LPE. Что это такое, зачем нужно и какие способы есть?
https://telete.in/hacker_sanctuary
В случае заимствования данной информации, указывайте авторство — Telegram-канал "Убежище Хакера".
Давно на канале не выходило теоретических постов, про хакинг. В данном посте мы рассмотрим тему LPE, что это и зачем нужно.
Что это?
LPE — Local Privilege Escalation, кто знает английский понимает о чём идёт речь. Если переводить, то примерно верный перевод "Локальная эскалация привилегий", но слово "эскалация" достаточно редко используемое и не всем понятное, поэтому его обычно заменяют на слово "повышение" и получает "Локальное повышение привилегий".
Из названия понятно, что это поднятие привилегий и при этом локально. Поднятие привилегий должно быть понятно, мы просто получаем доступ к некоторым функциям или действиям, которые нам были не доступны. А что означает "локальное"?. А означает это то, что мы уже находимся в системе с какими либо правами, например мы получили SSH-доступ из под какого-либо пользователя и хотим получить рут-доступ. Процесс получение рут-доступа и будет являться LPE. При этом стоит отметить, что любое LPE связано с взаимодействием с системой или приложениями, запущенными в ней.
Резюмирую, можем сказать, что LPE — это процесс повышение своих прав и возможностей в системе, осуществляемый непосредственно в самой системе и при взаимодействии с системой, как пользователь.
Зачем это нужно?
Повышение привилегий — один из этапов эксплуатации системы (взлома). Так как зачастую мы после взлома можем получить только непривилегированный доступ с ограниченным функционалом, а для полного захвата машины, её протроянивания и прочего, нужен полный доступ.
LPE нужно, для повышение своих возможностей и прав в системе, с помощью которых вы сможете получить полный доступ к системе, тем самым захватив её.
Зачастую получай веб-шелл на сайте, вы будете работать от прав, например, www-data. Это крайне ограниченный пользователи и нужно повышать свои права, для этого и есть LPE.
Какие способы есть?
LPE можно осуществлять различными образами:
- Плохие конфигурации системы (сюда подходи очень многое)
- Уязвимости ОС
- Уязвимости приложений
По больше части пентестеры или блеки пользуются рядом популярных методов, которые связаны с особенностями настройки той или иной ОС. Редко, но бывает, используются эксплоиты (уже готовые). И в самых крайних случаях, когда ломают что-то реально серьёзное, создаются 0-day эксплоиты под систему.
Уязвимости приложений, работающих в системы, как и уязвимости ОС используются примерно следующим образом:
Как работают эксплойты по повышению привилегий в ОС Windows
Для будущих студентов курса «Пентест. Практика тестирования на проникновение» подготовили авторскую статью от нашего эксперта — Александра Колесникова.
Также приглашаем записаться на открытый вебинар по теме «Windows ad: сбор информации, эскалация привилегий. Эксплойты и уязвимости последних 5 лет.»
Тема получения безграничного доступа к системе очень интересна в контексте тестирования на проникновение. Получить доступ к системе и запустить команду — сегодня это только половина победы. Вторая половина достигается только в тот момент, когда удается обойти подсистемы песочниц и ограничений, которые есть в операционной системе.
Эта статья расскажет о некоторых особенностях эксплойтов для повышения привилегий в операционной системе Windows.
Privileges in Windows
Для понимания, как работает эскалаций привилегий, необходимо разобраться с разграничением доступа в операционной системе Windows. Описание системы разграничения доступа можно найти на официальном сайте. Согласно документации, разграничение доступа в ОС Windows строится на следующих понятиях:
У каждого из перечисленных объектов есть свой индивидуальный идентификатор SID. Вообще, этот идентификатор используется для обозначения любого объекта, с которым работает операционная система, и для него требуется контроль доступа, но нас интересует в первую очередь использование этого идентификатора в контексте пользователей, групп и их прав. Идентификатор используется для того, чтобы создать для пользователя токен доступа. Данный токен содержит информацию о том, какие права имеет пользователь и группы, в которые он входит. Токен будет использоваться для подтверждения или запрета действий над объектами операционной системы, называемыми “Securable Objects”. Токены доступа бывают:
Primary token — токен, которым наделяет пользователь процесс, когда запускает приложение.
Impersonation token — токен, который может работать от имени любого пользователя операционной системы. Также может применяться для клиент-серверного взаимодействия или для запуска потока процесса с другими привилегиями.
Отсюда становится ясно, что основная цель любой эскалации привилегий — это получение токена доступа, который создается привилегированными пользователями. В общем случае, в ОС Windows это стандартные пользователи, которые называются: “Administrator” и “System”. Именно их токены открывают двери к любой информации, которая есть в операционной системе.
