Ir al contenido principal

El Robin Hood de los procesos pobres (Vamos de escalada)

Pues sí, has leído bien, hoy nos vamos de escalada, pero ojo! No nos vamos a las montañas, nos vamos al interior, al kernel del sistema operativo Windows 10 en esta ocasión, aunque es aplicable a otras versiones con algunos mínimos cambios. Hoy la cosa va de EoP (Elevation of Privilege), escalada de privilegios en el sistema.

Vamos a ver cómo hacer de Robin Hood para "mangarle" el “Access Token” al usuario "NT AUTHORITY\SYSTEM" a través de la estructura _EPROCESS del proceso “System” para dárselo al pobre CMD.EXE.
¿Con qué fin? Pues darle poder absoluto sobre el sistema a un usuario limitado, por ejemplo para que pueda utilizar la calculadora, o el notepad sin limitaciones :) Venga vale, que es broma, que en realidad será para utilizarlo en una shellcode y un driver de dispositivo firmado por alguien :)

Antes  de  comenzar  hay  que  dejar  claro  que  vamos  a  necesitar  algunas herramientas para realizar este proceso, como pueden ser las herramientas de depuración de Windows (WinDBG) y, además lo recomendable será que se realice sobre un equipo remoto o, mejor aún, sobre una maquina virtual. También se puede depurar en modo local, pero dado que hay que hacerlo en modo kernel, habrá que habilitar el sistema para tal fin, por ejemplo con la herramienta “bdcedit.exe”, ejecutando este comando: bcdedit -debug on

Ah se me olvidaba, lo de siempre, que si te cargas algo de tu sistema, la culpa es tuya, ok? Bueno, esto ya lo sabrías, pero por si acaso.

Dicho esto, debemos saber que cuando un usuario inicia sesión en un sistema Windows, se le asigna un token de acceso (Access Token), el cual, entrará a formar parte de la estructura de datos EPROCESS que tiene asignado cada proceso que se ejecuta en el Sistema. 

En  la  siguiente  imagen  podemos  observar  una  captura  de  parte  de  dicha estructura. Se ha resaltado el campo Token en el offset 0x360 (esto puede cambiar de unas arquitecturas a otras y también de unos sistemas a otros.


A continuación, se observa también que el tipo de datos del campo Token es _EX_FAST_REF, el cual podemos ver a continuación como está compuesto:
En realidad, la estructura _EX_FAST_REF está compuesta de una unión con la siguiente forma en lenguaje “C”:
Como podemos ver, tenemos un valor cuyos 4 últimos bits (0-3) corresponderán a un contador de referencia, el cual, utiliza el sistema internamente y en la mayoría de los casos nos interesará dejar intacto, con el fin de evitar que el programa al que pertenezca dicho “Access Token” pueda verse alterado en su funcionalidad u optimización.
Hasta aquí, ya podemos ver la estructura _EPROCESS, localizar el campo Token y ver su formato. Ahora vamos a aplicar esto a un proceso concreto, por ejemplo, al proceso “System ID:4”:


Dado que la estructura de datos _EPROCESS contiene muchos campos, podemos obtener el offset del campo Token, que como vemos está en 0x360:

Y por supuesto, obtener su contenido:

También podemos obtener los valores del campo Token de la siguiente manera:

Como vemos, cualquiera de las dos formas nos va a dar los mismos valores, este último método nos indica incluso el tipo de los campos.
Como comenté anteriormente, los últimos 4 bits del valor se corresponden con el campo RefCnt, al tratarse de una unión. Podemos aplicar una mascara al campo valor con el fin de descartar estos últimos 4 bits con el evaluador de expresiones y haciendo uso del operador AND, de la siguiente forma:

Y por supuesto, de la misma manera podríamos obtener el valor de RefCnt, haciendo uso de mascaras:

Estos dos últimos pasos nos serán especialmente útiles cuando queramos modificar el valor del Access Token dejando intacto el valor de RefCnt.
Dado que esta información está almacenada en memoria, también podremos verla accediendo directamente a la dirección en la que está almacenado el Token:
En esta ocasión vemos, el contador de referencias RefCnt ha cambiado, antes tenía un valor de 0x07 (0xFFFF890bb420604_7) y ahora de 0x0F (0xFFFF890bb420604_F)

Sin embargo, en la imagen siguiente, mostramos nuevamente el valor del token utilizando los dos métodos de arriba y son exactamente iguales:

Como comenté anteriormente, es el propio sistema el que modifica dicho valor y, nos conviene dejarlo intacto, por el momento.
Lo que vamos a hacer a continuación es asignarle al proceso CMD.EXE el Access Token del proceso System. Por lo tanto, en primer lugar, obtenemos el Access Token del proceso System y en segundo lugar, se lo asignamos a CMD.EXE, ¡vamos a ello!

