者组,对于一个 Windows 服务的权限。

拿 Print Spooler 服务举例。

sc.exe sdshow Spooler

这就是 Windows 访问控制列表的真实样子。以下红框中的内容,就是本文要剖析的,Windows SDDL 安全描述符定义语言。

在这里插入图片描述
看到这里,想必大家会深深爱上 Linux 😄

Access Control List(访问控制列表),是 Windows 整个权限系统的统称。如果有一个包含关系,那么 Access Control List 就是外层最大的那一个圈,包含着接下来讨论的所有概念。

Windows SDDL

定义

SDDL,Security Descriptor Definition Language,是 Windows 中,以 字符串形式 来对一个对象的 安全描述符 做定义的语言。

安全描述符,指的是一种可以表示一个对象的所有者(O),所属组(G),对不同主体(用户,组)所开放的权限(DACL),以及系统审计规则(SACL)的数据结构。如下图。

图片来自https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-azod/ec52bde3-9c86-4484-9080-e72148a2d53b

字符串形式,指的就是 安全描述符 的表现形式。

SDDL,就是用来定义 安全描述符 的语言。

在这里插入图片描述
上图红框中过的字符串,就是 Print Spooler 服务的 SDDL 定义。

SDDL 的格式

SDDL 的格式如下:

O:owner_sid
G:group_sid
D:dacl_flags(string_ace_1)(string_ace_2)…(string_ace_n)
S:sacl_flags(string_ace_1)(string_ace_2)…(string_ace_n)

如果 SDDL 以 D 开头,代表着这条 SDDL 定义的是一条 DACL。

如果 SDDL 以 S 开头,代表着这条 SDDL 定义的是一条 SACL。

DACL 和 SACL,都包含着数量不等的 ACE(string_ace)。

每一条 ACE,都包含着 6 个以分号分隔的成员。我们之后会展开细说。

O 和 G 不常出现,也不是我们的重点。

接下来,我们就这里出现的几个新术语,DACL,ACE,SACL,一一做解释。

DACL

定义

DACL, Discretionary Access Control List,中文译为 自由访问控制列表。其实有点不太准确。Discretionary,翻译成 量化,可能更为恰当。量化控制列表,指的就是对于各个不同的主体,我们分别给与了什么样的权限。

