Совсем недавно наткнулся на очередную возможность организовать себе возможность получить повышенные права для учетной записи, что бы у администраторов практически не было возможности это обнаружить. Хочу об этой возможности вам рассказать.
Само собой ниженаписанное придумал не я. Информация взята тут и тут .
Там человек обнаруживший ниже описываемую дыру в безопасности довольно подробно описывает проблему. Рекомендую посмотреть видео по второй ссылке. Я же не буду глубоко останавливаться на причинах проблемы, покажу просто как ей можно воспользоваться.
Для того что бы воспользоваться данной штукой, вам должны быть известны данные о логине и пароле какой-нибудь учетки, для которой мы будем повышать права, и под которой в будущем будем работать. А также у вас должен быть админский доступ к компьютеру.
Вам должно быть известно, что у каждой учетной записи в Windows есть SID (Security Identifier). Что-то вроде такой последовательности:
S-1-5-21-747213911-2464844788-759671440-1003
Здесь последняя группа – это RID (Relative Identifier) (1003 в примере). У встроенной учетной записи администратора RID всегда 500. Так вот, во время авторизации, по этому RID определяются полномочия пользователей.
Если каким-то образом удастся изменить ваш RID на 500 – то система будет думать, что вы Администратор, и полномочия в системе у вас будут соответствующие, при этом, то, что у вас будет учетная запись с повышенными правами, знать никто не будет, то есть вы не будете видны в админских группах.
Посмотреть ваш SID вы всегда можете командой
whoami /all
Заменить этот самый RID как выяснилось, не составляет никакого труда. Для этого достаточно изменить всего один параметр в ветке реестра:
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
По умолчанию доступа к содержимому этой ветки у администраторов нет, поэтому сперва нужно их получить.
Дальше нужно узнать RID аккаунта который мы планируем повысить в правах в шестнадцатеричной системе. Например, в моем случае 1003 это 03 EB. Так же это дело можно посмотреть в ветке Names, выбрав нужного пользователя.
Узнав необходимый RID, идем в ветку с одноименным названием (000003EB в моем случае), и тут нам нужен параметр F.
Если вы посмотрите на 30ую строку, то увидите EB 03 – ваши цифры из RID. За место них можно написать F4 01 (01F4 – это 500, т.е. RID Администратора, если что), и теперь после того, как ваш пользователь перезайдет в систему – система будет думать, что это Администратор. Примечательно, что подсунуть можно RID от любого пользователя, а также, если подсовывать 500ый – то даже если встроенная учетная запись администратора отключена, вы всё равно получите права Администратора.
И да – работает способ для любых локальных учетных записей, даже для гостя, если он вдруг по каким-то причинам включен.
И напоследок – помните, что всё это я показываю исключительно для того, чтобы вы знали, что подобная возможность есть у злоумышленников и ни коем случае не для того, чтобы вы сами этим пользовались в не законных целях. Помните, что незаконный доступ к информационным системам может преследоваться по закону.
Share the article with your friends in social networks, maybe it will be useful to them.
If the article helped you, you can >>thank the author<<