如何使用SCCM和Viewfinity進(jìn)行提權(quán)實(shí)驗(yàn)

這篇文章給大家分享的是有關(guān)如何使用SCCM和Viewfinity進(jìn)行提權(quán)實(shí)驗(yàn)的內(nèi)容。小編覺得挺實(shí)用的，因此分享給大家做個(gè)參考，一起跟隨小編過來看看吧。

SCCM Software Center

系統(tǒng)中心配置管理器（SCCM）支持管理員將軟件安裝程序發(fā)布到Software Center，或當(dāng)前登錄的用戶，更常見的是以NT Authority\System權(quán)限運(yùn)行。 有關(guān)SCCM部署類型的更多信息，請(qǐng)參閱此處。

根據(jù)安裝程序命令的部署方式，惡意用戶可能會(huì)使用這些列入白名單的安裝程序來提升其計(jì)算機(jī)上的權(quán)限。通常，如果允許用戶與安裝程序進(jìn)行交互，這將是可能的。下面是一個(gè)場(chǎng)景的示例。

可以看到Software Center發(fā)布的應(yīng)用程序“Flowdock”可用于安裝，并被標(biāo)記為“Attended Install”。

安裝程序運(yùn)行，并允許我們?cè)O(shè)置安裝路徑，這對(duì)于此攻擊（通常）是必不可少的條件。因?yàn)槿绻绦虮话惭b到Program Files，低權(quán)限用戶將無法寫入安裝目錄。 相反，如果我們可以控制安裝路徑，則可以將安裝路徑更改至我們擁有足夠權(quán)限的位置。這里，我選擇將該程序安裝到我的桌面。

繼續(xù)安裝進(jìn)程，直至看到完成按鈕的界面。接著，我們啟動(dòng)PowerShell。

在PowerShell中備份flowdock.exe程序，并將cmd.exe復(fù)制到flowdock.exe。然后，我們選中“Launch Flowdock”復(fù)選框完成安裝。

cmd.exe啟動(dòng)后，我們鍵入whoami命令，可以看到當(dāng)前我正以NT Authority\System權(quán)限運(yùn)行。

Viewfinity

在為某客戶做測(cè)試時(shí)，我使用owerUp等工具進(jìn)行初始探測(cè)后并沒有任何的發(fā)現(xiàn)。因此，我決定開始手動(dòng)查看。根據(jù)以往的經(jīng)驗(yàn)，我首先觀察的就是當(dāng)前運(yùn)行的進(jìn)程?；蛟S我能找到一個(gè)0day，因?yàn)槲矣凶銐虻臅r(shí)間和耐心去一一的測(cè)試這些服務(wù)。一番瀏覽后，一個(gè)Viewfinity的進(jìn)程引起了我的注意。這是一個(gè)權(quán)限管理軟件，與Software Center有些不同，因?yàn)樗梢杂糜诤诿麊?、白名單和特?quán)提升。

起初，我并不知道這個(gè)軟件，當(dāng)我瀏覽文件系統(tǒng)時(shí)，我看到一個(gè)名為vf_elevate.exe的可執(zhí)行文件。經(jīng)過一番研究后，我找到了配置文件，并試圖弄清楚這個(gè)程序是如何工作的。下圖是該配置文件的片段截圖。

由于在多個(gè)位置引用了組和權(quán)限，因此XML難以導(dǎo)航，我決定信任程序組名稱。我下載了Sysinternals Process Explorer，以及在配置文件中引用的Wireshark版本。這里，我沒有使用上述SCCM中描述的方法。而是按照通常的做法，安裝Wireshark并立即啟動(dòng)了它。

通過Process Explorer我們可以看到，該進(jìn)程的Integrity Level為high，這說明它具有完整的管理員權(quán)限，但當(dāng)前仍以低權(quán)限用戶身份運(yùn)行。這與Software Center的行為方式不同。我無法確定Viewfinity使用什么機(jī)制來提升權(quán)限（如果你知道，可以在Twitter上告訴我）。

在搗鼓Wireshark時(shí)，我?guī)缀鯂L試了所有的可能性，例如使用打開或?qū)С鰧?duì)話框啟動(dòng)cmd。我發(fā)現(xiàn)從這些對(duì)話框中啟動(dòng)的任何內(nèi)容都將以medium等級(jí)運(yùn)行，并且不會(huì)繼承Wireshark的權(quán)限。幸運(yùn)的是，這里有一個(gè)Lua腳本控制臺(tái)被內(nèi)置在Wireshark中。我使用Lua啟動(dòng)了cmd，可以看到它的進(jìn)程啟動(dòng)級(jí)別為high，這相當(dāng)于我獲取了一個(gè)具有管理員權(quán)限的shell。

為了驗(yàn)證我當(dāng)前的運(yùn)行身份，我創(chuàng)建了一個(gè)用戶，并將他們添加到本地管理員組中。

使用net user命令查看用戶列表，可以看到新創(chuàng)建的用戶以成功被添加至管理員組。

感謝各位的閱讀！關(guān)于“如何使用SCCM和Viewfinity進(jìn)行提權(quán)實(shí)驗(yàn)”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，讓大家可以學(xué)到更多知識(shí)，如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到吧！