Windows与Linux本地用户提权体验

无论是Windows系统还是Linux系统都是基于权限控制的，其严格的用户等级和权限是系统安全的有力保证。这么严密的用户权限是否不可逾越呢?下面笔者反其道而行之进行Windows及Linux下的提权测试。IXPUB技术博客'eSKd2MM

　　一、windows下获取至高权限

Oa9F-f%|!?h0IXPUB技术博客3LRzY&T

　　大家知道，在Windows系统中SYSTEM是至高无上的超级管理员帐户。默认情况下，我们无法直接在登录对话框上以SYSTEM帐户的身份登录到Windows桌面环境。实际上SYSTEM帐户早就已经“盘踞”在系统中了。想想也是，连负责用户验证的Winlogon、Lsass等进程都是以SYSTEM身份运行的，谁还能有资格检验SYSTEM呢?既然SYSTEM帐户早就已经出现在系统中，所以只需以SYSTEM帐户的身份启动Windows的Shell程序Explorer，就相当于用SYSTEM身份登录Windows了。

+V#fe9[Ob {I0

4Bo,t:?o4VB0　　1、获得特权

v_(Ls h@:bQ1U0IXPUB技术博客W7kC!cj

　　打开命令提示符，输入命令“taskkill /f /im explorer.exe” 并回车，这个命令是结束当前账户explorer即图形用户界面的Shell。然后在命令提示符下继续输入“at time /interactive %systemroot%\explorer.exe”并回车。其中“time”为当前系统时间稍后的一个时间，比如间隔一秒，当前系统时间可以在命令提示符下输入“time”命令获得。一秒钟后会重新加载用户配置，以SYSTEM身份启动Windows的shell进程Explorer.exe。(图1)

7Bp-{8d7x0IXPUB技术博客J7x!x9\i!qu

　　

.P#]:HAS%v0

7z0Lkb5f7}&Q0　　2、身份验证IXPUB技术博客1OmX?2O1E

9w m1cdp%S(W8N R0　　如何知道exeplorer.exe是以system权限运行呢?我通过“开始”菜单可以看到最上面显示的是system账户。另外，打开注册表编辑器，只要证明HKCU就是HKU\S-1-5-18的链接就可以了(S-1-5-18就是SYSTEM帐户的SID)。证明方法很简单：在HKCU下随便新建一个Test子项，然后刷新，再看看HKU\S-1-5-18下是否同步出现了Test子项，如果是，就说明系统当前加载的就是SYSTEM帐户的用户配置单元。当然最简单的是在命令提示符号下输入命令“whoami”进行验证，如图所示显示为“NT AUTHORITY\SYSTEM”这就证明当前exeplorer.exe是System权限。(图2)

0k2y.ghl!Uc0

y$RQ+}0_6GZ0　　

u8Y3V.wC'k3[0IXPUB技术博客y.~#y+X
\~f

　　3、大行其道IXPUB技术博客LI knaUV

IXPUB技术博客+zW0cV~R]

　　System权限的Explorer.exe在实际中有什么用呢?下面笔者随意列举几个使用实例。

2m(aYepj0

.C A!_)q(Df{*N?L8K0　　(1).注册表访问IXPUB技术博客 _:WVK,R,j

)lz8b-[?.A0　　我们知道在非SYSTEM权限下，用户是没有权限访问某些注册表项的，比如“HKEY_LOCAL_MACHINE\SAM”、“HKEY_LOCAL_MACHINE\SECURITY”等。这些项记录的是系统的核心数据，某些病毒或者木马会光顾这里。比如在SAM项目下建立具有管理员权限的隐藏账户，这样的帐户在命令及“本地用户和组”管理器(lusrmgr.msc)中是无法看到的，造成了很大的安全隐患。在“SYSTEM”权限下，注册表的访问就没有任何障碍，我们打开注册表定位到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account”项下所有的隐藏帐户就都暴露了。(图3)IXPUB技术博客r p `A3R7ty?

IXPUB技术博客co X4x-l

　　

X6V:R-}$CJI"pD"G)`0IXPUB技术博客u&g0T/C$ym6pK

　　(2).访问系统还原文件

wp_ m%IW#I0

h cH N$}^Q%w*T b0　　系统还原是windows系统的一种自我保护措施，它在每个磁盘根目录下建立“System Colume Information”文件夹，保存一些系统信息以备系统恢复是使用。该文件具有系统、隐藏属性管理员用户是没有操作权限的。正因为如此，它成了病毒、木马的栖身之地，我们就可以在System权限下进入该文件夹删除病毒。当然，你也可以关闭“系统还原”预防此类病毒，但这样未免显得被动，有些因噎废食。(图4)IXPUB技术博客:gl"Ju-I

