什么是Windows Rid劫持技術

本篇文章為大家展示了什么是Windows Rid劫持技術，內(nèi)容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

大家好，今天給大家分享的是一個Msf框架中關于后滲透階段的模塊，這個模塊有趣的地方在于，它在某種程度上來說是完全隱形的。開發(fā)者把這種技術叫Windows Rid劫持。

一. 模塊簡介

首先我們簡單了解下該技術所針對的核心——RID。Windows都使用安全帳戶管理器（SAM）來存儲本地用戶和內(nèi)置帳戶的安全描述符。正如“安全主管如何工作”（鏈接https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc779144(v=ws.10)）中所述，每個帳戶都有一個指定的RID來標識它。與域控制器不同，Windows工作站和服務器會將大部分數(shù)據(jù)存儲在HKLM\SAM\SAM\Domains\Account\Users項中，這需要訪問System權限。

有時候，在某些環(huán)境中維持訪問權限是相當棘手的，特別是在不可能執(zhí)行諸如創(chuàng)建或?qū)⒂脩籼砑拥焦芾韱T組、轉儲用戶的憑據(jù)或散列哈希、部署持久的shell或任何可能觸發(fā)對受害者發(fā)出警報的任何東西時。只有使用系統(tǒng)資源才能持久化的訪問，那么還有什么更方便的呢？

msf中的rid劫持模塊實現(xiàn)了這一點。Rid_Hijack模塊是一個關于后滲透階段用來維持權限的模塊，該模塊將通過修改現(xiàn)有帳戶的某些屬性在目標系統(tǒng)上創(chuàng)建一個條目。它將通過設置一個相對標識符（RID）來更改帳戶屬性，該標識符應由目標機器上的一個現(xiàn)有賬戶擁有。利用一些Windows本地用戶管理完整性的缺陷，該模塊將允許使用一個已知帳戶憑證（如GUEST帳戶）進行身份驗證，并使用另一個現(xiàn)有帳戶（如Administrator帳戶）的權限進行訪問，即使禁用了Administrator賬戶。模塊在MSF中名字為post/windows/manage/rid_hijack，如果沒有下載的話可以去rapid7的github倉庫中下載放在相應目錄下啟動Msfconsole后輸入“reload_all”便可在msf中使用。鏈接如下：    https://github.com/rapid7/metasploit-framework/pull/9595        

Rid劫持模塊會自動的將攻擊者與受害者的任何現(xiàn)有帳戶相關聯(lián)。在模塊執(zhí)行后是非常正常的，因為hashdump和wmic命令加載lsass.exe模塊執(zhí)行之前運行的用戶信息和其他進程。另一方面，當以任何人登錄到機器時，通過使用由模塊修改的注冊表鍵來獲得特權。此模塊不會更改它所在的所有注冊表項中的用戶的RID，但只能在導致完整性問題被利用的一個注冊表項中。這意味著它不會將所有系統(tǒng)數(shù)據(jù)中的RID從一個更改為另一個（例如在你的情況下，從501到500），這就是為什么這個攻擊是完全隱秘的。

二. 漏洞影響版本

Windows XP，2003.（32位）

Windows 8.1專業(yè)版。（64位）

Windows 10.（64位）

Windows Server 2012.（64位）

該模塊未經(jīng)過測試，但可能適用于：?其他版本的Windows（x86和x64）

三. 漏洞復現(xiàn)

這個模塊的工作原理就是在Windows受害者上建立一個meterpreter會話。它將嘗試查看權限（并在需要時獲取它們）并修改與指定帳戶關聯(lián)的注冊表項。靶機IP：192.168.192.128 操作系統(tǒng)為win7 64位。（測試賬戶5ecurity本身為普通權限）

該模塊的利用基礎是建立在拿到目標系統(tǒng)的meterpreter會話之后的，所以首先需要拿到目標系統(tǒng)的meterpreter會話。

加載msf中自帶的mimikatz模塊，用于抓取目標系統(tǒng)中的明文密碼。

通過wgigest命令抓取普通賬戶5ecurity的密碼為5ecurity。然后加載我們文中的主要利用模塊。

輸入Show options獲取所需配置的參數(shù)。的簡要說明：?GETSYSTEM：如果為true,將嘗試獲取目標系統(tǒng)的SYSTEM權限。?GUEST_ACCOUNT：如果為true，將使用目標系統(tǒng)用戶帳戶作為攻擊者的帳戶。?RID：將分配給攻擊者帳戶的RID。這個值應該由一個現(xiàn)有賬戶擁有，意圖被劫持。默認設置為 500 。?USERNAME：設置后，將用作生效的用戶帳戶，并將其視為攻擊者帳戶。如果參數(shù)GUEST_ACCOUNT被指定，這個參數(shù)將被忽略。?PASSWORD：設置后，它會將帳戶密碼設置為該值。我們將需要配置的參數(shù)一一配置，指定meterpreter會話的session    id給Rid劫持模塊。

運行模塊，可以看到模塊運行的很順利。

然后通過我們抓取到的普通權限賬號5ecurity登錄，就可以發(fā)現(xiàn)一些神奇的地方。

再進行一些其他命令的操作確定自己的權限。

使用普通權限的5ecurity賬戶在system32目錄下成功進行寫入操作。完成Rid劫持。

上述內(nèi)容就是什么是Windows Rid劫持技術，你們學到知識或技能了嗎？如果還想學到更多技能或者豐富自己的知識儲備，歡迎關注億速云行業(yè)資訊頻道。