0x01引言

前段時間在小藍鳥上看到一個幾乎不見的持久化后門--SDDL，然后就看著評論學習著，越看越迷茫就去查了查資料。

0x02 Windows中的安全模型

當 Windows 中的用戶或進程嘗試訪問系統中的資源時，系統會使用訪問令牌來標識這些用戶或進程。訪問令牌包括一組安全標識符（SID）、用戶特定的數據和訪問權限。每個用戶都有一個唯一的 SID，它用于標識該用戶。

訪問控制列表（ACL）是一組安全描述符，用于控制對對象的訪問。ACL 中包含一條條 ACE（訪問控制項），每個 ACE 都描述了一個安全主體（如用戶、組或計算機）對對象的訪問權限。

Windows 中的安全模型通過這些基本元素來實現對資源的保護。當訪問令牌中包含的 SID 與 ACL 中的 ACE 相匹配時，訪問將被允許。否則，訪問將被拒絕。

訪問控制是 Windows 安全模型中的一個關鍵方面，它允許管理員通過配置 ACL 控制對資源的訪問。這種方法能夠提供高度的安全性，但需要仔細規劃和管理，以確保正確地保護系統和應用程序。

當一個線程嘗試去訪問一個對象時，系統會檢查線程持有的令牌以及被訪問對象的安全描述符中的DACL。先查詢類型為DENY的ACE，若命中且權限符合則訪問拒絕；未命中再在ALLOWED類型的ACE中查詢，若命中且類型符合則可以訪問。

總之，ACL的組成結構包含了一系列訪問控制項，每個訪問控制項都包含了標識符、訪問掩碼、ACE類型和審計標志等信息。通過ACL，可以控制對象的訪問權限，從而保護系統的安全性。

0x03DACL

1、概念和作用

DACL指的是Discretionary Access Control List，也就是自主訪問控制列表。它是Windows中的一種安全機制，用于控制對象（如文件、目錄、注冊表項等）的訪問權限。是一組ACE（Access Control Entry，訪問控制項）的集合，每個ACE對應一個用戶或用戶組，并定義了該用戶或用戶組在對象上所具有的訪問權限。DACL中的ACE分為Allow和Deny兩種類型，Allow表示允許訪問，Deny表示拒絕訪問。在Windows中，每個對象都有一個DACL，用于控制哪些用戶可以訪問該對象。

2、格式和語法

DACL的格式和語法基于SDDL（Security Descriptor Definition Language），SDDL是一種字符串表示形式，用于描述安全描述符和訪問控制列表。以下是SDDL語法的基本格式：

cssCopy code

D:(A;;[Access Type];[Security Identifier])

其中，D:表示這是DACL的SDDL字符串，A表示ACE中的對象類型，Access Type表示訪問權限的類型，Security Identifier表示允許或拒絕訪問的安全標識符（SID）。

Access Type包括以下部分：

? A：代表允許對對象的訪問。

? D：代表拒絕對對象的訪問。

? OA：代表允許對對象的所有者訪問。

? OD：代表拒絕對對象的所有者訪問。

? GA：代表允許對對象的組訪問。

? GD：代表拒絕對對象的組訪問。因此，一個完整的DACL SDDL字符串可能如下所示：

cssCopy code

D:(A;;GA;;;WD)(A;;GA;;;SY)(A;;0x1201bf;;;S-1-5-32-544)

其中，這個DACL允許組Everyone和系統用戶具有完全訪問權限，并且允許本地管理員組具有包括刪除和修改權限的特定訪問權限。

0x04、SDDL

1、概念和作用

SDDL（Security Descriptor Definition Language）是一種描述Windows安全描述符的語言，它用于描述Windows安全對象的安全描述符，包括訪問控制列表（ACL）、安全標識符（SID）、安全描述符的所有者和主要組等。

SDDL的作用主要有以下幾個方面：

1. 顯示安全描述符信息：使用SDDL可以將安全描述符轉換為易讀的字符串形式，從而方便用戶查看和理解其中的信息。

2. 編輯安全描述符：SDDL提供了一種統一的方式來編輯安全描述符的信息，用戶可以使用SDDL語法修改安全描述符的內容，以實現對安全對象的訪問控制。

3. 傳輸安全描述符：SDDL可以將安全描述符的信息以字符串的形式傳輸，以方便在不同的系統之間共享安全描述符的信息。SDDL語言結構非常靈活，可以用于描述多種安全對象，包括文件、目錄、注冊表、命名管道等。

2、語法和格式

SDDL（Security Descriptor Definition Language）是一種描述安全描述符（Security Descriptor）的語言，用于在Windows中定義和修改對象的安全描述符，包括訪問控制列表（ACL）、SACL和安全描述符的所有者和主要組。

SDDL語法由多個段組成，每個段用分號分隔。下面是一個包含所有段的示例：

cssCopy code

?

