Privilege Escalation DLL Hijacking

السلام عليكم ورحمة الله وبركاته

الحمد لله على جميع نِعمه علينا ما علمنا منها وما لم نعلم حمداً والصلاة والسلام على نبينا محمد اشرف الخلق والمرسلين, اما بعد:

مقدمة:

في هذي المقالة راح نشرح رفع الصلاحيات عن طريق ال DLL Hijacking

بعض السيرفس تعتمد على ملفات DLL وقت تشغيلها لكن اذا ملف ال DLL اللي تعتمد عليه السيرفيس انحذف راح يقوم وندوز بالبحث عنه فيه عدة مسارات طبعا راح اذكرها لكم:

The current directory of the service
C:\Windows\system32
C:\Windows
C:\Users\AllUsers\AppData\Local\Microsoft\WindowsApps
C:\Temp

 نفترض لو عندنا صلاحية كتابة على احد هذي المسارات وكمان نعرف انه في سيرفس تعتمد على ملفات dll ف راح نسوي ملف خبيث يكون امتداده dll ويكون بنفس اسم الملف اللي يبحث عنه السيرفيس

لكن للاسف من الصعب انه تعرف هل السيرفيس هذي تعتمد على dll او لا الا عن طريق برنامج Proccess Monitor وهذا البرنامج يتطلب صلاحية عالية

الشرح:

طيب اول شي انا داخل بيوزر محدود الصلاحية كالعادة اللي هو user

بعد كذا راح استخدم اداة winpease ونشوف النتائج مع بعض

نلاحظ انه عندنا صلاحية كتابة على مجلد Temp ونحن ذكرنا سابقا ان مجلد Temp احدى المجلدات اللي يتم فيها البحث عن ملفات DLL

هذي السيرفس اللي مصابة ب DLL Hijacking

ملاحظة: طبعا زي ماذكرت لكم سابقا صعب تعرف انها مصابه الا ببرنامج Proccess Monitor وهذا البرنامج يتطلب صلاحية عالية

الان بشوف هل عندي صلاحية انه اسوي start و stop للسيرفيس او لا عن طريق اداة accesschk

نلاحظ انه معنا صلاحية انه نسوي Start و Stop للسيرفس ونحن تعلمنا ف المقالات السابقة الخاصة بالسيرفيسيس انه لو ماعندنا صلاحيه ان نسوي Start و Stop ماراح نقدر نستغل السيرفيس

طيب اللحين راح اسوي ملف خبيث عن طريق اداة msfvenom

اسم الملف الخبيث لازم يكون بنفس اسم الملف اللي تبحث عنه السيرفيس

طيب كيف عرفت ان اسمه hijackme برضه عن طريق برنامج Proccess Monitor وهذا البرنامج يتطلب صلاحية عالية

الان راح انقل الملف الخبيث الى مجلد Temp

الان راح اتنصت على البورت الخاص بالملف الخبيث عن طريق netcat

بعد كذا راح اسوي start للسيرفيس عن طريق هذا الامر:

 net start dllsvc

وبكذا نكون رفعنا صلاحياتنا عن طريق DLL Hijacking

شاكر لكم.