Attenzione!!! Nt Authority\system è un worm!!! Accesso alla cartella di rete in NT AUTHORITY\NetworkService Come funziona
Accessi SQL Server 2005 integrati, BUILTIN\Amministratori, , AUTORITÀ NT\SISTEMA, sa
Immediatamente dopo l'installazione di SQL Server 2005 in un contenitore Accesso c'è una serie di accessi che vengono creati automaticamente. Molto probabilmente, non li utilizzerai per connettere gli utenti. Tuttavia, ci sono situazioni in cui conoscere gli accessi integrati può tornare utile (ad esempio, se il tuo accesso amministrativo è inavvertitamente bloccato).
q BUILTIN\Amministratori (o BUILTIN\Amministratori, a seconda della lingua del sistema operativo) - all'accesso per questo gruppo di Windows vengono automaticamente concessi i diritti di amministratore di sistema di SQL Server. Tieni presente che se il computer appartiene a un dominio, questo gruppo include automaticamente il gruppo dominioAmministratori(Domain Admins) e quindi Domain Admins hanno diritti completi su SQL Server per impostazione predefinita. Se questa situazione è indesiderabile, allora questo login può essere cancellato. Ma anche in questo caso, per gli amministratori di dominio non sarà difficile accedere ai dati di SQL Server.
q Nome del server 2005Utente MSFTE$ Nome del server$nome_istanza , Nome del server 2005Utente MSSQL$ Nome del server$nome_istanza ,Nome del server 2005Utente SQLAgente$ Nome del server$nome_istanza - Questi tre accessi per i gruppi di Windows vengono utilizzati per connettere i servizi corrispondenti a SQL Server 2005. A livello di SQL Server 2005, non è necessario eseguire alcuna operazione con essi, poiché tutti i diritti necessari sono già stati concessi. In rari casi, potrebbe essere necessario aggiungere a questi gruppi a livello di Windows gli account in cui sono in esecuzione i servizi di SQL Server.
q AUTORITÀ NT\SERVIZIO RETE - Le applicazioni ASP .NET vengono eseguite con questo account in Windows Server 2003, inclusi Reporting Services (in Windows 2000, l'account viene utilizzato per questo scopo). ASPNET). Questo account di accesso di Windows viene utilizzato per la connessione a SQL Server Reporting Services. Gli vengono automaticamente concessi i diritti necessari al database mastro, msdb e database utilizzati da Reporting Services.
q AUTORITÀ NT\SISTEMA è l'account di sistema locale del sistema operativo. Tale accesso viene visualizzato nelle situazioni in cui è stato configurato il servizio SQL Server per l'esecuzione con l'account di sistema locale durante l'installazione. Possiamo dire che con questo login SQL Server accede a se stesso. Naturalmente, questo account di accesso ha i diritti dell'amministratore di sistema di SQL Server.
q sa (da SistemaAmministratore) è l'unico accesso di tipo SQL Server creato per impostazione predefinita. Ha i diritti di amministratore di sistema di SQL Server e questi diritti non possono essere sottratti a lui. Non puoi nemmeno eliminare questo nome utente. Ma può essere rinominato o disabilitato. Se SQL Server 2005 è configurato per utilizzare solo l'autenticazione di Windows, questo account di accesso non potrà essere utilizzato per la connessione al server.
Basta "Eseguire come amministratore" un programma per vedere nel Task Manager che il suo utente è se stesso e non l'amministratore, e questo miracolo si ottiene semplicemente modificando il token di accesso, non sostituendo il SID.
In secondo luogo, NT-AUTHORITY e SYSTEM non sono né account né gruppi, nonostante ciò che dicono varie altre fonti (anche all'interno di Microsoft). Un SID di solito ha un nome che viene visualizzato ogni volta che è necessario. Un account utente contribuirà con il proprio SID come SID principale al token di accesso, che determinerà anche il nome visualizzato da varie utilità. Ma il token di accesso può contenere SID aggiuntivi, ad esempio per tutti i gruppi a cui appartiene quell'account utente. Durante il controllo delle autorizzazioni, Windows cercherà qualsiasi SID nel token di accesso che dispone di tale autorizzazione.
