- Văn bản
- Lịch sử
What do you think it means to run a
What do you think it means to run a program as the current user but choose to
“Protect my computer and data from unauthorized program activity”? Let’s open Process Explorer and find out! In this case, cmd.exe was run in this special mode. Process Explorer’s representation of the token is shown in Figure 24-3.
Let’s compare this token with the one attached to the process launched by the same user in the same logon session earlier (Figure 24-1). First, notice that the token’s user is still JNESS2jness. This has not changed and it will be interesting later as we think about ways to circumvent Windows Access Control. However, notice that in this token the Administrators group is present but denied. So even though the user JNESS2jness
Figure 24-3
Restricted token
is an Administrator on the JNESS2 workstation, the Administrators group membership has been explicitly denied. Next you’ll notice that each of the groups that was in the token before now has a matching restricted SID token. Anytime this token is presented to gain access to a secured resource, both the token’s Restricted group SIDs and its normal group SIDs must have access to the resource or permission will be denied. Finally, notice that all but one of the named Privileges (and all the good ones) have been removed from this restricted token. For an attacker (or for malware), running with a restricted token is a lousy experience—you can’t do much of anything. In fact, let’s try a few things: dir C:
The restricted token does allow normal file system access. cd c:documents and settingsjness m Access Denied!
The restricted token does not allow access to one’s own user profile. dir c:program filesinternet exploreriexplore.exe
The restricted token does allow access to program files. c:debuggers
tsd
Debugging the process launched with the restricted token works fine. c:debuggers
tsd m Access Denied!
Debugging the MSN Messenger launched with a normal token fails!
As we continue in this chapter, think about how a clever hacker running on the desktop of an Administrator but running in a process with a restricted token could break out of restricted token jail and run with a normal, privileged token. (Hint: The desktop is the security boundary.)
Security Descriptor
It’s important to understand the token because that is half of the AccessCheck operation, the operation performed by the operating system anytime access to a securable object is requested. The other half of the AccessCheck operation is the security descriptor (SD) of the object for which access is being requested. The SD describes the security protections of the object by listing all the entities that are allowed access to the object. More specifically, the SD holds the owner of the object, the Discretionary Access Control List (DACL), and a System Access Control List (SACL). The DACL describes who can and cannot access a securable object by listing each access granted or denied in a series of access control entries (ACEs). The SACL describes what the system should audit and is not as important to describe in this section, other than to point out how to recognize it. (Every few months, someone will post to a security mailing list pointing out what they believe to be a weak DACL when, in fact, it is just an SACL.)
Let’s look at a sample security descriptor to get started. Figure 24-4 shows the SD attached to C:Program Files on Windows XP SP2. This directory is a great example to work through, first describing the SD, and then showing you how you can do the same analysis yourself with free, downloadable tools.
First, notice that the owner of the C:Program Files directory is the Administrators group. The SD structure itself stores a pointer to the SID of the Administrators group. Next, notice that the DACL has nine ACEs. The four in the left column are allow ACEs, the four on the right are inheritance ACEs, and the final one is a special Creator Owner ACE.
Let’s spend a few minutes dissecting the first ACE (ACE[0]), which will help you understand the others. ACE[0] grants a specific type of access to the group BUILTIN Users. The hex string 0x001200A9 corresponds to an access mask that can describe whether each possible access type is either granted or denied. (Don’t “check out” here because you
“Protect my computer and data from unauthorized program activity”? Let’s open Process Explorer and find out! In this case, cmd.exe was run in this special mode. Process Explorer’s representation of the token is shown in Figure 24-3.