4|-S h9j0OR0　　IXPUB技术博客8P/{F [d-e0e#^&b

IXPUB技术博客h9oY-em9Rc EA

　　(3).更换系统文件IXPUB技术博客T#I-T$U'l+H0d

IXPUB技术博客l2x
eR%Cf'H*yE

　　Windows系统为系统文件做了保护机制，一般情况下你是不可能更换系统文件的，因为系统中都有系统文件的备份，它存在于c:\WINDOWS\system32\dllcache(假设你的系统装在C盘)。当你更换了系统文件后，系统自动就会从这个目录中恢复相应的系统文件。当目录中没有相应的系统文件的时候会弹出提示让你插入安装盘。

7c&V2i;?
Jgv0

~y1Y%LG3}J0　　在实际应用中如果有时你需要Diy自己的系统修改一些系统文件，或者用高版本的系统文件更换低版本的系统文件，让系统功能提升。比如Window XP系统只支持一个用户远程登录，如果你要让它支持多用户的远程登录。要用Windows 2003的远程登录文件替换Window XP的相应文件。这在非SYSTEM权限下很难实现，但是在SYSTEM权限下就可以很容易实现。IXPUB技术博客ip+@aSRUC

IXPUB技术博客2Vv4e&~"yG
c

　　从Windows 2003的系统中提取termsrv.dll文件，用该文件替换Windows XP的C:\WINDOWS\system32下的同名文件。(对于Windows XP SP2还必须替换C:\WINDOWS\$NtServicePackUninstall$和C:\WINDOWS\ServicePackFiles\i386目录下的同名文件)。再进行相应的系统设置即可让Windows XP支持多用户远程登录。IXPUB技术博客|r~6S ~HC

S)|*aj&B1dJ3x1a/fG0　　(4).手工杀毒

W6m&tjfI{7bg0

sY r7K9QU0　　用户在使用电脑的过程中一般都是用Administrator或者其它的管理员用户登录的，中毒或者中马后，病毒、木马大都是以管理员权限运行的。我们在系统中毒后一般都是用杀毒软件来杀毒，如果杀软瘫痪了，或者杀毒软件只能查出来，但无法清除，这时候就只能赤膊上阵，手工杀毒了。IXPUB技术博客$\s*`D8T1uG

2g4z6n*rY xox0　　在Adinistrator权限下，如果手工查杀对于有些病毒无能为力，一般要启动到安全模式下，有时就算到了安全模式下也无法清除干净。如果以SYSTEM权限登录，查杀病毒就容易得多。

/G ~]:mn
SjXyq0

M#SP)p9|9hiN0　　以一次手工杀毒为例，(为了截图在虚拟机上模拟了前段时间的一次手工杀毒。)打“Windows 任务管理器”，发现有个可疑进程“86a01.exe”，在Administrator管理员下无法结束进程见图5，当然更无法删除在系统目录下的病毒原文件“86a01.exe”。以System权限登录系统，进程被顺利结束见图6，然后删除病毒原文件，清除注册表中的相关选项，病毒被彻底清理出系统。(图5)(图6)

~ izS)f/m:SL&T0

E#W!D$D5hq$J H0　　

Hge
c5|"Q0IXPUB技术博客 eS6I:v.}C;[PZ:c

　　

1u&~m1bN0IXPUB技术博客ZP9L-\BZ

　　System权限是比Administrator权限还高的系统最高权限，利用它可以完成很多常规情况下无法完成的任务。当然，最大的权限也就意味着更大的危险，不要因为手握“尚方宝剑”就滥杀无辜。二、Linux下授权测试

9T??ykCW5[0

A"} f1iU,HQ0　　类似于Windows系统Linux系统中用户是具有权限属性的，甚至它的权限设置更为严格。我们知道在Linux系统中root是管理员用户拥有最高的权限，除此之外的其他用户是普通用户其权限都是受限的。如何让普通用户也具有root权限当管理员使用呢?下面笔者搭建环境，以重启网络操作为例进行Root授权演示。

m_t k,SoNnZ^0

A"W} ]xr5p0　　环境说明：IXPUB技术博客~ `A1aw^o\#{`

IXPUB技术博客d8ia V'T)DQ2|!W

　　OS：Fedora Core 6 (域名：ns.linux.com.cn)IXPUB技术博客*^Db7TuB

\&EDO @;fU h]0　　Tools：PuTTY(SSH/Telnet远程登录)