Alcuni noti SID di Windows avranno nomi riportati da Windows, sebbene in realtà non appartengano a nessun account.
L'account LocalSystem è un account locale predefinito utilizzato da Gestione controllo servizi. […] Il suo token include i SID NT AUTHORITY\SYSTEM e BUILTIN\Administrators; questi conti avere accesso alla maggior parte degli oggetti di sistema.
Si può già vedere nel testo precedente la confusione che regna anche nella documentazione Microsoft per quanto riguarda i SID di sistema, che non sono esattamente account o gruppi, che sono solo un insieme di autorizzazioni. Questa confusione si estende ulteriormente ad altre utilità e articoli, quindi tutte le informazioni restituite dovrebbero essere esaminate attentamente.
L'articolo Microsoft Identificatori di sicurezza noti nei sistemi operativi Windows descrive in dettaglio tutti i SID di sistema, alcuni dei quali includo di seguito:
Conclusione: NT-AUTHORITY\SYSTEM è il nome di un Security ID, che non è né un gruppo né un account. Viene visualizzato in Task Manager come SISTEMA quando è il SID principale di un programma. Al massimo lo chiamerei "uno pseudo account".
AUTORITÀ NT/ERRORE DI SISTEMA,
Post di XP - come rimuovere un virus
Se hai una versione russa, prima di scaricare assicurati di cambiare la lingua.
Un po' del virus stesso:
Ieri sera, dopo le 23:00 circa, ora di Mosca, in molti forum sono comparsi messaggi sullo strano comportamento di Windows 2000 e Windows XP durante l'accesso alla rete: il sistema ha emesso un messaggio di errore sul servizio RPC e sulla necessità di riavviare. Dopo il riavvio, il messaggio è stato ripetuto dopo un massimo di pochi minuti e non c'era fine.
L'indagine ha mostrato che la colpa è dell'epidemia del nuovo worm di rete w32.Blaster.worm, iniziato oggi, che sfrutta una vulnerabilità trovata il 16 luglio nel servizio RPC DCOM, presente in tutti i sistemi operativi di Windows Famiglie 2000, Windows XP e Windows 2003. Questa vulnerabilità è un buffer overflow, chiamato da un pacchetto TCP/IP opportunamente composto che arriva alla porta 135, 139 o 445 del computer attaccato. Consente almeno un attacco DoS (DoS significa "Denial of Service", o "denial of service", in questo caso - il computer attaccato si riavvia) e al massimo - esegue qualsiasi codice nella memoria del computer attaccato.
La prima cosa che ha destato la preoccupazione del pubblico della rete ancor prima della comparsa del worm è stata la presenza di un exploit molto facile da usare (un programma per sfruttare una vulnerabilità), che di solito porta a una situazione in cui chiunque può prendere questo programma e inizia a usarlo per scopi non pacifici. Comunque erano fiori...
Quando il nuovo worm si diffonde, attacca la porta 135 e, in caso di successo, avvia il programma TFTP.exe, che scarica il suo file eseguibile sul computer attaccato. In questo caso, all'utente viene fornito un messaggio sull'arresto del servizio RPC e quindi sul riavvio. Dopo il riavvio, il worm si avvia automaticamente e avvia la scansione delle reti accessibili dal computer per i computer con la porta 135 aperta. Se ne vengono trovati, il worm esegue un attacco e tutto si ripete dall'inizio. Inoltre, a giudicare dal ritmo di distribuzione del momento, il worm uscirà presto al primo posto nelle liste delle società antivirus.
Ci sono tre modi per proteggersi da un worm.
Innanzitutto, il bollettino Microsoft fornisce collegamenti a patch per tutte le versioni vulnerabili di Windows che chiudono il buco RPC (queste patch sono state rilasciate il 16 luglio, quindi coloro che aggiornano regolarmente il sistema non dovrebbero preoccuparsi).
In secondo luogo, se la porta 135 è chiusa da un firewall, il worm non sarà in grado di penetrare nel computer.
In terzo luogo, la disabilitazione di DCOM aiuta come ultima risorsa (questa procedura è descritta in dettaglio in un bollettino di Microsoft). Pertanto, se non sei ancora stato attaccato da un worm, ti consigliamo vivamente di scaricare una patch per il tuo sistema operativo dal server Microsoft il prima possibile (ad esempio, utilizzare i servizi di Windows Update) o impostare il blocco delle porte 135, 139 e 445 nel firewall.
