JH의 컴퓨터세상

윈도우 사용자 확인 : [제어판] -> [컴퓨터 관리]의 [로컬 사용자 및 그룹] 

윈도우 기본 사용자

Administrator : 관리자 권한의 계정, 사용자가 사용 가능한 계정 중 가장 강력한 권한을 가진다.

SYSTEM : 시스템에서 최고 권한을 가진 계정으로 로컬에서 관리자보다 상위 권한을 가진다.

                원격 접속이 불가능하며, 사용자가 이 계정을 사용하여 시스템에 로그인 할 수 없다.

Guest : 매우 제한적인 권한을 가진 계정으로, 기본 설정은 사용 불능이다

윈도우 기본 그룹

윈도우의 계정과 권한 체계

  ○ SID(Security Identifier) : 윈도우에서 계정을 하나의 코드 값으로 표시한 것

  ○ getsid (win 2000 resource kit, win 2003 'whoami /SID')

  ○ http://www.microsoft.com/다운로드-> windows 2000 -> resource kit에서 받아 설치한 뒤 실행

  ○ C:\Program Files\Resource Kit\getsid 를 실행

  ○ getsid \\ 본인 IP administrator \\본인 IP administrator

The SID for account NEWGENERATION\administrator is

S-1-5-21-1801674531-839522115-1708537768-500

1. 해당 시스템이 윈도우 시스템임을 말한다.

2. 시스템이 도메인 컨트롤러이거나 단독 시스템(Stand alone system)임을 표시

3. 시스템의 고유한 숫자로, 시스템을 설치할 때 시스템의 특성을 수집하여 생성

4. 숫자로 표현되는 각 사용자의 고유한 ID다. 관리자(Administrator)는 500번, Guest 계정은 501번,

   일반 사용자는 1000번 이상의 숫자를 갖는다.

※잘 알려진 SID(Well-Known SID) 목록

SID

S-1-0-0     SID를 모를 때 사용하는 SID

S-1-1-0     Everyone

S-1-5-7     Anonymous

S-1-5-18   System Profile(시스템의 서비스용 계정임)

S-1-5-19   Local Service

S-1-5-20   Network Service

S-1-5-domain-500   Administrator

S-1-5-domain-501   Guest

=> SID는 나중에 패스워드 크래킹에 정보를 제공하는 단서가 될 수 있음.

윈도우의 권한 상승

  ○ 윈도우의 권한 상승 : SetUID와 같은 기능은 없지만 리눅스와 근본적으로 동일

  ○ 사용자 이름에 Administrator와 SYSTEM 확인

     - Ctrl + Alt + Del 눌러 Window 작업 관리자 창을 띄워 [프로세스] 탭을 확인

  ○ 수행되고 있는 프로세스의 권한을 뺏는 방법

     - 상위 권한으로 수행되고 있는 프로그램의 프로세스에 다른 작업 끼워 넣기

     - 관리자 A와 일반 사용자 B가 있을 때, 정상적인 경우에 A가 A라는 프로그램을

       실행하면, A'와 A"라는 프로그램상의 실행 절차를 거쳐 프로그램이 완료

프로세스 정상 실행 과정

관리자 A  -> A 실행    -------------> A' ----------> A" --------->

                             상위 권한 프로세스

   ○ 수행되고 있는 프로세스의 권한을 빼앗는 방법

       - 여기에 일반 사용자 B가 A'를 B'로 바꿔 넣고 자신이 A를 실행하여 생성한

          상위 권한 프로세스를 가로채게 되는 것.

프로세스 권한을 가로챈 경우 실행 과정

   관리자 A  -> A실행 -------------> B' --->일반 사용자 B ----------->

                             상위 권한 프로세스                         상위 권한 프로세스 획득

    ○ 권한을 뺏기 위해 프로그램을 해킹하여 변경하기도 하며 프로그램이 수행되는

        절차를 파악하여 중간에 다른 프로그램을 끼워 넣기도 함

SYSTEM 권한 획득하기 실습해보기.

  ○ SYSTEM 권한

      - 윈도우에서 최고 권한

      - 사용자가 아닌 운영체제가 자체 소유

   ○ 실습 시나리오

      - 윈도우에서는 at 명령을 통한 간단한 작업 스케줄링이 가능

      - at 명령으로 실행할 프로그램과 시간을 정해놓으면 해당 시간에 자동으로 실행

      - 작업 스케줄러는 SYSTEM 권한으로 실행

  1. at을 통한 프로그램 등록(윈도우 7에서는 안됨)

      - at 명령을 실행. 현재 시간보다 2~3분 후 시간으로 작업 등록

    at 18:00 /interactive "cmd.exe"

2. SYSTEM 권한 획득

      - 정해둔 시간이 되면 자동으로 다음과 같은 명령 창 실행

      - 명령 창 라벨 : C:\WINDOW\system32\svchost.exe

      - Svchost : 윈도우에서 SYSTEM 계정으로 실행되는 프로세스, at 명령으로 실행한

                       명령창이 SYSTEM 권한을 가져온 것

3. SYSTEM 권한의 확장

     - 프로세스 죽이기 : Window 작업 관리자(Ctrl,Alt,Del)->[프로세스] 탭 explorer.exe

     - <프로세스 끝내기> 버튼 클릭

     - explorer.exe 를 죽이면 시스템 화면이 사라짐. at 명령으로 띄운 명령 창은 존재

     - 해당 명령 창에서 explorer.exe를 다시 실행

위처럼 현재의 계정이 SYSTEM 계정으로 전환 되있음.