Let’s compare this token with the one attached to the process launched by the same user in the same logon session earlier (Figure 24-1). First, notice that the token’s user is still JNESS2jness. This has not changed and it will be interesting later as we think about ways to circumvent Windows Access Control. However, notice that in this token the Administrators group is present but denied. So even though the user JNESS2jness
Figure 24-3
Restricted token
is an Administrator on the JNESS2 workstation, the Administrators group membership has been explicitly denied. Next you’ll notice that each of the groups that was in the token before now has a matching restricted SID token. Anytime this token is presented to gain access to a secured resource, both the token’s Restricted group SIDs and its normal group SIDs must have access to the resource or permission will be denied. Finally, notice that all but one of the named Privileges (and all the good ones) have been removed from this restricted token. For an attacker (or for malware), running with a restricted token is a lousy experience—you can’t do much of anything. In fact, let’s try a few things: dir C:
The restricted token does allow normal file system access. cd c:documents and settingsjness m Access Denied!
The restricted token does not allow access to one’s own user profile. dir c:program filesinternet exploreriexplore.exe
The restricted token does allow access to program files. c:debuggers
tsd
Debugging the process launched with the restricted token works fine. c:debuggers
tsd m Access Denied!
Debugging the MSN Messenger launched with a normal token fails!
As we continue in this chapter, think about how a clever hacker running on the desktop of an Administrator but running in a process with a restricted token could break out of restricted token jail and run with a normal, privileged token. (Hint: The desktop is the security boundary.)
Security Descriptor
It’s important to understand the token because that is half of the AccessCheck operation, the operation performed by the operating system anytime access to a securable object is requested. The other half of the AccessCheck operation is the security descriptor (SD) of the object for which access is being requested. The SD describes the security protections of the object by listing all the entities that are allowed access to the object. More specifically, the SD holds the owner of the object, the Discretionary Access Control List (DACL), and a System Access Control List (SACL). The DACL describes who can and cannot access a securable object by listing each access granted or denied in a series of access control entries (ACEs). The SACL describes what the system should audit and is not as important to describe in this section, other than to point out how to recognize it. (Every few months, someone will post to a security mailing list pointing out what they believe to be a weak DACL when, in fact, it is just an SACL.)
Let’s look at a sample security descriptor to get started. Figure 24-4 shows the SD attached to C:Program Files on Windows XP SP2. This directory is a great example to work through, first describing the SD, and then showing you how you can do the same analysis yourself with free, downloadable tools.
First, notice that the owner of the C:Program Files directory is the Administrators group. The SD structure itself stores a pointer to the SID of the Administrators group. Next, notice that the DACL has nine ACEs. The four in the left column are allow ACEs, the four on the right are inheritance ACEs, and the final one is a special Creator Owner ACE.