Из официальной документации токен состоит из отдельных объектов:
Структура достаточно сложная и просто так скопировать или модифицировать ее не получится из-за того, что токен хранится в защищенном от модификации месте (как сказано в документации). Выясним, где она находится. Для этого запустим операционную систему Windows в отладочном режиме и исследуем все структуры, которые используются для работы процесса. Если обратиться снова к официальной документации, то начинать стоит со структуры EPROCESS.
Получается, что информация о токене процесса хранится в ядре и поэтому в документации это помечено как область, которую нельзя изменить. Теоретически это действительно так: обычные приложения, которые работают в 3-м кольце, не могут модифицировать то, что хранится в 0-м. Но если модифицировать из ядра структуру внутри ядра, то здесь нет никаких ограничений и противоречий. Обратимся к отладчику:
Жирным цветом выделен адрес структуры EPROCESS, чтобы изучить её более подробно вызовем команду отладчика:
Похоже, что и искать долго не придется, токен находится буквально сразу. В 64-битных операционных системах ссылка на него находится по смещению 0x208. Чтобы ее прочитать нужно маскировать адрес:
Это адрес, который необходимо маскировать полностью, кроме последнего байта:
Над адресом токена нужно вызвать одноименную команду и мы можем убедиться, что действительно, как указано в документации, токен содержит информацию, которая была заявлена:
Из рисунка видно, что все привилегии, которые содержит токен, располагаются в виде битовой маски и имеют названия, которые начинаются с префикса “Se”. Именно эти поля нам и нужно модифицировать, чтобы операционная система позволяла процессу читать что угодно в операционной системе. Определившись с целью, время поговорить об атаках на набор привилегий, уязвимостях и экспортах к ним.
LPE или что делать с токеном
Изменение привилегий в токене может быть весьма тривиальной задачей несмотря на то, что эти самые привилегии очень сложно структурированы. Основной атакой, которую применяют для эскалации привилегий — перезапись ссылки на токен, которая содержится в структуре EPROCESS. Иными словами токен не изменяется, меняется адрес, где лежит токен. Обычно этот адрес выбирается из системного процесса, который постоянно может присутствовать в операционной системе. Результатом такой операции становится процесс или отдельный поток, который может делать в ОС всё, что угодно. Ниже приведем пример кода, который позволяет произвести кражу токена:
Приведенный выше код позволяет скопировать токен для текущего процесса из системного процесса с идентификатором 4. Стоит отметить, что код должен быть запущен в контексте ядра операционной системы. Это означает, что он либо должен быть выполнен драйвером, либо шелкодом, который будет загружаться в память через уязвимость операционной системы.
Уязвимости и эксплойты
Операционная система Windows, как и любая другая сложная система, насчитывает миллионы строк кода. И, как в любом большом проекте, его размер не позволяет исключать ошибки и недочеты. На картинке ниже представлена статистика найденных в ОС уязвимостей последних 5 лет. В нее включены уязвимости для повышения привилегий:
Данные об уязвимостях взяты отсюда. Статистика показывает, что уязвимостей достаточно, чтобы можно было найти себе необходимую для повышения привилегий. Для исследования будем использовать готовые эксплойты. Попробуем восстановить последовательность действий, которые проводятся для достижения цели — эскалации привилегий. Список уязвимостей будет следующим:
CVE-2015-2546
Уязвимость в Win32k модуле операционной системы, повреждение памяти. Фрагмент эксплойта, который отвечает за изменение токена процесса:
Кажется, это тот самый код, который был представлен выше. В нем видоизменен подход к поиску токена, но основная идея та же — получить ссылку на токен из процесса с PID=4(System.exe).
CVE-2016-3309
Уязвимость в Win32k, снова проблема с повреждением памяти, взглянем на кусок кода, который используется для замены токена:
В этом случае автор использовал язык программирования C, так же была изменена часть поиска адреса токена, но снова методика замены токена — перезапись адреса из системного процесса.
CVE-017-0101
Уязвимость в user32 GDI объектах и снова повреждение памяти. Код замены токена:
Код скопирован из эксплойта 2016 года, похоже, что на этот период примитивы для проведения эскалаций привилегий еще пока что не митигировались в Windows.
CVE-2018-8120
Уязвимость в Win32k компоненте, в этот раз неверно обрабатывается nullpointer, код для замены токена:
Автор эксплойтов явно не спешит использовать что-то другое или хотя бы новое. Снова код, который ищет System.exe и использует его токен.
CVE-2019-1458
Уязвимость в Win32k, повреждение памяти, код замены токена:
Вот и первые изменения, автор больше не мог использовать код, который его выручал на протяжении 3х лет. Теперь токен заменяется через примитивы, которые использовались для эксплуатации уязвимостей в Windows 10 — метод Bitmap. По механике он делает тоже самое, но достигается это за счет использования объектов подсистемы Win32k.
