Attacking the OS
Users Account Control (UACs)
Thông thường một default RID 500 administrator account đều có UAC cao, khi Admin Approval Mode (AAM) bật thì nếu một user mới được add vào admin group thì nó cũng có mức độ UAC trung bình. Ví dụ khi một user trong group đăng nhập vào thì mặc định nó sẽ chỉ có những quyền cơ bản, khi muốn thực hiện quyền cao thì prompt UAC sẽ popup để add thêm quyền vào access token hiện tại của user đó
Kiểm tra xem UAC có đang bật hay không
Check UAC level
Bypass UAC
Weak Permissions
Weak permission on File
Tình hướng exploit: 1 service đang stop có thể chạy với quyền SYSTEM và file tại binPath của service đó cho phép bất kỳ user nào thay đổi -> Weak permission on File
Các bước exploit
Chạy SharpUp để check LPE (SharpUp)
Service đang stop, dùng icals để check quyền của binary
Replace binary và start servce
Weak Service Permissions
Tình huống exploit: 1 service chạy với quyền system nhưng cho phép bất kỳ user nào start, stop, edit -> Weak Service Permissions
Exploit
Chạy Sharpup để recon serivce
Dùng AcessChk để check per với service
Edit service
Restart service
Unquoted Service Path
Khi ta có 1 binPath như sau
Win sẽ load trực tiếp vào binary SystemExplorerService64. Còn khi ta có binPath như sau
Thì Win sẽ cố gắng load các thư mục sau để tìm binary
Lợi dụng điều này ta thêm binary vào các thư mục có thể chỉnh sữa để LPE
Searching for unquoted service path
Permissive Registry ACLs
Tương tự ý tưởng với weak service acls mà lần này ta sẽ exploit trên reg
Check ACL reg
Change image path
Kernal Exploit
Check Installed window update
Check xem phiên bản windows update cái gì thông qua HotFixID
Vulnerable Application
Recon các ứng dụng cài đặt trên máy
Last updated