Leo thang đặc quyền là gì?

Đây được coi là một trong những bước quan trọng khi Hacker đột nhập vào các hệ thống. Giả sử bạn chiếm được quyền và đăng nhập vào hệ thống Win NT. Nhưng user bạn lấy được không có quyền tương đương như nhóm Administrators mà thuộc nhóm có quyền thấp hơn. Như vậy ta không có quyền làm nhiều thao tác như Admin. Vậy phải làm gì?

Đó là vấn đề chúng ta đề cập đến: LEO THANG ĐẶC QUYỀN hay còn gọi là LEO THANG MỨC ƯU TIÊN. Nếu đột nhập tìm ra một tài khoản không phải là admin, chúng ta chỉ có thể gắng định danh thêm thông tin để giành được quyền ưu tiên cao hơn. Bằng cách lục sùng càng nhiều thông tin hệ thống càng tốt, chúng ta có khả định danh khả năng truy cập các thư mục quan trọng như: %systemroot%/system32 và %systemroot%.

Chúng ta còn phải tính đến khả năng truy cập Registry. Việc này thường gọi là tiến trình thu hút thông tin. Chúng ta sẽ đi đến với công cụ tự bổ sung người dùng vào nhóm Administrators.

GETADMIN: là một chương trình nhỏ do Konstantin Sobolev viết để bổ sung một người dùng vào nhóm Adminstrators cục bộ. Nó thường dùng lõi NT cấp thấp để ấn định một cờ toàn cục cho phép truy cập mọi tiến trình đang chạy, sau đó dùng một kỹ thuật tên "tiêm DLL" (DLL injection) để chèn một đoạn mã ác ý vào một tiến trình có quyền ưu tiên bổ sung các người dùng vào nhóm Adminstrators (tiến trình mà nó đánh cướp có tên là winlogon, chạy dưới tài khoản system).

Hạn chế của Getadmin là nó phải chạy cục bộ trên hệ đích. Do hầu hết người dùng không thể đăng nhập cục bộ vào một hệ phục vụ NT theo ngầm định, nên nó chỉ thực sự hữu ích để lừa đảo các thành viên của nhóm Operators lập sẵn (Account, Backup, Server...) và tài khoản hệ phục Internet ngầm định, IUSR_machine_name, có quyền ưu tiên này. Nếu ta có sẵn mức ưu tiên này trên hệ phục vụ, thì ta có quyền truy cập mọi thứ khác theo ý muốn.

Getadmin chạy theo cú pháp: Getadmin User_Name. Với User_Name là tên người dùng cần bổ sung vào nhóm Adminstrators. Người dùng được bổ sung vào nhóm Administrators trong phiên làm việc phải đăng xuất trước mới có hiệu lực (để kiểm tra tư cách thành viên trong nhóm này, bạn cố gắng chạy Windisk; chỉ có Admin mới chạy được nó).

Getadmin hay như vậy đó! Vì thế, lỗ thủng Getadmin nhanh chóng được vá đắp bằng một post-SP 3 hotfix, sẵn dùng từ Mircosoft. Nhưng không phải thế mà chịu thua. Ngay tức khắc hậu duệ của Getadmin là crash4 bypass được hotfix này. Chỉ cần bạn chạy crash4 trước khi chạy getadmin thì hotfix hình như chưa bao giờ có mặt!!!

SECHOLE:Sechole là một công cụ tương tự như getadmin - nó bổ sung người dùng vào nhóm Administrators. Một phiên bản của nó mang tên Secholed đặt người dùng trong nhóm Domain Admins. Tuy nhiên nó làm việc với cơ chế khác hoàn toàn với getadmin. Được công bố bởi Prasad Dabak, Sandeep Phadke và Milind Borate, sechole sửa đổi các chỉ lệnh trong bộ nhớ của lệnh gọi Open Process API để có thể tấn công thành công một tiến trình có ưu tiên, bất chấp nó có quyền làm thế hay không.

Sau khi tiến công được một tiến trình ưu tiên, nó tác động tương tự như getadmin, có nghĩa là chạy mã trong tiến trình đó để bổ sung người dùng hiện tại vào nhóm Administrators cụ thể. Giống như getadmin, sechole cũng phải chạy cục bộ trên hệ đích. Tuy nhiên, nếu hệ đích đang chạy Internet Information Server (IIS) của Microsoft và thỏa mãn một số điều kiện nhất định, sechole có thể khởi phát ở một ví trí ở xa, bổ sung tài khoản người dùng Internet, IUSR_machine_name, vào nhóm Administrators, hoặc Domain Admins.

Thi hành Sechole từ xa:

Điều kiện đầu tiên và khoá nhất phải thỏa mãn đó là kẻ tấn công phải có quyền truy cập một thư mục IIS có thể ghi và thi hành.

Sau đó ta tải các tập tin thi hành sechole và các thư viện DLL kết hợp, trình diễn dịch lệnh NT, cmd.exe, một chương trình tên Ntuser để sửa đổi các người dùng, nhóm, và nội quy (www.pedestalsoftware.com).

Sau khi tải lên, mã Sechole phải được khởi phát. Điều này được hoàn thành bằng cách nhập URL thích hợp vào một trình duyệt web nối với máy đích. Kế tiếp là bổ sung tài khoàn IUSR_machine_name vào nhóm Adminstrators.

Để bỏ qua nhu cầu đăng nhập với tư cách IUSR, mà mật hiệu của nó chưa biết lúc này, ta phải bổ sung một người dùng mới vào hệ đích bằng trình tiện ích ntuser, khởi phát từ trình duyệt, thông qua URL sau đây (Ví dụ):

http://192.168.202.154/scripts/cmd.exe?/c%...ssword%20secret "%20"

Biểu hiện cho các thông tin trung gian đến hệ phục vụ web, do dó điều này phiên dịch thành hành động chạy lệnh dưới đây trên hệ đích (cmd/c gửi lệnh ntuser cho một hệ võ kết thúc khi hoàn thành):

cmd /c ntuser -s add -password

Ví dụ của chúng ta là dùng tên "corp1"làm tên hệ phục vụ, "mallory"tên người dùng, "secret"là mật hiệu. Dùng một URL tương tự, ta có thể ntuser để bỗ sung "mallory"vào nhóm Administrator. Cú pháp ntuser trong trường hợp này như sau (tên gọi LGROUP chỉ định một nhóm cục bộ):

cmd /c ntuser -s LGROUP APPEND < groupname>

Thực tế, ta phải dùng URL như sau:

http://192.168.202.154/scripts/cmd.exe?/c%...ators%20mallory

Nhờ nâng cấp tài khoản IUSR thành Administrator và sau đó bổ sung một người dùng mới có ưu tiên Admin, ta có thể sở hữu hệ phục vụ web này.

----------------------

Các tools, tìm kiếm như thế nào??? Vào mục "Hack Tool" để download hoặc vào Google rồi gõ tên của tool mà tôi đã cho và Enter. Google sẽ cho bạn cả đống tài liệu và nơi download của chúng.

----------------------

Còn nhiều cách để leo thang nữa.Nhưng tôi chỉ đề cập đến hai cách đơn giản như vậy thôi. Hy vọng bạn áp dụng tốt đối với hệ thống WinNT.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ kimprinceat (23/11/2003)

Thứ Tư, 19/08/2020 17:23
51 👨 3.368
0 Bình luận
Sắp xếp theo