Let’s spend a few minutes dissecting the first ACE (ACE[0]), which will help you understand the others. ACE[0] grants a specific type of access to the group BUILTIN Users. The hex string 0x001200A9 corresponds to an access mask that can describe whether each possible access type is either granted or denied. (Don’t “check out” here because you
0/5000
Bạn nghĩ gì nó có nghĩa là để chạy một chương trình như người dùng hiện tại nhưng muốn "Bảo vệ máy tính và dữ liệu của tôi từ trái phép chương trình hoạt động"? Hãy mở Process Explorer và tìm hiểu! Trong trường hợp này, cmd.exe đã được chạy trong chế độ đặc biệt này. Process Explorer đại diện của mã thông báo được hiển thị trong hình 24-3.Hãy so sánh các mã thông báo này với một gắn liền với quá trình đưa ra bởi cùng một người dùng trong phiên đăng nhập tương tự trước đó (hình 24 - 1). Đầu tiên, nhận thấy rằng người dùng của kỷ niệm vẫn là JNESS2jness. Điều này đã không thay đổi và nó sẽ được thú vị sau khi chúng ta suy nghĩ về cách để phá vỡ điều khiển truy cập Windows. Tuy nhiên, nhận thấy rằng trong này mã thông báo nhóm người quản trị là hiện tại nhưng bị từ chối. Vì vậy ngay cả khi người dùng JNESS2jness Hình 24-3 Hạn chế mã thông báolà quản trị viên trên máy trạm JNESS2, thành viên nhóm quản trị viên đã bị từ chối một cách rõ ràng. Tiếp theo bạn sẽ nhận thấy rằng mỗi người trong số các nhóm đó là trong mã thông báo trước khi bây giờ có một mã thông báo SID phù hợp với giới hạn. Bất cứ lúc nào mã thông báo này được trình bày để đạt được quyền truy cập vào một nguồn tài nguyên bảo mật, mã thông báo của bị giới hạn nhóm SIDs và nhóm của nó bình thường SIDs phải có quyền truy cập vào tài nguyên hoặc cấp phép sẽ bị từ chối. Cuối cùng, nhận thấy rằng tất cả, nhưng một trong những đặc quyền được đặt tên theo (và tất cả những cái tốt) đã được gỡ bỏ từ này mã thông báo bị hạn chế. Cho kẻ tấn công (hoặc phần mềm độc hại), hoạt động với một mã thông báo giới hạn là một kinh nghiệm lousy — bạn không thể làm nhiều bất cứ điều gì. Trong thực tế, chúng ta hãy thử một vài điều: dir C:Kỷ niệm bị giới hạn cho phép truy cập hệ thống tập tin bình thường. CD c:documents and settingsjness m truy cập từ chối!Kỷ niệm bị hạn chế không cho phép truy cập vào hồ sơ người dùng một của chính mình. DIR c:program Internet exploreriexplore.exeKỷ niệm bị giới hạn cho phép truy nhập tới tệp chương trình. c:debuggers
tsdGỡ lỗi tiến trình bắt đầu với mã thông báo giới hạn hoạt động tốt. c:debuggers
tsd m truy cập từ chối!Gỡ lỗi MSN Messenger bắt đầu với một mã thông báo bình thường không thành công!Như chúng tôi tiếp tục trong chương này, suy nghĩ về làm thế nào một hacker thông minh chạy trên máy tính để bàn của người quản trị nhưng chạy trên một tính trình với một mã thông báo bị giới hạn có thể thoát ra khỏi giới hạn token tù và chạy với một mã thông báo bình thường, đặc quyền. (Gợi ý: máy tính để bàn là ranh giới bảo mật.)Bộ mô tả bảo mậtNó là quan trọng để hiểu kỷ niệm bởi vì đó là một nửa hoạt động AccessCheck, chiến dịch thực hiện bởi hệ điều hành bất cứ lúc nào truy cập vào một đối tượng securable được yêu cầu. Nửa kia của chiến dịch AccessCheck là bộ mô tả bảo mật (SD) của đối tượng mà truy cập được yêu cầu. SD mô tả bảo vệ bảo mật của đối tượng theo danh sách tất cả các thực thể được phép truy cập vào các đối tượng. Cụ thể hơn, SD có chủ sở hữu của đối tượng, danh sách điều khiển truy cập tùy (DACL), và một hệ thống truy cập kiểm soát danh sách (SACL). DACL mô tả những người có thể và không thể truy cập vào một đối tượng securable bằng danh sách truy cập mỗi được cấp hoặc bị từ chối trong một loạt các mục điều khiển truy nhập (ACEs). SACL mô tả những gì hệ thống nên kiểm toán và không phải là quan trọng để mô tả trong phần này, khác hơn so với chỉ ra làm thế nào để