OSYD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CR;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCLCSWRPLOCRRC;;;SY)

?

每個段表示安全描述符的一個組件，以下是每個段的含義：

? O：安全描述符的所有者。

? G：安全描述符的主要組。

? D：DACL段，表示對象的訪問控制列表。

? S：SACL段，表示對象的安全審核策略。

? A：ACE段，表示允許或拒絕特定用戶或組訪問對象，ACE段由多個字段組成，分別表示訪問掩碼、安全標識符、ACE類型和ACE標志等。

下面是一個示例，展示了包含一個DACL和一個SACL的SDDL格式的安全描述符：

?

D:(A;;GA;;;SY)(A;;GA;;;BA)(A;;GA;;;WD)(A;;GX;;;CO)S:(AU;SAFA;GA;;;WD)(AU;SAFA;GXGW;;;CO)

?

該SDDL描述符由兩個段組成，第一個段（D）表示DACL，它允許系統管理員、內置管理員和所有用戶以讀取和寫入的方式訪問對象。第二個段（S）表示SACL，它允許系統管理員和內置管理員對對象進行安全審核，并將所有事件發送到安全日志中。

3、SDDL編輯DACL以及SACL

使用SDDL來設置和修改DACL和SACL的步驟如下：

1.?編寫SDDL字符串

首先，需要編寫SDDL字符串。SDDL字符串是一種描述安全描述符的文本格式，它由多個子項組成，每個子項對應于一個權限或一個安全標識符（SID）。

一個簡單的SDDL字符串的示例為：D:(A;;GA;;;WD)(A;;GA;;;BA)

在這個示例中，D: 表示此SDDL字符串是用來描述DACL，即訪問控制列表；A;;GA;;;WD 表示給Everyone用戶組授予了讀取和寫入權限；(A;;GA;;;BA) 表示給Administrators用戶組授予了讀取和寫入權限。2. 使用sc.exe命令行工具設置DACL和SACL

接下來，可以使用sc.exe命令行工具來設置DACL和SACL。sc.exe命令行工具是Windows操作系統自帶的一個工具，可以用來管理服務。通過sc.exe工具，可以使用SDDL字符串來設置服務的DACL和SACL。

0x05 命令行工具sc.exe

1、概念和作用

sc.exe是Windows操作系統中的命令行工具，用于管理和控制Windows服務。通過sc.exe，用戶可以創建、修改、刪除和查詢Windows服務，以及控制服務的啟動和停止等操作。sc.exe還可以用于修改服務的啟動類型、設置服務的依賴關系和描述信息等功能。

具體來說，sc.exe提供了以下主要的功能：

1. 創建Windows服務：用戶可以使用sc.exe命令創建新的Windows服務。

2. 修改Windows服務：用戶可以使用sc.exe命令修改現有的Windows服務的配置信息。

3. 刪除Windows服務：用戶可以使用sc.exe命令刪除不需要的Windows服務。

4. 查詢Windows服務：用戶可以使用sc.exe命令查看Windows服務的狀態、配置信息和依賴關系等。

5. 控制Windows服務：用戶可以使用sc.exe命令啟動、停止、暫?；蚧謴蚖indows服務的運行。

6. 設置Windows服務的安全性：用戶可以使用sc.exe命令設置Windows服務的安全性，包括修改服務的DACL和SACL等。

sc.exe是Windows系統中非常重要的命令行工具，可以方便地管理和控制Windows服務，保障系統的正常運行和安全性。

2、基本用法和常用命令

sc.exe 是 Windows 操作系統自帶的一個命令行工具，它可以用于管理 Windows 服務，包括創建、刪除、啟動、停止、修改服務的配置信息等操作。以下是 sc.exe 的一些常用命令和基本用法：

1.?列出所有服務

2、格式和語法

DACL的格式和語法基于SDDL（Security Descriptor Definition Language），SDDL是一種字符串表示形式，用于描述安全描述符和訪問控制列表。以下是SDDL語法的基本格式：

cssCopy code

D:(A;;[Access Type];[Security Identifier])

其中，D:表示這是DACL的SDDL字符串，A表示ACE中的對象類型，Access Type表示訪問權限的類型，Security Identifier表示允許或拒絕訪問的安全標識符（SID）。

