Windows服務帳戶是特權升級的首選攻擊面之一,如果你能夠盜用此類帳戶,則獲得最高特權非常容易,這主要是由於作業系統默認將強大的模擬特權授予服務。
即使Microsoft引入了WSH(Windows Service Hardening),你也無法「降低」標準Windows服務的能力,但如果你需要構建或部署第三方服務,則可以通過使用WSH。在這篇文章中,我將向你展示一些有用的技巧。
利用虛擬帳戶
顯然,服務必須使用特定帳戶運行,有一些內置的Windows帳戶,例如Local Service和Network Service。但是也可以使用自我管理(無需處理密碼)的虛擬帳戶,並且你可以通過設置正確的權限來授予特定權限ACL位於資源上。這使你能夠隔離服務,並且在出現攻擊的情況下,它們只能訪問你允許的資源。虛擬帳戶也可以訪問網絡資源,但是在這種情況下,它們將模擬計算機帳戶(COMPUTERNAME $)。
使用虛擬帳戶配置服務
首先,你無需創建VSA,在安裝服務後,系統會自動以以下格式為你創建一個匹配帳戶:
NT SERVICE\
你所需要做的就是將帳戶分配給你的服務:
不要忘記將密碼欄位留空。
限制對虛擬帳戶的訪問
現在,你的服務是在特定帳戶下運行的,而不是像Local Service或Network Service這樣的通用帳戶,你可以在文件和目錄等資源上實現細粒度的訪問控制:
刪除不必要的特權
模擬特權無疑會增加攻擊面,因此,如果你的服務不需要模擬,為什麼我們應該將其授予此服務用戶呢?
是否可以刪除此默認特權?當然可以!我們可以直接在註冊表中或使用「 sc.exe」命令配置特權:
這些值將被寫入註冊表:
讓我們看看特權是否被刪除:
可以看到,危險的特權已被刪除,再也無法將它重新找回,例如,使用此帖子中介紹的@itm4n的技巧。
寫入受限令牌
如果將此額外的組添加到服務令牌中,則可以進一步限制服務帳戶的權限。
這意味著默認情況下,你只能讀取或執行資源,除非你明確授予寫入訪問權限:
參考及來源:https://decoder.cloud/2020/11/05/hands-off-my-service-account/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺「網易號」用戶上傳並發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.