  •  A) Obteniendo el Access Token del proceso System
  •  B) Obteniendo el Access Token del proceso CMD.EXE
Ahora vamos a sustituir el Access Token de CMD.EXE por el de System, pero lo vamos a hacer sin alterar el valor del campo RefCnt de CMD.EXE. Para esto, antes debemos evaluar alguna expresión. Primero tomamos el Access Token de System y quitamos la parte correspondiente a RefCnt:

Ahora repetimos la operación, pero para el Access Token del proceso CMD.EXE:

Ahora obtenemos el nuevo Access Token para CMD.EXE, el cual estará compuesto por el valor del Access Token de System sin su RefCnt y el RefCnt que tenga el proceso CMD.EXE (0xC en este caso), de la siguiente manera:
Finalmente, cambiamos el Access Token de CMD.EXE respetando su propio valor RefCnt, editando directamente la memoria de la siguiente manera:

Como vemos en la siguiente imagen, hemos pasado de ser el usuario “desktop-g0c7jf1\ReverserUser” a ser “nt authority\system”:


Por último, en la siguiente imagen podemos observar como los Access Token son iguales a excepción del campo RefCnt que se ha dejado el que tenía originalmente el proceso CMD.EXE intacto (en esta ocasión valor 0xC):


Comentarios

Publicar un comentario

Entradas populares de este blog

Como usar el TL431 (muy facil)

En este artículo, no vamos a entrar en el funcionamiento interno de este IC, ni tampoco en sus características técnicas, puesto que para esos fines ya existe su hoja de datos correspondiente. Más bien, lo que pretendo aquí es dejar constancia de como podemos utilizar este IC desde un punto de vista práctico, útil y sobre todo de una manera sencilla, con el objetivo de que cualquiera pueda utilizarlo. Si has llegado hasta aquí, probablemente ya sabes que por internet hay mucha información sobre este IC, pero también bastante confusa o excesivamente técnica, sin mostrar tan siquiera un ejemplo de funcionamiento, o como calcular sus pasivos. Pues se acabó, a partir de hoy y después de leer este post, ya te quedará claro como utilizar el TL431 para obtener una tensión de referencia estable y precisa. Vamos al grano y que mejor que empezar aclarando que el TL431 NO ES EXACTAMENTE UN ZENER como se empeñan en decir en muchos sitios, es verdad que se le conoce como el Zener Progra
9 comentarios
Leer más

WinRT with C++ Standard vs C++/CX

OFFTOPIC: Nota: Hoy he decidido escribir esta publicación del blog en inglés. Note: Today I decided to write this blog post in English. In a new application than I am developing for a company, I had to decide if to make use of C++/CX (C++ with Component Extension) or make all the main stuff in C++ standard and ABI/COM. All of you than have had to work with COM (Component Object Model) and fighting with the interfaces, reference count, etc. known the tricky and heavy that it can become. As an example of the easy approach using C++/CX, I am creating a new Uri object, like this: auto uriEasyWay = ref new Windows::Foundation:: Uri ( http://www.manuelvillasur.com ); assert (wcscmp(uriEasyWay->AbsoluteUri->Data(), L"http://www.manuelvillasur.com/" ) == 0); Now, I going to show you the more difficult approach using C++ Standard and  ABI/COM interfaces: HSTRING_HEADER header = {}; HSTRING string = nullptr ; HRESULT hr = WindowsCreateStringRefer
1 comentario
Leer más

Árbol binario de expresión y Notación Posfija (II)

En una publicación anterior, hablaba sobre que es la notación posfija, para que puede ser útil y mostraba un pequeño ejemplo con una expresión aritmética simple: (9 - (5 + 2)) * 3 Pues bien, hoy voy a mostraros como podemos crear el árbol binario correspondiente para analizar o evaluar esta expresión, haciendo uso del recorrido en postorden. Lo primero que debemos hacer es crear el árbol, respetando las siguientes reglas: ⦁ Los nodos con hijos (padres) representarán los operadores de la expresión. ⦁ Las hojas (terminales sin hijos) representarán los operandos. ⦁ Los paréntesis generan sub-árboles. A continuación podemos ver cómo queda el árbol para la expresión del ejemplo (9 - (5 + 2)) * 3: Si queremos obtener la notación postfija a partir de este árbol de expresión, debemos recorrerlo en postorden (nodo izquierdo – nodo derecho – nodo central), obteniendo la expresión: 952+-3x Así, si quisiéramos evaluar la expresión, podemos hacer uso de un algoritmo
5 comentarios
Leer más