Se il tuo computer è già infetto (e la comparsa di un messaggio di errore RPC significa sicuramente che è infetto), devi disattivare DCOM (altrimenti, ogni attacco successivo provocherà un riavvio), quindi scaricare e installare la patch.
Per distruggere il worm, è necessario rimuoverlo dalla chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Esegui la voce "aggiornamento automatico di Windows"="msblast.exe", quindi trova ed elimina il file msblast.exe: questo è il corpo del worm. È possibile leggere ulteriori informazioni sulla procedura di rimozione del worm sul sito Web di Symantec.
Al momento, non tutti gli antivirus rilevano il worm: sarà possibile sperare in una protezione dalla loro parte solo dopo il rilascio degli aggiornamenti.
Inserito da AHTOH il 17-08-2003 alle 23:29:
VERME PERICOLOSO! Errore di autorizzazione/sistema Nt
__________________
faccio del bene, faccio del bene...
Solo pochi giorni prima della pubblicazione del numero, Metasploit ha acquisito
modulo fresco, di cui semplicemente non potevamo fare a meno di raccontare. Grazie a
nuovo comando getsystem, su un sistema compromesso è diventato possibile andare
dal livello utente a ring0, ottenendo NT AUTHORITY\SYSTEM! E questo è in qualsiasi
Versioni di Windows.
Il 19 gennaio 2010, una vulnerabilità di 0 giorni è diventata pubblica, consentendo
escalation dei privilegi su qualsiasi versione di Windows da NT 3.1
nel 1993, e termina con i nuovi "sette". Su exploit-db.com dall'hacker Tavis
Ormandy ha pubblicato sia i sorgenti dello sploit di KiTrap0d che il compilato
binario pronto per l'uso. Chiunque può provare lo sploit originale
disposto. Per fare ciò, devi solo estrarre vdmexploit.dll e vdmallowed.exe dall'archivio,
trasferirlo in qualche modo sulla macchina della vittima ed eseguire lì il file exe. A
risultato, indipendentemente dall'account utente
all'avvio, apparirà una console con i privilegi dell'utente di sistema, ovvero NT
AUTORITÀ\SISTEMA. Per motivi di controllo, puoi eseguire uno sploit sulla tua macchina,
precedentemente effettuato l'accesso al sistema con un utente normale. Dopo il lancio
Lo sploit aprirà una nuova finestra cmd.exe con i massimi privilegi.
Cosa dà? Immagina una situazione in cui uno sploit interrompe alcune applicazioni e
riceve una shell sul computer remoto. Lascia che sia sploit per Internet
Explorer - in questo caso, l'hacker avrà accesso al sistema con i diritti
l'utente sotto il cui account è stato avviato il browser. Non discuto, molto
spesso questo sarà un account con diritti di amministratore (l'utente è da biasimare), ma
altrimenti? Qui è dove puoi usare KiTrap0d per aumentare i tuoi privilegi
ad AUTORITÀ\SISTEMA NT! Inoltre, anche quegli utenti che sono membri del gruppo
amministratore, non può accedere ad alcune parti del sistema, ad esempio, per
lettura degli hash delle password degli utenti (più su quello di seguito). E account di sistema NT -
può essere! Con tutto questo, al momento della pubblicazione dell'articolo, non una sola patch da
Microsoft non ha rilasciato una correzione per la vulnerabilità.
Acquisizione del sistema operativo
Non dimostreremo la scissione originale in azione, perché 25
A gennaio è stato aggiunto a Metasploit un nuovo script, grazie al quale è possibile utilizzare
KiTrap0d è diventato ancora più conveniente. La variante che originariamente è entrata nei database dei moduli era
instabile e non sempre funzionava, ma non passava nemmeno mezza giornata, come tutti gli errori erano
eliminato. Ora il modulo viene scaricato insieme a tutti gli altri aggiornamenti,
quindi per installare è sufficiente selezionare la voce nel menu "Aggiorna Metasploit".
Ora che hai accesso al sistema remoto, puoi digitare "run kitrap0d" e digitare
fondersi in azione. "Ma dal momento che un tale alcol è andato, ci rendiamo conto per questo caso
comando speciale", hanno pensato gli sviluppatori di Metasploit. Di conseguenza
si è rivelato un meraviglioso comando "eleva i privilegi", disponibile tramite
estensione meterpreter - ci piace molto :).
Quindi, abbiamo accesso a un sistema remoto (un esempio illustrativo
lo sfruttamento è riportato nell'articolo "Operazione "Aurora") e siamo in console
metasfruttamento. Vediamo come stiamo andando con i diritti:
meterpreter > getuid
Sì, utente normale. Forse anche lui appartiene al gruppo
amministratori, ma non ci interessa. Colleghiamo il modulo in cui è implementato
il comando getsystem che ci interessa e controlla se è stato caricato visualizzando su
guida dello schermo:
meterpreter > usa priv
Caricamento estensione priv... successo.
meterpreter > getsystem -h
Utilizzo: getsystem
Tenta di elevare il tuo privilegio a quello del sistema locale.
OPZIONI:
H Banner di aiuto.
-t La tecnica da usare. (Predefinito su "0").
0: tutte le tecniche disponibili
1: Servizio - Rappresentazione della pipe denominata (in memoria/amministratore)
2: Servizio - Rappresentazione di pipe con nome (contagocce/amministratore)
3: Servizio - Duplicazione token (in memoria/amministratore)
4: Exploit - KiTrap0D (in memoria/utente)
Come puoi vedere, lo sploit KiTrap0D implementa solo una parte delle funzionalità del comando.
Se sei riuscito a prendere una shell con un utente che ha già i diritti
amministratore, puoi usare
altre tre tecniche (l'opzione -t ti permette di selezionare quella che ti serve). In un modo o nell'altro, senza specificare
nessun parametro, diciamo al metasploit che può usare
nessuno degli approcci. Compreso KiTrap0D, che aumenterà i nostri privilegi al livello
Il "sistema", non importa quali diritti abbiamo ora.
meterpreter > getsystem
... sistema ottenuto (tramite tecnica 4).
Sì, abbiamo ricevuto un messaggio su un'escalation di privilegi di successo e per l'attacco
è stato utilizzato KiTrap0D - a quanto pare, ha la priorità. Siamo davvero?
è salito nel sistema? Controlliamo il nostro attuale UID (ID utente):
meterpreter > getuid
C'è! Solo un comando nella console metasploit e diritti NT AUTHORITY\SYSTEM
noi in tasca. Inoltre, in generale, tutto è possibile. Lascia che ti ricordi che non uno
non c'era alcuna patch da parte di Microsoft al momento del rilascio della rivista.
Dumping delle password
Dal momento che hai accesso all'account di sistema a portata di mano, devi estrarlo da questo
qualcosa di utile. Metasploit ha un meraviglioso comando hashdump nel suo arsenale -
una versione più avanzata della famosa utility pwdump. Inoltre, nell'ultimo
versione del metasploit include una versione rivista dello script che utilizza
principio modernizzato di estrazione di hash LANMAN/NTLM e non è stato ancora rilevato
antivirus. Ma non è questo il punto. È importante che per eseguire il comando hashdump
I diritti NT AUTHORITY\SYSTEM sono obbligatori. In caso contrario, il programma darà un errore
"[-] priv_passwd_get_sam_hash: operazione non riuscita: 87". Questo accade perché
che gli hash LANMAN/NTLM delle password utente siano archiviati in speciali rami del registro
HKEY_LOCAL_MACHINE\SAM e HKEY_LOCAL_MACHINE\SECURITY non sono nemmeno disponibili
amministratori. Possono essere letti solo con i privilegi dell'account di sistema.
In generale, usa sploit e poi il comando hashdump per farlo
l'estrazione dell'hash dal registro in locale non è affatto necessaria. Ma se tale
c'è una possibilità, perché no?
meterpreter > getuid
Nome utente del server: NT AUTHORITY\SYSTEM
meterpreter > esegui hashdump
[*] Ottenere la chiave di avvio...
[*] Calcolo della chiave hboot utilizzando SYSKEY 3ed7[...]
[*] Ottenere l'elenco utenti e le chiavi...
[*] Decrittografia delle chiavi utente...
[*] Dumping degli hash delle password...
Amministratore:500:aad3b435b51404eaad3b435b51404ee:...
Ospite:501:aad3b435b51404eaad3b435b51404ee:...
HelpAssistant:1000:ce909bd50f46021bf4aa40680422f646:...
Hash ricevuti. Resta da dar loro da mangiare a uno dei bruti, ad esempio,
l0phtcrack .
Come restituire i privilegi?
È successa una situazione divertente quando ho cercato di restituire i diritti della normalità
utente indietro. Il comando rev2self che ho trovato non ha funzionato e lo faccio ancora
"NT AUTHORITY\SYSTEM" è rimasto: a quanto pare, è progettato per funzionare con tre
altri approcci implementati in getsystem. Si è rivelato per tornare
privilegi, è necessario "rubare" il token del processo avviato da quell'utente,
di cui abbiamo bisogno. Pertanto, visualizziamo tutti i processi con il comando ps e selezioniamo da essi
adatto:
meterpreter > ps
Elenco dei processi
============
Nome PID Percorso utente Arch
--- ---- ---- ---- ----
0
4 Sistema x86 NT AUTORITÀ\SISTEMA
370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\utente C:\WINDOWS\Explorer.EXE
...
Come possiamo vedere, explorer.exe viene lanciato proprio sotto il solito utente
account e ha PID=1560. Ora, infatti, puoi "rubare il token" usando
comando steal_token. Il PID viene passato come unico parametro.
processo desiderato:
meterpreter > steal_token 1558
Token rubato con nome utente: WINXPSP3\utente
meterpreter > getuid
Nome utente del server: WINXPSP3\utente
A giudicare dal campo "Nome utente server", l'operazione è andata a buon fine.
Come funziona?
Infine, vale la pena parlare della natura della vulnerabilità che ha portato all'emergenza
sploita. La violazione della sicurezza si verifica a causa di un errore nel gestore del sistema.
#GP interrompe (che è chiamato, nt!KiTrap). A causa di lei con i privilegi del kernel
codice arbitrario può essere eseguito. Questo accade perché il sistema
controlla alcune chiamate del BIOS in modo errato su una piattaforma x86 a 32 bit
è in esecuzione un'applicazione a 16 bit. Per sfruttare la vulnerabilità, lo sploit crea
L'applicazione a 16 bit (%windir%\tunk_16.exe), ne manipola alcuni
il sistema struttura e chiama la funzione NtVdmControl() per l'avvio
Windows Virtual DOS Machine (noto anche come sottosistema NTVDM), che come risultato del precedente
manipolazioni provoca la chiamata del gestore trap #GP e
innescando una scissione. A proposito, questo implica l'unica limitazione
Uno sploit che funziona solo su sistemi a 32 bit. A 64 bit
i sistemi operativi semplicemente non hanno un emulatore per eseguire applicazioni a 16 bit.
Perché le informazioni con uno sploit già pronto sono entrate nell'accesso pubblico? A proposito di disponibilità
vulnerabilità, l'autore dello sploit ha informato Microsoft all'inizio dello scorso anno e
anche ricevuto conferma che la sua relazione è stata accettata per l'esame. Solo woz
e ora lì. Per un anno non ci sono state patch ufficiali da parte dell'azienda e l'autore ha deciso
pubblicare le informazioni pubblicamente, sperando che le cose vadano più velocemente. Vediamo,
la patch sarà rilasciata prima che la rivista sarà in vendita :)?
