Форум программистов, компьютерный форум, киберфорум
_lunar_
Войти
Регистрация
Восстановить пароль
Рейтинг: 5.00. Голосов: 2.

Прогулка по Рабочему столу Winlogon. Часть 2: Привет, друг

Запись от _lunar_ размещена 08.06.2021 в 01:52

Прогулка по Рабочему столу Winlogon. Часть 1: UAC

Когда ребята из Microsoft создавали экран приветствия, где пользователь должен ввести логин и пароль,
наверняка они хотели изобрести что-то мощное, что не дало бы не единого шанса на обход пароля и перехода к обычному Рабочему столу.
И всё бы ничего, но один эксплойт они проглядели. Давайте разбираться.

Что же такое экран приветствия? На этот вопрос нам поможет ответить всё тот же KernelExplorer
Всё что мы видим на экране монитора в ОС семейства Windows есть ничто иное как Рабочий стол.
Это и обои, и заставки, и черный экран терминальной сессии, и даже экран приветствия.
Но если экран приветствия это Рабочий стол, то что это за Рабочий стол? Как он называется?
Всё просто - это Рабочий стол Winlogon. Да, тот самый, который ОС создаёт первым, а уже затем создаётся Рабочий стол Default.

Здесь стоит сделать небольшое отступление, и рассказать про функционал экран приветствия.
На данном Рабочем столе Winlogon отключено практически всё:
- не работает механизм переключения между Рабочими столами (SwitchDesktop) ни при каких правах (будь то даже система)
- не работает функционал быстрого скриншота PrintScreen и самого копирования (в буфер обмена не передаются данные, хотя у Рабочего стола Disconnect с этим всё в порядке)
- очень странно себя ведут некоторые оконные программы (здесь стоит сделать акцент на то, что этот стол изначально не предназначался для GUI)
И ещё много всякой мелочи, которая усложняет анализ происходящего.
А ведь как было бы просто взять функцию SwitchDesktop и перейти с Winlogon на Default, не вводя пароль от учетной записи.

Давайте запустим KernelExplorer на рабочем столе Winlogon (как мы это делали в первой части).
Для этого в меню выбираем Инструменты -> Сменить Рабочий стол -> Перейти на Рабочий стол Winlogon
Через утилиту управления UI0Return запустите KernelExplorer.
Не закрывайте KernelExplorer и вернитесь на Рабочий стол Default: кнопка Переключиться между Рабочими столами.

Для чистоты эксперимента я установил пароль для своей учетной записи
Нажмите на изображение для увеличения
Название: 1.jpg
Просмотров: 100
Размер:	192.6 Кб
ID:	7014
Чтобы его скинуть достаточно будет запустить командную строку от имени администратора и ввести net user имя_учетки ""

Заблокируем компьютер (клавиши Win+L) и попробуем ввести неправильный пароль (как-будто мы его не знаем)
Нажмите на изображение для увеличения
Название: 2.JPG
Просмотров: 110
Размер:	429.8 Кб
ID:	7015
После чего увидим обычное предупреждение о неправильном пароле.

Теперь нажмите клавиши Alt+Tab и перейдите к окну KernelExplorer.
Забавно да, мы на экране приветствия уже можем управлять компьютером (в частности запустить Explorer++ для исследования жесткого диска без ведома пользователя).
Но куда более интереснее всё же попытаться перейти на Рабочий стол Default без ввода пароля.

И вот он наш эксплойт
Нажмите на изображение для увеличения
Название: 3.JPG
Просмотров: 110
Размер:	564.6 Кб
ID:	7016
Как мы помним просто переключить Рабочий стол нельзя, но переход с экрана приветствия в терминальную сессию никто не отменял.
Остаётся лишь в меню выбрать Инструменты -> Перейти в терминальную сессию -> Оконная станция WinSta0
А затем просто нажать кнопку Вернуться в сессию пользователя и перейти на Рабочий стол Default.

Я вас поздравляю, мы только что обошли пароль от учетной записи.
Да, есть определенные ограничения (нужны права админа и т.д.), но сам факт того, что этот бекдор доступен и его можно использовать, на лицо.
Размещено в Без категории
Показов 704 Комментарии 1
Всего комментариев 1
Комментарии
  1. Старый комментарий
    OEM-утилитки управления звуком, док-станцией и т.п. изредка вываливали свои окошки на "чужие" Desktop'ы.
    Запись от politoto размещена 08.06.2021 в 12:44 politoto на форуме
 
КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.