本篇文章為大家展示了什么是Windows Rid劫持技術(shù)，內(nèi)容簡明扼要并且容易理解，絕對(duì)能使你眼前一亮，通過這篇文章的詳細(xì)介紹希望你能有所收獲。

成都創(chuàng)新互聯(lián)公司專注于企業(yè)成都全網(wǎng)營銷、網(wǎng)站重做改版、任丘網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、H5網(wǎng)站設(shè)計(jì)、購物商城網(wǎng)站建設(shè)、集團(tuán)公司官網(wǎng)建設(shè)、成都外貿(mào)網(wǎng)站制作、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計(jì)等建站業(yè)務(wù)，價(jià)格優(yōu)惠性價(jià)比高，為任丘等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

大家好，今天給大家分享的是一個(gè)Msf框架中關(guān)于后滲透階段的模塊，這個(gè)模塊有趣的地方在于，它在某種程度上來說是完全隱形的。開發(fā)者把這種技術(shù)叫Windows Rid劫持。

一. 模塊簡介

首先我們簡單了解下該技術(shù)所針對(duì)的核心——RID。Windows都使用安全帳戶管理器（SAM）來存儲(chǔ)本地用戶和內(nèi)置帳戶的安全描述符。正如“安全主管如何工作”（鏈接https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc779144(v=ws.10)）中所述，每個(gè)帳戶都有一個(gè)指定的RID來標(biāo)識(shí)它。與域控制器不同，Windows工作站和服務(wù)器會(huì)將大部分?jǐn)?shù)據(jù)存儲(chǔ)在HKLM\SAM\SAM\Domains\Account\Users項(xiàng)中，這需要訪問System權(quán)限。

有時(shí)候，在某些環(huán)境中維持訪問權(quán)限是相當(dāng)棘手的，特別是在不可能執(zhí)行諸如創(chuàng)建或?qū)⒂脩籼砑拥焦芾韱T組、轉(zhuǎn)儲(chǔ)用戶的憑據(jù)或散列哈希、部署持久的shell或任何可能觸發(fā)對(duì)受害者發(fā)出警報(bào)的任何東西時(shí)。只有使用系統(tǒng)資源才能持久化的訪問，那么還有什么更方便的呢？

msf中的rid劫持模塊實(shí)現(xiàn)了這一點(diǎn)。Rid_Hijack模塊是一個(gè)關(guān)于后滲透階段用來維持權(quán)限的模塊，該模塊將通過修改現(xiàn)有帳戶的某些屬性在目標(biāo)系統(tǒng)上創(chuàng)建一個(gè)條目。它將通過設(shè)置一個(gè)相對(duì)標(biāo)識(shí)符（RID）來更改帳戶屬性，該標(biāo)識(shí)符應(yīng)由目標(biāo)機(jī)器上的一個(gè)現(xiàn)有賬戶擁有。利用一些Windows本地用戶管理完整性的缺陷，該模塊將允許使用一個(gè)已知帳戶憑證（如GUEST帳戶）進(jìn)行身份驗(yàn)證，并使用另一個(gè)現(xiàn)有帳戶（如Administrator帳戶）的權(quán)限進(jìn)行訪問，即使禁用了Administrator賬戶。模塊在MSF中名字為post/windows/manage/rid_hijack，如果沒有下載的話可以去rapid7的github倉庫中下載放在相應(yīng)目錄下啟動(dòng)Msfconsole后輸入“reload_all”便可在msf中使用。鏈接如下：    https://github.com/rapid7/metasploit-framework/pull/9595        

Rid劫持模塊會(huì)自動(dòng)的將攻擊者與受害者的任何現(xiàn)有帳戶相關(guān)聯(lián)。在模塊執(zhí)行后是非常正常的，因?yàn)閔ashdump和wmic命令加載lsass.exe模塊執(zhí)行之前運(yùn)行的用戶信息和其他進(jìn)程。另一方面，當(dāng)以任何人登錄到機(jī)器時(shí)，通過使用由模塊修改的注冊(cè)表鍵來獲得特權(quán)。此模塊不會(huì)更改它所在的所有注冊(cè)表項(xiàng)中的用戶的RID，但只能在導(dǎo)致完整性問題被利用的一個(gè)注冊(cè)表項(xiàng)中。這意味著它不會(huì)將所有系統(tǒng)數(shù)據(jù)中的RID從一個(gè)更改為另一個(gè)（例如在你的情況下，從501到500），這就是為什么這個(gè)攻擊是完全隱秘的。

二. 漏洞影響版本

Windows XP，2003.（32位）

Windows 8.1專業(yè)版。（64位）

Windows 10.（64位）

Windows Server 2012.（64位）

該模塊未經(jīng)過測(cè)試，但可能適用于：?其他版本的Windows（x86和x64）

三. 漏洞復(fù)現(xiàn)

這個(gè)模塊的工作原理就是在Windows受害者上建立一個(gè)meterpreter會(huì)話。它將嘗試查看權(quán)限（并在需要時(shí)獲取它們）并修改與指定帳戶關(guān)聯(lián)的注冊(cè)表項(xiàng)。靶機(jī)IP：192.168.192.128 操作系統(tǒng)為win7 64位。（測(cè)試賬戶5ecurity本身為普通權(quán)限）

該模塊的利用基礎(chǔ)是建立在拿到目標(biāo)系統(tǒng)的meterpreter會(huì)話之后的，所以首先需要拿到目標(biāo)系統(tǒng)的meterpreter會(huì)話。

加載msf中自帶的mimikatz模塊，用于抓取目標(biāo)系統(tǒng)中的明文密碼。

通過wgigest命令抓取普通賬戶5ecurity的密碼為5ecurity。然后加載我們文中的主要利用模塊。

輸入Show options獲取所需配置的參數(shù)。的簡要說明：?GETSYSTEM：如果為true,將嘗試獲取目標(biāo)系統(tǒng)的SYSTEM權(quán)限。?GUEST_ACCOUNT：如果為true，將使用目標(biāo)系統(tǒng)用戶帳戶作為攻擊者的帳戶。?RID：將分配給攻擊者帳戶的RID。這個(gè)值應(yīng)該由一個(gè)現(xiàn)有賬戶擁有，意圖被劫持。默認(rèn)設(shè)置為 500 。?USERNAME：設(shè)置后，將用作生效的用戶帳戶，并將其視為攻擊者帳戶。如果參數(shù)GUEST_ACCOUNT被指定，這個(gè)參數(shù)將被忽略。?PASSWORD：設(shè)置后，它會(huì)將帳戶密碼設(shè)置為該值。我們將需要配置的參數(shù)一一配置，指定meterpreter會(huì)話的session    id給Rid劫持模塊。

運(yùn)行模塊，可以看到模塊運(yùn)行的很順利。

然后通過我們抓取到的普通權(quán)限賬號(hào)5ecurity登錄，就可以發(fā)現(xiàn)一些神奇的地方。

再進(jìn)行一些其他命令的操作確定自己的權(quán)限。

使用普通權(quán)限的5ecurity賬戶在system32目錄下成功進(jìn)行寫入操作。完成Rid劫持。

上述內(nèi)容就是什么是Windows Rid劫持技術(shù)，你們學(xué)到知識(shí)或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。