Windows权限维持技巧之隐藏服务

  • A+
所属分类:安全文章

0x01注册服务

将后门注册为windows自启动服务是常见的后门维持手法,使用命令sc或者powershell命令都可以将自己的后门程序注册为自启动服务。

使用sc命令将后门程序注册为自启动服务,并以LocalSystem的身份运行:

Windows权限维持技巧之隐藏服务

手动启动服务或重启计算机,后门执行。虽然手动执行时提示启动失败,但实际上后门已经成功执行:

Windows权限维持技巧之隐藏服务

msf成功建立新会话,查看权限为system

Windows权限维持技巧之隐藏服务

虽然成功实现了服务自启动,但是这个权限维持的方法很容易被检测。因为创建新的服务后可以检索到这个服务,如果防御者看到名字不熟悉的服务就会怀疑这是恶意的服务。通过sc命令或者get-service命令可以查看该服务的信息。

使用sc查看指定名字的服务信息状态:

Windows权限维持技巧之隐藏服务

或使用sc命令查看服务的配置信息,后门文件直接保留:

Windows权限维持技巧之隐藏服务

使用powershell中的get-service 也可以查看服务信息

Windows权限维持技巧之隐藏服务

0x02 隐藏服务

为了不被防御者发现用于权限维持的服务,可以考虑将服务隐藏。Joshua Wright提供了一种方法,通过SDDL(安全描述符语言)修改服务的安全描述符,文章附在文末的参考文献中。Windows系统中服务和文件一样,都使用了安全描述符(SD)配置该安全对象对于哪些访问对象都允许哪些权限。

Joshua Wright提供的方法使用sc 命令的sdset模块可以修改服务的安全描述符,命令如下:

sc.exe sdset test "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Windows权限维持技巧之隐藏服务

再次使用get-service命令查看服务信息,服务不存在

Windows权限维持技巧之隐藏服务

使用sc.exe查看服务信息拒绝访问

Windows权限维持技巧之隐藏服务

使用sc.exe查询所有服务信息并过滤名为“test”的服务,结果为空

Windows权限维持技巧之隐藏服务

0x03 原理

SDDL

Windows服务支持使用安全描述符定义语言(Security Descriptor Definition Language | SDDL)控制服务权限的功能。通过修改SDDL可以修改对象(文件或者服务)的DACL(自主访问控制列表),从而修改用户对对象的访问控制。通过对服务的SDDL进行编辑,拒绝所有用户对该服务的读取权限,即实现服务隐藏的效果。

SDDL语法:

符号描述
O: - OwnerG: - Primary GroupD: - Discretionary ACL (DACL) S: - System ACL (SACL)
ACE 类型描述
A: - Access AllowedD: - Access DeniedOA: - Object Access AllowedOD: - Object Access DeniedAU: - System AuidtAL: - System AlarmOU: - System Object AuditOL: - System Object AlarmML: - System MAndatory Label
服务相关符号权限
CC:- 服务配置查询LC: - 服务状态查询SW: - SERVICE_ENUMERATE_DEPENDENTSRP: - 服务启动WP: - 服务停止DT: - 服务暂停DC: - 服务配置更改
SD: - 删除
继承标志位OI:- 表示该ACE可以被子对象继承CI:- 表示该ACE可以被子容器继承IO:- 仅作用于子对象NP:- 仅被直接子容器继承,不继续向下继承
对象
"IU":- 交互登陆用户
"AU":- 认证用户
"SU":- 服务登陆用户
格式(允许/拒绝;继承;权限列表;;对象)

使用powershell 命令查看文件夹的SSDL:

get-acl [c:windows] | fl

Windows权限维持技巧之隐藏服务

那么分析之前隐藏服务的命令,隐藏服务主要用到的SDDL为:

D:(D;;DCLCWPDTSD;;;IU)  //拒绝交互登陆用户的服务配置、查询、状态查询、暂停和删除权限(D;;DCLCWPDTSD;;;SU)    //拒绝登陆用户的服务配置、查询、状态查询、暂停和删除权限(D;;DCLCWPDTSD;;;BA)    //拒绝认证用户的服务配置、查询、状态查询、暂停和删除权限

组策略实现服务隐藏

在了解了原理之后,发现实际隐藏服务的操作实际是修改服务权限,使服务对所有用户的查询等权限拒绝。

在【组策略管理编辑器->计算机配置->策略->Windows配置->安全设置->系统服务】中同样可以修改服务的权限

通过组策略编辑器取消所有用户对服务DHCP Client 服务的读取权限

Windows权限维持技巧之隐藏服务

使用get-service 查看DHCP Client 查看该服务,发现服务不存在

Windows权限维持技巧之隐藏服务

0x04 防御

在通过本文的方法隐藏后,下列方法都无法查询到服务的信息

PS C:WINDOWSsystem32> Get-Service | Select-Object Name | Select-String -Pattern 'test'PS C:WINDOWSsystem32> Get-WmiObject Win32_Service | Select-String -Pattern 'test'PS C:WINDOWSsystem32>sc.exe query | Select-String -Pattern 'test'

如果事先知道服务的名称并拥有服务停止权限,使用Get-Service停止服务会提示无法打开

Windows权限维持技巧之隐藏服务

如果服务不存在,则停止服务时会提示服务不存在

或使用sc查询服务信息,会提示没有权限

Windows权限维持技巧之隐藏服务

但是使用sc查询服务配置信息可以查到,因为没有拒绝用户的服务配置查询权限

Windows权限维持技巧之隐藏服务

上述方法还拒绝了停止权限,因此无法停止,但依然会提示与服务相关的信息

Windows权限维持技巧之隐藏服务

所以为了更好的隐藏服务信息,可以对上述方法的SDDL进行更改,增加查询服务配置信息拒绝项(CC):

sc.exe sdset test "D:(D;;DCLCWPDTSDCC;;;IU)(D;;DCLCWPDTSDCC;;;SU)(D;;DCLCWPDTSDCC;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

0x05 还原

通过删除拒绝相关的SDDL语句,即可让服务正常被查询

& $env:SystemRootSystem32sc.exe sdset auto_calc "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Windows权限维持技巧之隐藏服务

0x06 参考文章

https://cqureacademy.com/blog/windows-internals/sddl

https://www.sans.org/blog/red-team-tactics-hiding-windows-services/

Windows权限维持技巧之隐藏服务

作者:Queen_sea_surfer,文章来源:FreeBuf


关注公众号:HACK之道

Windows权限维持技巧之隐藏服务
如文章对你有帮助,请支持点下“赞”“在看”

本文始发于微信公众号(HACK之道):Windows权限维持技巧之隐藏服务

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: