一種會話劫持技術通殺全部Windows版本,但這真的是漏洞嗎…
大家知道本地系統訪問許可權的Windows用戶可以重置其他用戶的密碼,但其實,本地許可權用戶還可以劫持其他用戶的會話呢,包括管理員用戶,而這個過程不需要知道用戶密碼。
以色列安全研究員Alexander Korznikov在個人博客中披露,本地高許可權用戶可以劫持任何已登錄Windows用戶會話,而不需要知曉用戶密碼,所需工具也僅僅是內置命令行工具。即便已登錄用戶許可權較高,也難以倖免。
發現過程
首先我們來看段視頻:RDP劫持有sethc後門的主機
Korznikov最近在研究sethc/utilman登錄界面後門,基本上每次都只用到了命令行。一個偶然的情況下,Korznikov查看了任務管理器(taskmgr.exe)中的用戶項,然後點擊「連接」,居然真的可以連上選中用戶的會話。
Korznikov再用本地管理員許可權嘗試,發現這時就需要用戶密碼了。
注意事項
1. 必須要有全面控制訪問許可權或者能夠連接的訪問許可權,來連接到另一個會話。
2. 用/dest:
3. 如果在
其實就是Windows登錄界面的粘滯鍵是使用NT AUTHORITY/SYSTEM用戶身份運行的,也就是以系統身份運行,擁有完全控制訪問許可權,可以連接到任一用戶會話,無需密碼。
這就有了我們上面所說的會話劫持。這裡最有趣的點在於,用這個技術去劫持,系統不會請求合法用戶登出,而是在沒有任何通知的情況下,直接將用戶踢出。
漏洞細節
本地用戶若能獲取NT AUTHORITY/SYSTEM許可權執行命令,就能夠劫持任何處於已登錄用戶的會話,而無需獲得該用戶的登錄憑證。終端服務會話可以是連接狀態也可以是未連接狀態。
Korznikov認為這是個高危漏洞,可允許任何本地管理員劫持會話並訪問:
1. 域管理員會話;
2. 被劫持用戶正在處理的任何未保存文件;
3. 被劫持用戶先前登錄的任何其他系統或應用(可能包括其他遠程桌面會話、網路共享映射、需要其他登錄憑證的應用、郵箱等)
實現條件
要成功利用,攻擊者必須物理接觸目標設備;不過,用RDP會話,也可以遠程實現攻擊。
影響版本
Windows 2016(推特用戶@GossiTheDog證實)
Windows 2012 R2
Windows 2008
Windows 10
Windows 7
PoC
用命令行實現,這個微軟文檔可以幫助我們:https://technet.microsoft.com/en-us/library/cc771505(v=ws.11).aspx
實現這些只需要NT AUTHORITY/SYSTEM命令行。用psexec很容易實現,但前提是要有psexec.exe
psexec -s \localhost cmd
另一種方法是創建一個服務,來連接目標會話。
1. 獲取所有會話信息:
C:Windowssystem32>query user
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
administrator 1 Disc 1 3/12/2017 3:07 PM
>localadmin rdp-tcp#55 2 Active . 3/12/2017 3:10 PM
C:Windowssystem32>
2. 創建劫持用戶會話的服務
C:Windowssystem32>sc create sesshijack binpath= "cmd.exe /k tscon 1 /dest:rdp-tcp#55"
[SC] CreateService SUCCESS
3. 啟動服務
net setart sesshijack
之後,當前會話就會替換成目標
視頻
用命令行在Windows7上實現
用創建服務在Windows12 R2上實現
這個真的是漏洞么?
Korznikov發現的這個問題並不完全是新的,六年前,有個名叫Benjamin Delpy的法國安全研究員也在自己的博客中記錄了類似的用戶會話劫持技術。
所以,其實微軟早就意識到這個問題的存在了,不過微軟很可能沒有將其視為漏洞,畢竟需要目標設備的本地管理員許可權,微軟很可能認為這是操作系統應有的行為。
安全研究員觀點
可能有人會認為這不算漏洞。但Korznikov認為它還是有很高的利用價值,他舉了個例子來說明:
某銀行職員能夠訪問賬務系統,並有登錄憑證。
某天,該職員正常來上班,登錄賬務系統,並開始日常的工作。然後,到吃飯的點了,他就鎖定了工作站,吃飯去了。
這時候,某系統管理員接近該員工的工作站,然後用管理員賬戶登錄。根據銀行的政策,管理員賬戶不能訪問賬務系統,但是只需要幾行內置命令,這個管理員就可以劫持去吃飯的員工鎖定的桌面。得手之後,這個管理員就可以以賬務員工身份在賬戶系統中為所欲為。
Korznikov認為像這樣的例子還有很多啊!
而且,攻擊者不需要metasploit、incognito、mimikatz這樣的工具,只要內置命令就可以!每一個管理員都可以偽裝成任何登錄用戶,這個可以在物理訪問的情況下實現,也可以通過遠程桌面協議實現。
Korznikov還就這個問題跟6年前的發現者Benjamin Delpy溝通了一番,Delpy認為:「這是正常的Windows API,這就是設計流程,他們就這樣用。像你之前提到的一樣,如果你是管理員,你什麼都能做。那麼你為什麼成為管理員以及如何成為管理員?如果某個低許可權用戶本地提權成為管理員,那才是問題,並不是我們討論的設計流程。你什麼都能做,你還可以修改終端服務,讓該服務接受你的token並允許影子模式,而用戶完全不會知道這個事情。」
*參考來源:thehackernews、korznikov的博客,FB小編kuma編譯,轉載請註明來自FreeBuf.COM
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※如何入侵大疆Phantom 3無人機
※滲透測試中利用基於時間差反饋的遠程代碼執行漏洞(Timed Based RCE)進行數據獲取
※數字取證技術 | Windows內存信息提取
※如何利用sdclt磁碟備份工具繞過UAC
※釣魚引發的APT攻擊回溯 | C&C伺服器位於韓國,whois註冊卻在中國上海
TAG:FreeBuf |
※有一種Beautisome叫李媛……這樣可攻可受、男女通殺的小姐姐哪裡找!
※Gucci這款鞋才是真正的男女通殺
※人氣驚人 Wanna One銷量音源通殺一位
※What?這些星座的魅力強大到男女通殺,你猜誰第一?
※韓國「黑客國家隊」天才少年,以一挑三通殺IE、Safari,已經被帥哭了。。
※英國王室都愛的Barbour外套為何男女通殺?
※iPhone 8全新配色實物圖曝光 男女通殺
※昆凌機場全黑look化身網癮少女 男女通殺頻獲搭訕超nice
※上能打CV下能打DD 全艦種通殺的神船竟然是她
※NBA球星都是她們的手下敗家,細數通殺NBA的女人們
※NBA球星都是她們的手下敗家,盤點:通殺NBA的女人們!
※全民通殺!她就是那個曾經挽救DC的女人
※他是澳門一代賭王,能辨音識骰,搖全骰通殺四方,卻嚴禁後代涉賭
※他不拼爹沒背景,卻在美國政界商界一路通殺,靠的是什麼?
※穩!NBA球星永遠過不了她們這關,盤點通殺NBA的女人們
※通殺各種難以駕馭的下裝,想要不一樣?
※網眼運動褲又污又可愛!托特包男女通殺,兩件tee都好看
※NBA球星都是她們手下敗將,盤點通殺NBA的女人們!
※簡單藥材做出3種通殺餌料,老釣客都不一定知道