nhận ra nó. (Vài tháng một lần, ai đó sẽ gửi một danh sách gửi thư bảo mật chỉ ra những gì họ tin là một DACL yếu khi, trong thực tế, nó là chỉ là một SACL.)Hãy nhìn vào một mô tả bảo mật mẫu để bắt đầu. Hình 24-4 cho thấy SD gắn liền với C:Program tập tin trên Windows XP SP2. Thư mục này là một ví dụ tuyệt vời để làm việc thông qua, lần đầu tiên mô tả SD, và sau đó hiển thị bạn làm thế nào bạn có thể làm phân tích tương tự cho mình với miễn phí, tải về công cụ.Trước tiên, nhận thấy rằng chủ sở hữu của thư mục tập tin C:Program là nhóm người quản trị. Cấu trúc SD chính nó mua sắm một con trỏ đến SID của nhóm người quản trị. Tiếp theo, thông báo rằng DACL có chín ACEs. Bốn trong cột bên trái là cho phép ACEs, bốn bên phải là "Ách" thừa kế, và cuối cùng là một ACE chủ sở hữu tác giả đặc biệt.Hãy dành một vài phút để cắt ngang đầu tiên ACE (ACE[0]), mà sẽ giúp bạn hiểu những người khác. ACE [0] trao một loại hình cụ thể truy cập cho người dùng nhóm BUILTIN. Hex chuỗi 0x001200A9 tương ứng với một mặt nạ truy cập có thể mô tả cho dù mỗi loại có thể truy cập được hoặc được cấp hoặc bị từ chối. (Không "kiểm tra" ở đây vì bạn
tsdGỡ lỗi tiến trình bắt đầu với mã thông báo giới hạn hoạt động tốt. c:debuggers
tsd m truy cập từ chối!Gỡ lỗi MSN Messenger bắt đầu với một mã thông báo bình thường không thành công!Như chúng tôi tiếp tục trong chương này, suy nghĩ về làm thế nào một hacker thông minh chạy trên máy tính để bàn của người quản trị nhưng chạy trên một tính trình với một mã thông báo bị giới hạn có thể thoát ra khỏi giới hạn token tù và chạy với một mã thông báo bình thường, đặc quyền. (Gợi ý: máy tính để bàn là ranh giới bảo mật.)Bộ mô tả bảo mậtNó là quan trọng để hiểu kỷ niệm bởi vì đó là một nửa hoạt động AccessCheck, chiến dịch thực hiện bởi hệ điều hành bất cứ lúc nào truy cập vào một đối tượng securable được yêu cầu. Nửa kia của chiến dịch AccessCheck là bộ mô tả bảo mật (SD) của đối tượng mà truy cập được yêu cầu. SD mô tả bảo vệ bảo mật của đối tượng theo danh sách tất cả các thực thể được phép truy cập vào các đối tượng. Cụ thể hơn, SD có chủ sở hữu của đối tượng, danh sách điều khiển truy cập tùy (DACL), và một hệ thống truy cập kiểm soát danh sách (SACL). DACL mô tả những người có thể và không thể truy cập vào một đối tượng securable bằng danh sách truy cập mỗi được cấp hoặc bị từ chối trong một loạt các mục điều khiển truy nhập (ACEs). SACL mô tả những gì hệ thống nên kiểm toán và không phải là quan trọng để mô tả trong phần này, khác hơn so với chỉ ra làm thế nào để nhận ra nó. (Vài tháng một lần, ai đó sẽ gửi một danh sách gửi thư bảo mật chỉ ra những gì họ tin là một DACL yếu khi, trong thực tế, nó là chỉ là một SACL.)Hãy nhìn vào một mô tả bảo mật mẫu để bắt đầu. Hình 24-4 cho thấy SD gắn liền với C:Program tập tin trên Windows XP SP2. Thư mục này là một ví dụ tuyệt vời để làm việc thông qua, lần đầu tiên mô tả SD, và sau đó hiển thị bạn làm thế nào bạn có thể làm phân tích tương tự cho mình với miễn phí, tải về công cụ.Trước tiên, nhận thấy rằng chủ sở hữu của thư mục tập tin C:Program là nhóm người quản trị. Cấu trúc SD chính nó mua sắm một con trỏ đến SID của nhóm người quản trị. Tiếp theo, thông báo rằng DACL có chín ACEs. Bốn trong cột bên trái là cho phép ACEs, bốn bên phải là "Ách" thừa kế, và cuối cùng là một ACE chủ sở hữu tác giả đặc biệt.Hãy dành một vài phút để cắt ngang đầu tiên ACE (ACE[0]), mà sẽ giúp bạn hiểu những người khác. ACE [0] trao một loại hình cụ thể truy cập cho người dùng nhóm BUILTIN. Hex chuỗi 0x001200A9 tương ứng với một mặt nạ truy cập có thể mô tả cho dù mỗi loại có thể truy cập được hoặc được cấp hoặc bị từ chối. (Không "kiểm tra" ở đây vì bạn
đang được dịch, vui lòng đợi..
