【红蓝攻防】红队中的内网权限维持

在15年的黑帽大会中，Paul Stone 、Alex Chapman 提出了通过劫持Windows Server Update Service（WSUS）并利用中间人攻击，模拟WSUS服务端，在Windows自动更新时执行恶意命令。

大致流程图如下所示：

由于WSUS默认是基于http的，所以我们可以通过脚本伪造一个恶意的WSUS地址。

并且通过bettercap进行arp欺骗

默认Windows会配备20小时左右定时检查更新，我们也可以通过手动输入命令进行强制更新。

当自动更新时，我们可以注入恶意命令。

由CVE-2020-1013引发的思考：

2016年，Steve Breen记录了一个名为“ Hot Potato”的漏洞。简而言之，此漏洞使攻击者可以滥用Windows系统服务来执行HTTP到SMB的中继并提升权限。

我们再参考一下CVE-2020-1013，当调试Windows 10版本的WSUSpect-proxy时，然后发现可以简单地通过设置Internet Explorer的代理为我们控制的主机，进而转发Windows Update流量内容。

在Windows 10计算机成功移植WSUSpect-proxy模块后，我们怀疑这种行为是否可以用于其他目的，例如本地提权，或者执行恶意命令。

假设我们有权限修改本地用户代理，并且Windows Updates使用Internet Explorer设置中配置的代理，那么我们就可以在本地拦截WSUS流量，并且注入恶意代码程序，同时设置Windows更新为每20小时更新一次。

也就是说，这台机子会每20小时就会执行一次我们的恶意命令，且不需要再进行arp欺骗，就可而达到权限维持的目的。

我们可以通过外网起一个恶意的http服务，并且内含恶意代码文件，通过计算好WSUS的更新时间点，在每次更新前开启http服务，使其下载并运行我们的恶意文件。下载结束后关掉http防止蓝队溯源，以此来达到权限维持的目的。

参考链接

https://www.blackhat.com/docs/us-15/materials/us-15-Stone-WSUSpect-Compromising-Windows-Enterprise-Via-Windows-Update-wp.pdf

https://www.blackhat.com/docs/us-15/materials/us-15-Stone-WSUSpect-Compromising-Windows-Enterprise-Via-Windows-Update.pdf

https://www.gosecure.net/blog/2020/09/03/wsus-attacks-part-1-introducing-pywsus/

https://www.gosecure.net/blog/2020/09/08/wsus-attacks-part-2-cve-2020-1013-a-windows-10-local-privilege-escalation-1-day/