Access Type包括以下部分：

? A：代表允許對對象的訪問。

? D：代表拒絕對對象的訪問。

? OA：代表允許對對象的所有者訪問。

? OD：代表拒絕對對象的所有者訪問。

? GA：代表允許對對象的組訪問。

? GD：代表拒絕對對象的組訪問。因此，一個完整的DACL SDDL字符串可能如下所示：

cssCopy code

D:(A;;GA;;;WD)(A;;GA;;;SY)(A;;0x1201bf;;;S-1-5-32-544)

其中，這個DACL允許組Everyone和系統用戶具有完全訪問權限，并且允許本地管理員組具有包括刪除和修改權限的特定訪問權限。

0x04、SDDL

1、概念和作用

SDDL（Security Descriptor Definition Language）是一種描述Windows安全描述符的語言，它用于描述Windows安全對象的安全描述符，包括訪問控制列表（ACL）、安全標識符（SID）、安全描述符的所有者和主要組等。

SDDL的作用主要有以下幾個方面：

1. 顯示安全描述符信息：使用SDDL可以將安全描述符轉換為易讀的字符串形式，從而方便用戶查看和理解其中的信息。

2. 編輯安全描述符：SDDL提供了一種統一的方式來編輯安全描述符的信息，用戶可以使用SDDL語法修改安全描述符的內容，以實現對安全對象的訪問控制。

3. 傳輸安全描述符：SDDL可以將安全描述符的信息以字符串的形式傳輸，以方便在不同的系統之間共享安全描述符的信息。SDDL語言結構非常靈活，可以用于描述多種安全對象，包括文件、目錄、注冊表、命名管道等。

2、語法和格式

SDDL（Security Descriptor Definition Language）是一種描述安全描述符（Security Descriptor）的語言，用于在Windows中定義和修改對象的安全描述符，包括訪問控制列表（ACL）、SACL和安全描述符的所有者和主要組。

SDDL語法由多個段組成，每個段用分號分隔。下面是一個包含所有段的示例：

cssCopy code

?

OSYD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CR;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCLCSWRPLOCRRC;;;SY)

?

每個段表示安全描述符的一個組件，以下是每個段的含義：

? O：安全描述符的所有者。

? G：安全描述符的主要組。

? D：DACL段，表示對象的訪問控制列表。

? S：SACL段，表示對象的安全審核策略。

? A：ACE段，表示允許或拒絕特定用戶或組訪問對象，ACE段由多個字段組成，分別表示訪問掩碼、安全標識符、ACE類型和ACE標志等。

下面是一個示例，展示了包含一個DACL和一個SACL的SDDL格式的安全描述符：

?

D:(A;;GA;;;SY)(A;;GA;;;BA)(A;;GA;;;WD)(A;;GX;;;CO)S:(AU;SAFA;GA;;;WD)(AU;SAFA;GXGW;;;CO)

?

該SDDL描述符由兩個段組成，第一個段（D）表示DACL，它允許系統管理員、內置管理員和所有用戶以讀取和寫入的方式訪問對象。第二個段（S）表示SACL，它允許系統管理員和內置管理員對對象進行安全審核，并將所有事件發送到安全日志中。

3、SDDL編輯DACL以及SACL

使用SDDL來設置和修改DACL和SACL的步驟如下：

1.?編寫SDDL字符串

首先，需要編寫SDDL字符串。SDDL字符串是一種描述安全描述符的文本格式，它由多個子項組成，每個子項對應于一個權限或一個安全標識符（SID）。

一個簡單的SDDL字符串的示例為：D:(A;;GA;;;WD)(A;;GA;;;BA)

在這個示例中，D: 表示此SDDL字符串是用來描述DACL，即訪問控制列表；A;;GA;;;WD 表示給Everyone用戶組授予了讀取和寫入權限；(A;;GA;;;BA) 表示給Administrators用戶組授予了讀取和寫入權限。2. 使用sc.exe命令行工具設置DACL和SACL

接下來，可以使用sc.exe命令行工具來設置DACL和SACL。sc.exe命令行工具是Windows操作系統自帶的一個工具，可以用來管理服務。通過sc.exe工具，可以使用SDDL字符串來設置服務的DACL和SACL。

0x05 命令行工具sc.exe

1、概念和作用

sc.exe是Windows操作系統中的命令行工具，用于管理和控制Windows服務。通過sc.exe，用戶可以創建、修改、刪除和查詢Windows服務，以及控制服務的啟動和停止等操作。sc.exe還可以用于修改服務的啟動類型、設置服務的依賴關系和描述信息等功能。