(e_,|-}'v4y7].B0

?w6G0@&N0　　1、登录系统IXPUB技术博客[ J5~Xtl)jd%e

IXPUB技术博客1v4F2B'l8fhb5b*^o

　　运行PuTTY，首先以Root用户远程登录系统，输入用户名、密码成功登入系统。然后以普通用户hacker远程登录输入用户名、密码进入系统。

PT bmEn+Y0IXPUB技术博客8[3dxo1iX5x3x

　　2、权限测试IXPUB技术博客#A db
aDo

IXPUB技术博客*GGOP"~M-q jd:{

　　在Root用户登录窗口中我们输入命令“/etc/init.d/network restart”重启网络服务，如图7所示启动成功。然后在hacker用户登录窗口输入同样的命令重启网络，显示失败，可以普通用户hacker是没有执行该命令的权限的。(图7)IXPUB技术博客'b0p.|+uMToFa

IXPUB技术博客(de"v:hm9Z"n ]*`

　　

e4yzNO({0IXPUB技术博客']V hs0n

　　3、Root授权

+ag G/h{j+X
QM0

v,[/N0lRf$x0s+Lk0　　要使得普通用户hacker也具有重启网络的权限，我们需要修改/etc/sudoers文件。输入命令“ls -l /etc/sudoers”查看root用户默认对该文件只有“读”权限，是没有办法修改的。对此，我们可以修改其权限让Root用户可以修改，也可以用vi打开该文件修改然后强行保存退出，当然最方便的是用“visudo”命令进行编辑。IXPUB技术博客g_6j]x`'ef9fgR,K

IXPUB技术博客H(~M!o*zI l

　　定位到“# User privilege specification”下，按照格式“username host username command”进行输入。其中第一个字段是用户名(被授权用户)，第二个自动是主机位(用域名、IP地址都可以)，第三个字段是用户名(授权用户)，第四个字段是命令(授权用户可以执行的命令，可以用别名)。结合实例我们添加如下字段：hacker All = (root) /etc/init.d/network 即授权hacker用户以Root权限运行/etc/init.d/network，最后保存退出。(图8)IXPUB技术博客8fw"[^}d?

fl!sTh!iIi'~0　　IXPUB技术博客/{
P!Z1zr2kkt D!A9t

g-T(X:a`s$P[%x0　　4、权限测试IXPUB技术博客x1YPfB |P

IXPUB技术博客&y4m8C0nm V3C]RQ

　　在hacker用户窗口中输入命令：sudo /etc/init.d/network restart，看hacker是否可以重启网络，如图9所示命令成功执行网络被重启，说明授权成功。这里必须要说明的是必须以“sudo”来运行命令，因为sudo命令会调用“/etc/sudoers”脚本，刚才的授权才会生效。另外，在命令执行前要输入密码，这个密码是当前用户即hacker的密码。(图9)

0tr'XK6P3O0IXPUB技术博客hC$?r.K/Wp

　　

"K%_ I{E,Zl0

gT9o|#@qB^*Pp0　　5、延伸IXPUB技术博客KrH o;T?.L~

IXPUB技术博客 Aw4}+Fw S4q

　　我们通过修改/etc/sudoers文件可以灵活地进行用户赋权，赋予不同的用户执行特殊命令的权限。/etc/sudoers文件中添加的信息，其中用户、命令都可以用别名，被授权用户可以是多个，命令可以是多条。我们通过修改该文件进行用户授权是一定要慎重，防止授权过大造成系统安全隐患。比如我们在该文件中添加这样的字段angel ALL = (ALL) ALL，这样的话angel用户就具有了系统的所有权限，就相当于另一个Root用户。下面我们操作测试一下。(图10)

S$B,}Iw2uF6|0

_K2\*UOvOw
D8v0　　

(F~']qi4cU5uy0

s#?fct2Xi3Z P"k0　　新建test用户并设置密码，然后从在hacker登录窗口中通过命令su -angel 切换到angel用户，看看权限过大会产生什么后果。大家知道/etc/passwd是保存用户密码的文件，我们输入sudo vi /etc/passwd用sudo命令调用vi打开该文件，定位到root行，可以看到有个“x”号表示root用户设置了密码，我们删除“x”字段最后保存退出。输入命令more /etc/passwd | grep root查看“x”被成功删除，root用户就是空密码了。在angel窗口输入命令sudo root可以看到空密码可以进入到Root登录窗口。(图11)IXPUB技术博客r3T9@:zg-Q.k+h

P,a$QQ,l#L^R#\_Wl0　　

D+}9BD&B)j"v0IXPUB技术博客@%BSzl JXG

　　总结：本文关于Windows、Linux本地用户提权测试，只是从技术上提供一个思路，至于提权以后可以用来干什么还需要我们大家深入挖掘。IXPUB技术博客nz Q ts3c.T