我们以 test-file.txt 文件的 SDDL 来举例说明。

cacls test-file.txt /S
<
最低0.47元/天 解锁文章

200万优质内容无限畅学
0pr
关注
专栏目录
[Win32] SCManager 服务控制管理器API(1)
zuishikonghuan的博客
08-20 5596
1。OpenSCManager 打开服务控制管理器 函数原型: SC_HANDLE WINAPI OpenSCManager( _In_opt_ LPCTSTR lpMachineName, _In_opt_ LPCTSTR lpDatabaseName, _In_ DWORD dwDesiredAccess );lpMachineName:置NULL lpD
[Win32] SCManager 服务控制管理器API(2)
zuishikonghuan的博客
08-21 4212
在上一篇博文“[Win32] SCManager 服务控制管理器API(1)”中(地址:http://blog.csdn.net/zuishikonghuan/article/details/47803033),讲到了打开服务控制管理器、创建服务、打开服务、删除服务、获取服务状态、启动服务、发送控制码,这一篇继续。 9。枚举服务
OpenSCManager function
行者无疆的专栏
06-06 1919
Reference: http://msdn.microsoft.com/en-us/library/windows/desktop/ms684323(v=vs.85).aspx Example Reference: http://msdn.microsoft.com/en-us/library/windows/desktop/ms682006(v=vs.85).aspx   Est
WindowsWindows服务管家婆之Service Control Manager
weixin_33806509的博客
09-29 4100
    Service Control Manager,服务控制管理器,人称SCM就是它!在Windows内核中,都可以看到她忙碌的身影,可以说是系统服务和驱动的管家婆了!     SCM管家婆起早贪黑,每次系统启动,她也随着而起。她凭借着自己的努力,终于在Windows的内核占据了一席之地,调配着手下许多服务和驱动。SCM她到底具有什么能力呢?她是一种远程过程调用服务,为普通程序操控计算机的服...
11_SCM服务管理组件
成长需要沉淀。
11-26 1385
(Service Control Manager)服务管理器是 Windows 操作系统中的一个关键组件,负责管理系统服务的启动、停止和配置。服务是一种在后台运行的应用程序,可以在系统启动时自动启动,也可以由用户或其他应用程序手动启动。本篇文章中,我们将通过使用 Windows 的服务管理器(SCM)提供的API接口,实现一个简单的服务管理组件的编写。开发者可以通过使用 Windows API 提供的相关函数(例如等)与 SCM 进行交互,中的服务。
Malware Dev 04 - 隐匿之 ETW(Event Tracing for Windows)Bypass
0pr
03-06 2654
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETW(Event Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。
Malware-Sample-Sources:恶意软件样本来源
05-23
恶意软件样本源-恶意软件样本库的集合 这是一个旨在使恶意软件分析人员更容易找到病毒样本进行分析,研究,逆向工程或审查的项目。 恶意软件很难发现,更不用说对所有可能的地方都有深刻的了解。...
wp-gateway-anti-malware-sets-bar-cn.pdf
04-08
McAfee Gateway Anti-Malware技术作为Intel® Security产品系列的重要组成部分,针对新出现的威胁提供了一个有效的防御平台。这项技术采用模块化设计,易于添加新组件,从而保持了最大的灵活性和扩展性。 McAfee ...
rising-anti-malware-team-lame-machine-learning-34764-1756660439255.zip
最新发布
09-07
从给定的压缩包文件信息中可以看出,该压缩包涉及的主题是“机器学习”,特别关注于对抗恶意软件的领域。其中的“stm32”可能指的是一种广泛用于嵌入式系统的微控制器,暗示项目可能与硬件级别的恶意软件防护有关。...
[SC] 0penSCManager 失败 5:的解决方式
qq_44534541的博客
02-22 505
使用管理员权限运行cmd窗口,然后再操作,执行成功。
win10 计算机描述,怎么设置win10以安全描述符定义语言(SDDL)语法表示的计算机访问权限...
weixin_35562225的博客
07-25 836
怎么设置win10以安全描述符定义语言(SDDL)语法表示的计算机访问权限腾讯视频/爱奇艺/优酷/外卖 充值4折起现在很多人都在使用win10电脑,系统为了保证用户安全推出了以安全描述符定义语言(SDDL)语法表示的计算机访问权限功能,接下来小编就给大家介绍一下怎么设置该功能。具体如下:1.首先第一步鼠标右键单击左下角【开始菜单】图标,在弹出的菜单栏中根据下图箭头所指,点击【运行】选项。2. 第...
【原创】Windows服务管家婆之Service Control Manager
weixin_34259232的博客
08-11 960
Service Control Manager,服务控制管理器,人称SCM就是它!在Windows内核中,都可以看到她忙碌的身影,可以说是系统服务和驱动的管家婆了! SCM管家婆起早贪黑,每次系统启动,她也随着而起。她凭借着自己的努力,终于在Windows的内核占据了一席之地,调配着手下许多服务和驱动。SCM她到底具有什么能力呢?她是一种远程过程调用服务,为普通程序操控计算机...
SDDL安全模板编写
尘埃落定
04-28 3248
怎样编写安全模板(权限设置DIY之SDDL简介) 怎样编写安全模板(权限设置DIY之SDDL简介)Author: joyadam@myrealbox.com Windows 2000 提供了使用“安全模板”管理单元方式定义安全性的集中式方法。对于一个网络管理员而言,安装系统并进行安全配置不再是一项繁琐的工作了,现在需要做的事情只有维护一个安全模板文件
window权限维持——利用安全描述符隐藏服务后门进行权限维持
mingyqf的博客
02-18 871
操作可参考:https://blog.csdn.net/nicai321/article/details/122424652 侵删 原创 oulaa [宽字节安全] 通过注册服务创建后门后门程序注册为自启动服务是我们常用的一种进行权限维持的方法,通常可以通过sc或者powershell来进行创建。 cmd创建自启动服务 sc create ".NET CLR Networking 3.5.0.0" binpath= "cmd.exe /k C:\Users\aa\Desktop\beacon.exe
2024年【实战】服务隐藏与排查 Windows 应急响应(2),2024最新网易网络安全面试题目
2401_84132685的博客
05-05 372
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
文件夹 文件 加入/去除 Everyone全控
weixin_33875564的博客
04-08 216
文件夹 加入/去除 Everyone全控 Code 文件夹 加入/去除 Everyone全控#region 文件夹 加入/去除 Everyone全控 protected void Button2_Click(object sender, EventArgs e) {     /**/////--增加方法1     //string DirectoryName = "D:\\Free";...
windows下安装nexus repository manager 3.3
gaga2284的博客
04-27 2844
1,下载 下载地址:https://www.sonatype.com/oss-thank-you-win64.zip 2,安装. 把下载好之后的文件解压到C盘任意位置. 然后以管理员身份运行 "命令提示符" 到解压的文件夹下bin文件夹内输入 nexus.exe/install 看到提示 Installed service 'nexus'  即为成功. 然后 输入 nexus.ex
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值