What do you think it means to run a program as the current user but choose to
“Protect my computer and data from unauthorized program activity”? Let’s open Process Explorer and find out! In this case, cmd.exe was run in this special mode. Process Explorer’s representation of the token is shown in Figure 24-3.
Let’s compare this token with the one attached to the process launched by the same user in the same logon session earlier (Figure 24-1). First, notice that the token’s user is still JNESS2jness. This has not changed and it will be interesting later as we think about ways to circumvent Windows Access Control. However, notice that in this token the Administrators group is present but denied. So even though the user JNESS2jness
Figure 24-3
Restricted token
is an Administrator on the JNESS2 workstation, the Administrators group membership has been explicitly denied. Next you’ll notice that each of the groups that was in the token before now has a matching restricted SID token. Anytime this token is presented to gain access to a secured resource, both the token’s Restricted group SIDs and its normal group SIDs must have access to the resource or permission will be denied. Finally, notice that all but one of the named Privileges (and all the good ones) have been removed from this restricted token. For an attacker (or for malware), running with a restricted token is a lousy experience—you can’t do much of anything. In fact, let’s try a few things: dir C:
The restricted token does allow normal file system access. cd c:documents and settingsjness m Access Denied!
The restricted token does not allow access to one’s own user profile. dir c:program filesinternet exploreriexplore.exe
The restricted token does allow access to program files. c:debuggers
tsd
Debugging the process launched with the restricted token works fine. c:debuggers
tsd m Access Denied!
Debugging the MSN Messenger launched with a normal token fails!
As we continue in this chapter, think about how a clever hacker running on the desktop of an Administrator but running in a process with a restricted token could break out of restricted token jail and run with a normal, privileged token. (Hint: The desktop is the security boundary.)
Security Descriptor
It’s important to understand the token because that is half of the AccessCheck operation, the operation performed by the operating system anytime access to a securable object is requested. The other half of the AccessCheck operation is the security descriptor (SD) of the object for which access is being requested. The SD describes the security protections of the object by listing all the entities that are allowed access to the object. More specifically, the SD holds the owner of the object, the Discretionary Access Control List (DACL), and a System Access Control List (SACL). The DACL describes who can and cannot access a securable object by listing each access granted or denied in a series of access control entries (ACEs). The SACL describes what the system should audit and is not as important to describe in this section, other than to point out how to recognize it. (Every few months, someone will post to a security mailing list pointing out what they believe to be a weak DACL when, in fact, it is just an SACL.)
Let’s look at a sample security descriptor to get started. Figure 24-4 shows the SD attached to C:Program Files on Windows XP SP2. This directory is a great example to work through, first describing the SD, and then showing you how you can do the same analysis yourself with free, downloadable tools.
First, notice that the owner of the C:Program Files directory is the Administrators group. The SD structure itself stores a pointer to the SID of the Administrators group. Next, notice that the DACL has nine ACEs. The four in the left column are allow ACEs, the four on the right are inheritance ACEs, and the final one is a special Creator Owner ACE.
Let’s spend a few minutes dissecting the first ACE (ACE[0]), which will help you understand the others. ACE[0] grants a specific type of access to the group BUILTIN Users. The hex string 0x001200A9 corresponds to an access mask that can describe whether each possible access type is either granted or denied. (Don’t “check out” here because you
“Protect my computer and data from unauthorized program activity”? Let’s open Process Explorer and find out! In this case, cmd.exe was run in this special mode. Process Explorer’s representation of the token is shown in Figure 24-3.
