Windows Privilege Escalaction (Unquoted Service Path)
السلام عليكم ورحمة الله وبركاته
الحمد لله على جميع نِعمه علينا ما علمنا منها وما لم نعلم حمداً والصلاة والسلام على نبينا محمد اشرف الخلق والمرسلين, اما بعد:
مقدمة:
في هذي المقالة راح نشرح كيف ممكن ترفع صلاحيتك عن طريق Unquoted Service Path بس قبل نبدا في التطبيق لازم نفهم كذا نقطة مهمة عشان وقت الاستغلال يكون واضح لك كل شي قاعد نسويه
اولا خلونا نعرف ايش تعني Unquoted Service Path بعض السيرفس المسارات حقتها تحتوي على مسافات ف نظام الوندوز راح يعاملها معاملة اخرى اذا ماكانت تحتوي على علامات تنصيص " " كيف يعني ! راح اعطي مثال ونشوف كيف انه راح يعاملها معاملة اخرى
نفترض عندنا هذا المسار:
C:\Program Files\Unquoted Path Service\Common Files\unquotedpathservice.exe
ف اذا صار رن للسيرفس ايش راح يسوي وندوز بالضبط راح يروح لمجلد ورا مجلد ويجرب ينفذ الاسم تبع المجلد على انه ملف exe ف اول شي راح يروح لمسار
C:\Program.exe
بعد كذا اذا مالقى انه exe راح يروح للمجلد اللي بعدة وينفذه على انه ملف exe
C:\Program Files\Unquoted.exe
وهكذا الى ان يوصل الى ملف ال exe حق السيرفس وينفذه طيب نحن هدفنا انه نشوف كل مجلد ورا ملف السيرفس اللي هو unquotedpathservice.exe هل في مجلد وراه يحتوي على صلاحية كتابة عشان راح نحط ملف الريفيرس شيل بنفس اسم المجلد عشان يتنفذ قبل يوصل الى ملف السيرفس وينفذه اتمنى وضحت الفكرة يلا ننتقل للعملي
الشرح:
كالعادة انا انا داخل بيوزر محدود الصلاحية والهدف انه نوصل الى اعلى صلاحية على النظام
بعد كذا راح استخدم اداة winpease هذي الاداة غنية عن التعريف راح تسوي enumerate للنظام بحيث تشوف هل في امكانية انه نرفع صلاحيتنا عن طريق services وغيرة
اول شي راح تنقل السكربت الى النظام المخترق عن طريق smb server او عن طريق ال http انا راح انقلة عن طريق smb server ف راح استخدم اداة بالبايثون ممكن انه تنزلها من قيت اب
هذي الاداة على موقع قيت اب:
طبعا بعد تنزل الملف السكربت راح يطلب منك مدخلين اللي هم
shareName sharePath
الشير نيم تقدر تحط اي اسم مجلد من مخليتك
الشير باث راح تحط مسار المجلد اللي يحتوي على السكربت اللي راح تنقلة للنظام المخترق
ف راح يكون الأمر كالتالي بالنسبة لي:
بعد كذا راح نروح نكتب هذا الأمر على النظام اللي مخترقينة بحيث يتحمل سكربت winpease على النظام
طبعا الايبي اللي انا حاطة بالأمر الايبي تبع الكالي حقي عشان محد يتلخبط
بعد كذا راح نشغل السكربت
نلاحظ انه السكربت يقولنا السيرفس هذي لا تحتوي على علامات تنصيص بس قبل نبدا ف الاستغلال راح نتاكد من شي مهم اللي هل عندنا صلاحية انه نقدر نسوي start او stop للسيرفس لان لو مانقدر نسوي start او stop للسيرفس ماينفع نستغلها
عن طريق هذا الامر راح نعرف :
sc query unquotedsvc
طيب راح استخدم اداة accesschk عشان اعرف هل عندي امكانية انه اسوي start او stop للسيرفس او لا
هذا الرابط اللي وده يحملها :
طيب خلونا نكمل راح ارفع الملف على النظام المخترق وراح انفذ هذ الأمر:
نلاحظ انه عندنا صلاحية انه نسوي start او stop للسيرفس
اللحين راح نشوف كل مجلد ورا السيرفس هل عندنا عليه صلاحية كتابة او قراءة
C:\Program Files\Unquoted Path Service\Common Files\unquotedpathservice.exe
عن طريق هذا الامر:
accesschk.exe /accepteula -uwdq FolderPath
نلاحظ انه ماعندنا صلاحية كتابة او قراءة على مجلد ال C
نروح نشوف المجلد اللي بعده اللي هو Unquoted Path Service
نلاحظ انه المجلد Unquoted Path Service عندنا صلاحية كتابة وقراءة عليه
اللحين فقط راح نسمي الريفيرس شيل حقنا على نفس اسم الملجد القادم اللي هو Common.exe
اللحين راح اتنصت على البورت اللي انا حاطه في الريفيرس شيل عن طريق النت كات
بعد كذا اللي باقي لنا انه نسوي ستارت للسيرفس وراح يمشي على النهج اللي شرحته بداية المقالة ويشغل الريفيرس شل حقنا
امر تشغيل السيرفس:
net start unquotedsvc
وبكذا حلصنا على اعلى صلاحية على النظام عن طريق Unquoted Service Path
شاكر لكم .
التعليقات (0)
لايوجد لديك حساب في عالم البرمجة؟
تحب تنضم لعالم البرمجة؟ وتنشئ عالمك الخاص، تنشر المقالات، الدورات، تشارك المبرمجين وتساعد الآخرين، اشترك الآن بخطوات يسيرة !