具體來說，sc.exe提供了以下主要的功能：

1. 創建Windows服務：用戶可以使用sc.exe命令創建新的Windows服務。

2. 修改Windows服務：用戶可以使用sc.exe命令修改現有的Windows服務的配置信息。

3. 刪除Windows服務：用戶可以使用sc.exe命令刪除不需要的Windows服務。

4. 查詢Windows服務：用戶可以使用sc.exe命令查看Windows服務的狀態、配置信息和依賴關系等。

5. 控制Windows服務：用戶可以使用sc.exe命令啟動、停止、暫?；蚧謴蚖indows服務的運行。

6. 設置Windows服務的安全性：用戶可以使用sc.exe命令設置Windows服務的安全性，包括修改服務的DACL和SACL等。

sc.exe是Windows系統中非常重要的命令行工具，可以方便地管理和控制Windows服務，保障系統的正常運行和安全性。

2、基本用法和常用命令

sc.exe 是 Windows 操作系統自帶的一個命令行工具，它可以用于管理 Windows 服務，包括創建、刪除、啟動、停止、修改服務的配置信息等操作。以下是 sc.exe 的一些常用命令和基本用法：

1.?列出所有服務?sc.exe query

2.?列出指定服務的信息

sc.exe query [service_name]

3.?創建一個服務

sc.exe create [service_name] [bin_path] [start_type] [error_control] [display_name] [depend]

其中，[bin_path] 是服務程序的路徑，[start_type] 是服務的啟動類型，可以為 auto（自動啟動）、demand（手動啟動）、disabled（禁用），[error_control] 是服務出錯時的處理方式，可以為 normal、ignore、critical，[display_name] 是服務的顯示名稱，[depend] 是服務所依賴的其他服務的名稱。

1.?刪除一個服務

sc.exe delete [service_name]

2.?啟動一個服務

sc.exe start [service_name]

3.?停止一個服務

sc.exe stop [service_name]

4.?修改服務的配置信息

sc.exe config [service_name] [option1=value1] [option2=value2] ...

其中，[option1=value1] 等是要修改的配置選項和對應的值，比如 start=auto 表示將服務的啟動類型改為自動啟動。

除了以上命令，sc.exe 還有其他一些命令，如 pause、resume、qc、qdescription 等，可以通過輸入 sc.exe /? 查看所有可用的命令和選項。

3 sc設置DACL和SACL

以設置服務DACL為例，使用以下命令：

?

sc.exe?sdset??

?

其中，?表示服務名稱， 表示要設置的SDDL字符串。

如果想要設置服務的SACL，可以使用以下命令：

sc.exe sdset S:()

其中， 表示服務名稱，S: 表示要設置SACL，而不是DACL，?表示要設置的SDDL字符串。

1.?驗證DACL和SACL的設置

最后，需要驗證DACL和SACL的設置是否生效?？梢允褂靡韵旅顏聿榭捶盏腄ACL和SACL：

sc.exe sdshow

其中，?表示服務名稱。如果DACL和SACL設置成功，將會在命令輸出中看到對應的SDDL字符串。

0x06后門

?

sc.exe?sdset?scmanager?D:(A;;KA;;;WD)

?

這個命令的作用是設置Windows Service Controller的安全描述符（Security Descriptor），其中：

??sc.exe?是Windows的命令行服務管理工具。

??sdset?是命令行中用來設置安全描述符的命令。

??scmanager?是Windows服務控制器的服務名稱，用于管理系統中所有的Windows服務。

??D:(A;;KA;;;WD)?是安全描述符的字符串表示，其中?D:?表示將安全描述符應用到?scmanager?服務的 DACL（Discretionary Access Control List）上。A?表示允許訪問，KA?表示對于“keep alive”相關的請求允許訪問，WD?表示允許對于所有用戶都允許訪問。

因此，這個命令的作用是設置 Windows Service Controller 服務的安全描述符，允許任何用戶訪問并保持服務保持連接。賦予 Everyone 組具有 KEY_ALL_ACCESS 訪問權限。也就是讓所有人都可以控制服務管理器，包括創建服務、刪除服務、啟動/停止服務等操作。

簡單來說允許每個人創建新的系統服務。實際上意味著“允許以本地系統運行任何 exe”。

可以通過

?

sc.exe?sdshow?scmanager?showrights

?

來枚舉服務的權限

在我們執行了這個命令之后我們可以使用普通用戶以及非特權用戶創建一個服務

?

sc?create?LPE?displayName=?"LPE"?binPath=?"C:WindowsSystem32
et.exe?localgroup?Administrators?nonpriv-user?/add"?start=?auto

?

將我們的帳戶添加到這臺機器的本地管理員組 然后重啟機器讓服務控制管理器以SYSTEM權限執行我們的新服務。一旦它重新上線，我們應該看到我們的帳戶現在已添加到本地管理員。一個不被發現的持久化后門就搞定了。

審核編輯：劉清