探索基于HTTP.SYS实现权限维持

John Doe

2019-11-21

在通常WEB应用中，一个应用只能绑定一个端口，若同时绑定一个端口，必然会抛出端口占用异常信息，微软在IIS 5.0以后版本提供了一种机制，Net. Port Sharing,即端口共享。它允许对应用同时使用一个端口只需要各自注册的url前缀不一样即可，

这种机制被封装在http.sys驱动中，驱动监听HTTP流量，然后根据URL注册的情况去分发到当前URL对应的应用。

Winrm服务端口复用

实际上，winrm服务就是基于http.sys驱动上注册了wsman后缀，Windows Server 2008默认关闭WinRM服务，Windows Server 2012默认开启

测试环境：192.168.1.201 系统版本：Windows Server R2

在命令行下开启服务，防火墙会自动添加例外规则，系统默认监听端口5985。

winrm quickconfig –q

此时使用netsh http show servicestate

可以查看到http.sys新注册了一条url前缀：

由于系统原本没有开启5985端口，为了增加后门的隐蔽性，故通过以下命令将winrm服务端口修改至80端口，达到端口复用的效果。

winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port=”80”}

默认客户端连接则会提示Winrs error:WinRM 客户端无法处理该请求。如果身份验证方案与 Kerberos 不同，或者客户端计算机…,因为WinRM只允许当前域用户或者处于本机TrustedHosts列表中的远程主机进行访问，则需在客户端添加一个TrustedHost表，*代表信任远程任意主机：

Set-Item WSMan:localhost\client\trustedhosts -value *

然后使用winrs命令连接远程web服务端口获得交互式SHELL,

使用python实现一款支持NTLM hash的客户端，需要注意的是：

windows 2008是LM-HASH:NTLM-HASH的方式，使用32个0替代。
windows 2012以及之后只能抓到NTLM的Hash，直接使用即可。

最终实现的代码已上传至github，地址如下：

https://github.com/c1y2m3/python-tools/blob/master/WinrmAttack.py

HTTP ServerAPI端口复用

微软对外开放了如何调用这种http.sys驱动机制的API接口，也就是HTTP Server API。HTTP Server API 运行在用户模式中，也就是说任意用户都可以调用该API实现一个HttpListener，与 IIS 共享端口，但是前提是你必须拥有管理员权限。

上图整个过程描述如下：

（1）第一步，IIS 或者是自己写的程序（HttpListener）调用API ，向内核的Http.sys注册一个URL前缀，这相当于向路由器添加一条路由规则，Http.sys就是这个路由器。

（2）第二步，Http.sys捕获到一个http请求，它将会根据自身的“路由表”找到该http请求的前缀所对应的应用，然后把请求分发给该应用。

（3）第三步，HttpListener接收到Http.sys转发来的请求，对其进行回应。

1.示例代码测试

微软官方有一个基于HTTP Server API 1.0版本的demo：

https://docs.microsoft.com/zh-cn/windows/win32/http/http-server-sample-application

笔者对其demo进行了简单的修改，进行如下演示：

通过pReq->CookedUrl.pQueryString 能够读取url中的参数，去除参数后的问号对字符串拼接，

获取客户端输入的内容，C++ 代码如下：

*QueryString = new WCHAR[pReq->CookedUrl.QueryStringLength - 1];

wcsncpy_s(QueryString, wcslen(QueryString), pReq->CookedUrl.pQueryString + 5, wcslen(QueryString) - 1);

wprintf(L"[*] QueryStringDecode:%ws\n", QueryString);