提权实录:通过命名管道劫持可写服务
<h1 id="提权实录通过命名管道劫持可写服务">提权实录:通过命名管道劫持可写服务</h1> <h2 id="前言">前言</h2> <p>在分析某 Windows 应用的服务组件时,发现其创建的命名管道访问控制配置宽松,允许低权限用户连接并发送指令,从而触发高权限的终止任意进程操作(<code>taskkill</code>)。进一步分析发现,被终止的服务会自动重启,而其可执行文件的权限配置错误,允许 Everyone 组读写。结合这两个缺陷,可构造一条完整的本地提权利用链。</p> <h2 id="漏洞挖掘过程">漏洞挖掘过程</h2> <h3 id="命名管道">命名管道</h3> <h4 id="关于命名管道">关于命名管道</h4> <p>命名管道(Named Pipe)是 Windows 操作系统提供的一种进程间通信(IPC)机制,允许不同进程(包括跨会话、跨权限级别)通过一个带名称的管道进行双向或单向数据交换。命名管道具有全局可见的名称(通常位于 <code>\pipe\</code> 命名空间下,如 <code>\\.\pipe\KeyServicePipe</code>),支持多客户端连接,并可通过安全描述符(Security Descriptor) 设置访问控制列表(ACL),以限制哪些用户或组可以读取、写入或创建连接。</p> <p>命名管道常被用作高权限服务与低权限客户端之间的通信通道。然而,若开发者未正确配置管道的 ACL(例如允许 Everyone 或 Authenticated Users 具有写权限),攻击者就可以作为客户端向服务端发送消息,从而使得服务执行敏感操作(如启动/终止进程、读取文件等),以此构成权限提升或远程代码执行的风险。</p> <h4 id="发现命名管道">发现命名管道</h4> <p>发现命名管道及查看其对应的 ACL 策略可以借助 <a href="https://learn.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite">Sysinternals Suite</a> 内的 <code>pipelist</code> 和 <code>accesschk</code>。这里 <a href="https://github.com/0cat-r">0cat</a> 向我推荐了一款可视化友好的工具:<a href="https://github.com/sensepost/pipetap">Pipetap</a>。通过查看 <code>Pipelist</code> 发现存在一个 ACL 策略为 Everyone 可写的命名管道:<code>KeyServicePipe</code>。</p> <p><img src="/images/2026-03-16/CleanShot%202026-01-04%20at%2016.11.27@2x.png" alt="CleanShot 2026-01-04 at 16.11.27@2x" /></p> <p>该命名管道对应的进程也是以 <code>System</code> 权限运行着,完全符合我们挖掘提权的条件。</p> <p><img src="/images/2026-03-16/CleanShot%202026-01-12%20at%2019.44.25@2x.png" alt="CleanShot 2026-01-12 at 19.44.25@2x" /></p> <h4 id="进程终止逻辑">进程终止逻辑</h4> <p>根据命名管道服务进程定位到其可执行文件,接着通过 IDA 进行<a href="https://github.com/gh0stkey/FuncExporter">一键导出反编译代码</a>。配合着 AI 进行分析,很容易就定位到相关信息。</p> <p>首先是入口接收到信息并根据不同的偏移量解析客户端所发送过来的消息,根据这些偏移量得知消息包含 2 个部分:消息头和消息体,消息头为 12 个字节。</p> <p><img src="/images/2026-03-16/CleanShot%202026-01-12%20at%2016.20.29@2x.png" alt="CleanShot 2026-01-12 at 16.20.29@2x" /></p> <p>其次是消息头的逻辑,我们可以看见其有三个部分,每个部分刚好 4 字节(DWORD)。三个部分分别为:会话 ID、消息类型、消息体长度。这些信息也是基于后续的调试输出所得知。读到消息类型后,会判断消息类型的范围必须在 1-37 之间。</p> <p><img src="/images/2026-03-16/CleanShot%202026-01-12%20at%2016.23.31@2x.png" alt="CleanShot 2026-01-12 at 16.23.31@2x" /></p> <p>最后就进入消息分发,根据不同的消息类型进行分发。不同的消息类型对应不同的处理逻辑,在这里实际上踩了个坑,正常跟进向下的逻辑 Map 寻找,而实际上在服务创建的构造函数内就已经定义好了:<code>sub_424FF0(v5, 消息类型, 消息处理函数)</code>。