CVE-2020-0796
Уязвимость в драйвере, который обрабатывает SMBv3 запросы. Проблема таилась в переполнении целочисленного типа, который отвечал за количество выделяемой памяти в ядре. Код замены токена:
Случай с этой уязвимостью — особенный. В первую очередь потому, что замена и перезапись токена осуществляется за 1 проход при получении неверно сформатированного запроса по SMBv3, поэтому в исходнике не происходит никаких дополнительных вычислений и действий по отношению к токену System.exe и процесса пользователя.
Вместо заключения
При тестировании на проникновение часто возникает необходимость использовать тот или иной публичный эксплойт на эскалацию привилегий. При этом не всегда можно найти подробное описание эксплойта и привести его в работоспособное состояние. Надеюсь, эта статья помогла вам увидеть шаблоны, которые применяются для написания эксплойтов, и теперь разбираться в них станет чуточку легче. К тому же, как показывает описание выше, способов на повышение привилегий не так много, а именно один — изменение ссылки на токен процесса. Все остальное это просто модификации способа как ссылку можно перезаписать.
Узнать подробнее о курсе «Пентест. Практика тестирования на проникновение».
Записаться на открытый вебинар по теме «Windows ad: сбор информации, эскалация привилегий. Эксплойты и уязвимости последних 5 лет.»
Lpe что это
Англо-русский словарь технических аббревиатур . 2011 .
Смотреть что такое «LPE» в других словарях:
LPE — can refer to:* lambda pi eta, a fraternity * LAN Peru, a Peruvian airline * Lapeer (Amtrak station), Michigan, United States; Amtrak station code LPE. * Lightweight Programmer s Editor for UNIX * Lingenfelter Performance Engineering, an American… … Wikipedia
LPE — Cette page d’homonymie répertorie les différents sujets et articles partageant un même nom. Sigles d’une seule lettre Sigles de deux lettres > Sigles de trois lettres Sigles de quatre lettres … Wikipédia en Français
Lpe — Als Zweckgesellschaft, engl.: Special Purpose Vehicle (SPV) oder Special Purpose Entity (SPE) wird eine juristische Person bezeichnet, die für einen klar definierten und eingegrenzten Zweck gegründet wird.[1] Nach Erreichen ihres Zwecks kann die… … Deutsch Wikipedia
LPE — Die Abkürzung LPE steht für Flüssigphasenepitaxie (engl. liquid phase epitaxy) eine Zweckgesellschaft (engl. limited purpose entity ) Diese Seite ist eine Begriffsklärung zur Unterscheidung mehrerer mit demselben Wor … Deutsch Wikipedia
LPE — lipoprotein electrophoresis; liquid phase epitaxy; lysophosphatidylethanolamine … Medical dictionary
lpe — ISO 639 3 Code of Language ISO 639 2/B Code : ISO 639 2/T Code : ISO 639 1 Code : Scope : Individual Language Type : Living Language Name : Lepki … Names of Languages ISO 639-3
LPE — 1. Launch Processing/Pad Element Contributor: MSFC 2. Liquid Phase Epitaxial Contributor: CASI 3. Liquid Phase Epitaxy Contributor: LaRC … NASA Acronyms
LPE — Lycée Polyvalent d État … Sigles et Acronymes francais
LPE — abbr. Loop Preparation Equipment … Dictionary of abbreviations
LPE — • lipoprotein electrophoresis; • liquid phase epitaxy; • lysophosphatidylethanolamine … Dictionary of medical acronyms & abbreviations
Статья Windows LPE (Local Privilege Escalation [Bypas UAC 2018 slui.exe method] )
Всем доброго времени суток колеги.
Сегодня речь пойдет об относительно новом способе обхода User Account Control (UAC) и способе (LPE) — поднятия привилегий в системе Windows 8-10 x64 и x86 системах.
PS: Пишу сразу на двух форумах по этому :
CopyRights : <<< MisterBert0ni aka DarkNode >>>
- Описания работы эксплоита
- Демонстрация работы эксплоита
- Вспомним про Web Delivery через PowerShell
- Вспомним про RegSVR способ подгрузки
- Похожие эксплоиты
Имя: Slui File Handler Hijak LPE
Дата публикации: 15.01.2018
Целевая ОС: Microsoft Windows
Патч: НЕТУ
Уязвимые версии: Windows 8-10 (x64 и x86)
Ссылка на сам експлоит
ПРИНЦИП РАБОТЫ ЭКСПЛОЙТА:
В операционной системе Windows версии 8-10 был обнаружен бинарный файл slui.exe — который является auto-elevated приложением ,так сказать — самоповышаемым.
Это дает возможность использовать обработчик файловых асоциаций для хайджекинга в привилегированый процесс.
Простыми словамя говоря:
Мы создаем в реестре Windows запись , которая скажет что при открытии всех *.EXE файлов — будет выполнятся наша команда или вредоносный файл, после чего запускаем slui.exe , соответственно вместо slui.exe запустится наш пейлоад от имени администратора.
Для того чтобы понять как это работает давайте приступим к практической части:
1) Допустим у нас сессия без повышеных привилегий