Alejandro Canosa 25/02/2018
elevar_privilegios

Introducción

Entre las fases de Pentest es muy importante la fase de elevación de privilegios, pero, exactamente ¿qué es?, Microsoft nos lo define como; La elevación de privilegios resulta al proporcionar permisos de autorización a un atacante más allá de aquéllos concedidos inicialmente. Por ejemplo, un atacante con un conjunto de privilegios de permisos de “solo lectura” eleva de algún modo el conjunto para incluir la “lectura y escritura”.

Así que el día de hoy hablaremos sobre dos técnicas para elevar privilegios, pero lo haremos desde la perspectiva de un atacante, exactamente basándonos en las vulnerabilidades de FodHelper.exe y Slui.exe (esta vulnerabilidad también afecta perfectamente a Windows 8 y 8.1).

Mas información respecto a la parte teórica aquí:

FodHelper.exe

first-entry-welcome-and-uac-bypass/

Slui.exe

slui-file-handler-hijack-privilege-escalation

uac-mola-de-elevenpaths-ya-lo-infirio.html

Método FodHelper.exe

Esta vulnerabilidad en pocas palabras se basa en que el ejecutable FodHelper.exe en que este tiene una línea del registro vacía que nosotros podemos llenar con bajos privilegios y ejecutar código malicioso en él.

Para nuestra PoC del lado del atacante usaremos un Framework de post Explotación llamado Empire

En la imagen vemos que es un Windows 10 pro en el que nos encontramos, subiremos un ejecutable a la maquina víctima, ese ejecutable será el que meteremos en el registro para poder elevar privilegios.


El archivo vbs.exe es nuestro malware para la PoC pero se puede usar otro tipo de archivo que al dar clic derecho en el permita ejecutarse como administrador por ejemplo un archivo .bat

En donde dice %USERNAME% deben cambiarlo por el enorme del usuario de la sesión actual que tengan, en la imagen de abajo vemos que la llave del registro se ha creado

 

 

En la imagen de arriba vemos que en Empire tenemos una sesión con altos privilegios

Método Slui.exe

Al igual que el método anterior esta técnica igual consisten en modificar el registro porque también el binario tiene una cadena de registro vacía que nosotros podemos crear con pocos privilegios y llenaros con algún virus personal.

REG ADD “HKEY_CURRENT_USER\Software\Classes\exefile\shell\open\command” /d c:\Windows\System32\cmd.exepowershell.exe -c start-process c:\Windows\System32\slui.exe -verb runasREG DELETE “HKEY_CURRENT_USER\Software\Classes\exefile” /f

En este caso en particular tenemos que tener cuidado al ejecutarlo ya que podríamos saturar nuestro pc si no borramos la llave del registro, ya que al parecer Windows empezara a ejecutar infinidad de veces la llave del registro que creamos, esto no se verá reflejado en pantalla, pero si en el administrador de tareas todo se llenara de procesos svhost

En el momento que ejecutamos slui.exe debemos estar atentos cuando Empire diga que se completó la ejecución del comando e inmediatamente ejecutar el comando de borrar la llave del registro porque sino nuestro malware entrará en un loop infinito tratando de iniciarse pero no nos dará sesión hasta que borremos la llave del registro que le creamos

 

 

 

 

 

 

 

 

 

 

Vemos que ahora tenemos otro agente con privilegios altos, nos damos cuenta de ello por el * que está en el nombre del equipo comprometido.

 

Comparte si te gusta
  • 24
  •  
  •  
  •  
  •  
  •  
    24
    Shares

Deja un comentario.

Tu dirección de correo electrónico no será visible. Los campos obligatorios están marcados con *

* Se requiere casilla de verificación RGPD

*

Estoy de acuerdo

Esta web utiliza cookies puedes ver aquí la política de cookies. Si continuas navegando estás aceptándola