作者:Mars 发布:2014-03-04 11:36
影响版本:windows server 2003(其他未测)
详情:windows操作系统内置system账户,权限高于任何其他账户,在没有其他账户密码的情况下,只要管理会话存在,就可以直接接管其他账 户的会话。特别是在AD域环境中,该漏洞显得尤其严重,攻击者只需要有一台域成员PC的先关权限,并且AD管理会话存在,就可以直接接管AD域管理员会 话,从而控制整个域。
测试用例:
1.以testsystem账户远程桌面登录服务器,可以在任务管理器的用户面板中看到test账户的会话,右键远程接管test账户会话的时候会提示输入密码,由于我们没有test账户的密码,所以无法接管该会话(即使是黑客,也不会轻易修改管理员的密码吧?)
2.我们都知道系统 内置system账户,通过testsystem账户将c:\windows\system32\sethc.exe用explorer.exe替换。断 开远程连接,重新登录,到登录界面的时候按5次shift,可以调出system用户的界面。到此我们可以直接获得system账户的权限。
注:此时登录框并未消失,从这里可以判断,在用户未登录的情况下,大部分系统的前期初始化都是使用system账户进行的,多危险啊,比本地溢出啥的危险多了。
3.此时可以使用system账户直接接管任意会话,而不需要知道密码。当然前提是会话存在(一般远程管理服务器的人都不会注销会话吧?注销了运行的服务也就断了)。
4.经过测试,在域环境中,如果域管理员会话存在,照样可以直接接管,而无需任何密码。这点危害尤其严重,如果黑客控制了一台机器,便可以少去很多提权的麻烦了,直接可以控制整个域。
转自:http://www.cngrayhat.org/archives/317
转载请注明:jinglingshu的博客 » 从本地管理员到域管理员提权