</p> <p><img src="/images/2026-03-16/CleanShot%202026-01-12%20at%2017.01.45@2x.png" alt="CleanShot 2026-01-12 at 17.01.45@2x" /></p> <p>关键问题逻辑就是其作为命名管道服务端有一个消息接收分发机制,根据消息类型来进行消息的分发。如图所示,当消息类型为 <code>24</code> 时则进入消息进入 <code>sub_4216B0</code> 函数处理。</p> <p>在 <code>sub_4216B0</code> 函数内本质上就是获取消息体进行处理,最重要的就行消息体的 <code>+4</code> 字节偏移位,其为 PID(这里做了强转换,因此无法进行命令注入)。PID 首先用于 <code>TASKLIST</code> 命令进行命令查找。</p> <p><img src="/images/2026-03-16/CleanShot%202026-01-12%20at%2019.25.22@2x.png" alt="CleanShot 2026-01-12 at 19.25.22@2x" /></p> <p>只有当指定的 PID 进程存在时才会接着向下走,走到 <code>TASKKILL</code> 命令,根据 PID 强制关闭进程。至此,我们就发现了一条低权限进程通过命名管道以 <code>System</code> 权限进行 <code>TASKKILL</code> 任意进程的路径。</p> <p><img src="/images/2026-03-16/CleanShot%202026-01-12%20at%2019.39.38@2x.png" alt="CleanShot 2026-01-12 at 19.39.38@2x" /></p> <h3 id="系统服务">系统服务</h3> <h4 id="关于系统服务">关于系统服务</h4> <p>Windows 服务(Windows Service)是 Windows 操作系统中一种在后台持续运行的程序,无需用户交互即可执行特定任务。如果服务在配置时没有做好权限的 ACL 配置则会导致三类风险:可修改服务二进制文件、可修改服务注册表项、可修改服务本身,易被攻击者利用实现本地权限提升或恶意篡改服务配置与运行逻辑。</p> <h4 id="可修改服务二进制文件">可修改服务二进制文件</h4> <p>这里直接借助 <a href="https://github.com/GhostPack/SharpUp">SharpUp</a> 来进行一键分析:<code>SharpUp.exe check ModifiableServiceBinaries</code>。发现有很多服务的可执行文件是可以修改的,但是要配合攻击链路,就需要满足被 <code>TASKKILL</code> 强制终止进程后,还会自动重启的。这里测试出来发现 <code>KeyAgent</code> 服务满足这一逻辑。</p> <p><img src="/images/2026-03-16/CleanShot%202026-01-12%20at%2019.49.29@2x.png" alt="CleanShot 2026-01-12 at 19.49.29@2x" /></p> <h2 id="利用链构建">利用链构建</h2> <p>利用链构建比较简单,先启动独立的线程不断的循环尝试将恶意文件 <code>EvilAgent.exe</code> 替换目标服务的合法可执行文件 <code>KeyAgent.exe</code>,同时作为客户端连接命名管道 <code>\\.\pipe\KeyServicePipe</code> 并发送构造好的 KillProcess 消息触发命名管道服务进程执行 <code>TASKKILL</code> 命令终止 <code>KeyAgent.exe</code> 进程,最后借助 <code>KeyAgent.exe</code> 服务自动重启特性加载恶意文件,完成本地权限提升的利用链构建。</p> <p><img src="/images/2026-03-16/mermaid-diagram-2026-01-12-203558.png" alt="mermaid-diagram-2026-01-12-203558" /></p> <p><code>EvilAgent.exe</code> 是 <a href="https://github.com/Rvn0xsy/SystemGap">SystemGap</a> 项目里的 <code>SystemGapAll</code>。其同样也借助命名管道实现高低权限进程间的通信,低权限向高权限发送要执行的命令,高权限执行并把结果返回给低权限。</p> <p><img src="/images/2026-03-16/4cd75d3600f7dd104be96cb3fd87d56a.png" alt="4cd75d3600f7dd104be96cb3fd87d56a" /></p> <h2 id="总结">总结</h2> <p>本提权利用链的成功构建,关键在于命名管道访问控制配置不当与服务可执行文件权限配置错误这两个缺陷的组合利用,在实战过程中发现类似的问题很多,是个值得关注的攻击面。最后,在此特别感谢 <a href="https://payloads.online/">@倾旋</a> 在漏洞挖掘过程中提供的协助。</p>