MSI 安装策略提权
MSI安装策略提权是由于用户在配置MSI安装策略时,启用了“永远以高特权进行安装”(AlwaysInstallElevated,默认情况下为禁用状态),使得任何权限的用户都可以通过SYSTEM权限安装MSI程序。此时测试人员可以在目标主机上安装一个预先制作的恶意MSI文件,以获得SYSTEM权限。
MSI全称为Microsoft Installer, 是微软格式的应用程序安装包,实际上是一个数据库,包含安装和卸载软件时需要使用的大量指令和程序数据。
确定系统是否存在漏洞,成功利用AlwaysInstallElevated 提权的关键是用户在配置MSI安装策略时启用了“永远以高特权进行安装”。该选项启用后,系统会自动在注册表的以下两个位置创建键值“1”。
HKEY_ CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Installer \AlwaysInstallElevated
HKET_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated
测试人员可以执行以下命令:
reg query HKLM\ SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
通过查看注册表键值来确定目标系统是否开启了AlwaysInstallElevated 选项。
确定系统是否存在漏洞
成功利用AlwaysInstallElevated 提权的关键是用户在配置MSI安装策略时启用了“永远以高特权进行安装”。该选项启用后,系统会自动在注册表的以下两位置创建键值“1”。
HKEY_ CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated
HKET_LOCAL_ MACHINE\SOFTWARE\Policies\Microsoft\Windows \Installer\AlwaysInstallElevated
测试人员可以执行以下命令:
reg query HKLM\ SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
通过查看注册表键值来确定目标系统是否开启了AlwaysInstallElevated 选项,如图4-3-2
所示为启动状态。
访问令牌操纵
Windows操作系统的访问控制模型(AccessControlModel)是Windows系统安全性的基础构件,由访问令牌(Access Token) 和安全描述符(Security Descriptor) 两部分组成,二者分别被访问者和被访问者所持有。通过比较访问令牌和安全描述