Let’s compare this token with the one attached to the process launched by the same user in the same logon session earlier (Figure 24-1). First, notice that the token’s user is still JNESS2jness. This has not changed and it will be interesting later as we think about ways to circumvent Windows Access Control. However, notice that in this token the Administrators group is present but denied. So even though the user JNESS2jness
Figure 24-3
Restricted token
is an Administrator on the JNESS2 workstation, the Administrators group membership has been explicitly denied. Next you’ll notice that each of the groups that was in the token before now has a matching restricted SID token. Anytime this token is presented to gain access to a secured resource, both the token’s Restricted group SIDs and its normal group SIDs must have access to the resource or permission will be denied. Finally, notice that all but one of the named Privileges (and all the good ones) have been removed from this restricted token. For an attacker (or for malware), running with a restricted token is a lousy experience—you can’t do much of anything. In fact, let’s try a few things: dir C:
The restricted token does allow normal file system access. cd c:documents and settingsjness m Access Denied!
The restricted token does not allow access to one’s own user profile. dir c:program filesinternet exploreriexplore.exe
The restricted token does allow access to program files. c:debuggers
tsd
Debugging the process launched with the restricted token works fine. c:debuggers
tsd m Access Denied!
Debugging the MSN Messenger launched with a normal token fails!
As we continue in this chapter, think about how a clever hacker running on the desktop of an Administrator but running in a process with a restricted token could break out of restricted token jail and run with a normal, privileged token. (Hint: The desktop is the security boundary.)
Security Descriptor
It’s important to understand the token because that is half of the AccessCheck operation, the operation performed by the operating system anytime access to a securable object is requested. The other half of the AccessCheck operation is the security descriptor (SD) of the object for which access is being requested. The SD describes the security protections of the object by listing all the entities that are allowed access to the object. More specifically, the SD holds the owner of the object, the Discretionary Access Control List (DACL), and a System Access Control List (SACL). The DACL describes who can and cannot access a securable object by listing each access granted or denied in a series of access control entries (ACEs). The SACL describes what the system should audit and is not as important to describe in this section, other than to point out how to recognize it. (Every few months, someone will post to a security mailing list pointing out what they believe to be a weak DACL when, in fact, it is just an SACL.)
Let’s look at a sample security descriptor to get started. Figure 24-4 shows the SD attached to C:Program Files on Windows XP SP2. This directory is a great example to work through, first describing the SD, and then showing you how you can do the same analysis yourself with free, downloadable tools.
First, notice that the owner of the C:Program Files directory is the Administrators group. The SD structure itself stores a pointer to the SID of the Administrators group. Next, notice that the DACL has nine ACEs. The four in the left column are allow ACEs, the four on the right are inheritance ACEs, and the final one is a special Creator Owner ACE.
Let’s spend a few minutes dissecting the first ACE (ACE[0]), which will help you understand the others. ACE[0] grants a specific type of access to the group BUILTIN Users. The hex string 0x001200A9 corresponds to an access mask that can describe whether each possible access type is either granted or denied. (Don’t “check out” here because you
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Question 0-4Which of the following is no
- có phải bạn đã sẵn sàng để vào bếp ?
- where the implied elasticity of price wi
- smiling softly , she pulled out a blanke
- in the mid-1980's ,U.S.automakers produc
- Aktivitäten
- Khi tôi yêu em, tôi mong mình có thể chi
- Klavier
- 제 주 러 브 랜 드본 켠은 당일 입장인원 확인용 비
- Krimi
- in the mid-1980's ,U.S.automakers produc
- tên bạn là gì?
- Schiff
- Question 0-2Which of the following isn’t
- Question 0-5Trader Jim and Trader John t
- ai là trọng tài của trận đá đó?
- Oper
- let it go
- in the mid-1980's ,U.S.automakers produc
- có bao nhiêu thẻ đỏ?
- Question 0-3The best approach to reading
- the flight attendants know it is importa
- in the mid-1980's ,U.S.automakers produc
- cùng xem video nào