Come proteggersi dallo sploit
Poiché non esiste ancora un aggiornamento completo per risolvere la vulnerabilità,
devi usare soluzioni alternative. L'opzione più affidabile
disabilitare i sottosistemi MSDOS e WOWEXEC, che ti priveranno immediatamente di sploit
funzionalità, perché non sarà più in grado di chiamare la funzione NtVdmControl()
per avviare il sistema NTVDM. Nelle versioni precedenti di Windows, questo è implementato tramite
registro in cui trovare il ramo HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW
e aggiungi un carattere al suo nome. Per il sistema operativo moderno
è necessario impostare un limite all'avvio di applicazioni a 16 bit
politiche di gruppo. Per fare ciò, chiama GPEDIT.MSC, quindi vai alla sezione
"Configurazione utente/Modelli amministrativi/Componenti di Windows/Compatibilità
applicazioni" e attivare l'opzione "Vieta accesso a 16 bit
applicazioni”.
www
Descrizione della vulnerabilità dall'autore dello sploit:
http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html
Soluzione alternativa per risolvere il problema da parte di Microsoft:
http://support.microsoft.com/kb/979682
AVVERTIMENTO
Le informazioni sono presentate a scopo didattico. Usandolo dentro
scopi illeciti possono comportare responsabilità penale.
ATTENZIONE!!! ATTENZIONE!!! ATTENZIONE!!!
VERME PERICOLOSO!!!Sintomi: Quando si lavora in rete, viene visualizzato improvvisamente un messaggio che informa che è necessario completare tutti i programmi con il risparmio di dati. dopo 60 sec. si verificherà un riavvio.
Diagnosi: Verme di rete w32.Blaster.worm Il worm sfrutta una vulnerabilità rilevata il 16 luglio nel servizio RPC DCOM, presente in tutti i sistemi operativi delle famiglie Windows 2000, Windows XP e Windows 2003. Questa vulnerabilità è un buffer overflow, che è causato da un pacchetto TCP/IP opportunamente predisposto, che arriva alla porta 135, 139 o 445 del computer attaccato. Consente almeno un attacco DoS (DoS significa "Denial of Service", o "denial of service", in questo caso - il computer attaccato si riavvia) e al massimo - esegue qualsiasi codice nella memoria del computer attaccato. Quando il nuovo worm si diffonde, attacca la porta 135 e, in caso di successo, avvia il programma TFTP.exe, che scarica il suo file eseguibile sul computer attaccato. In questo caso, all'utente viene fornito un messaggio sull'arresto del servizio RPC e quindi sul riavvio. Dopo il riavvio, il worm si avvia automaticamente e avvia la scansione delle reti accessibili dal computer per i computer con la porta 135 aperta. Se ne vengono trovati, il worm esegue un attacco e tutto si ripete dall'inizio. Inoltre, a giudicare dal ritmo di distribuzione del momento, il worm uscirà presto al primo posto nelle liste delle società antivirus.
Medicinale: Ci sono tre modi per proteggersi da un worm. Innanzitutto, il bollettino Microsoft fornisce collegamenti a patch per tutte le versioni vulnerabili di Windows che chiudono il buco RPC (queste patch sono state rilasciate il 16 luglio, quindi coloro che aggiornano regolarmente il sistema non dovrebbero preoccuparsi). In secondo luogo, se la porta 135 è chiusa da un firewall, il worm non sarà in grado di penetrare nel computer. In terzo luogo, la disabilitazione di DCOM aiuta come ultima risorsa (questa procedura è descritta in dettaglio in un bollettino di Microsoft). Pertanto, se non sei ancora stato attaccato da un worm, ti consigliamo vivamente di scaricare una patch per il tuo sistema operativo dal server Microsoft il prima possibile (ad esempio, utilizzare i servizi di Windows Update) o impostare il blocco delle porte 135, 139 e 445 nel firewall. Se il tuo computer è già infetto (e la comparsa di un messaggio di errore RPC significa sicuramente che è infetto), devi disattivare DCOM (altrimenti, ogni attacco successivo provocherà un riavvio), quindi scaricare e installare la patch. Per eliminare il worm, è necessario eliminare la voce "aggiornamento automatico di Windows"="msblast.exe" dalla chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, quindi trovare ed eliminare il file msblast.exe: questo è il corpo del verme. È possibile leggere ulteriori informazioni sulla procedura di rimozione del worm sul sito Web di Symantec.
Al momento, non tutti gli antivirus rilevano il worm: sarà possibile sperare in una protezione dalla loro parte solo dopo il rilascio degli aggiornamenti.
Se non hai ancora ricevuto un messaggio del genere, scarica le patch da Uncle Bill:
Ecco i collegamenti alla cura per NT 4.0 e 2000, 2003 Server
