BeRoot项目解析：Windows提权检测工具深度指南

BeRoot项目解析：Windows提权检测工具深度指南

BeRoot Privilege Escalation Project - Windows / Linux / Mac 项目地址: https://gitcode.com/gh_mirrors/be/BeRoot

工具概述

BeRoot是一款专注于Windows系统权限提升检测的后期渗透测试工具。它通过系统性地检查Windows常见配置缺陷，帮助安全研究人员识别潜在的提权路径。与常规安全检测工具不同，BeRoot仅负责检测而不执行实际操作，这种设计理念使其成为渗透测试中安全可靠的辅助工具。

核心检测机制

1. 路径空格引用缺陷检测

技术原理： 当Windows执行包含空格但未加引号的文件路径时，会按照特定顺序尝试解析路径。例如对于路径：

C:\Program Files\Some Test\binary.exe

系统会依次尝试执行：

C:\Program.exe
C:\Program Files\Some.exe
C:\Program Files\Some Test\binary.exe

安全影响： 若系统目录（如C:\）可写，可能导致非预期程序执行。

检测范围：

• 所有服务路径
• 计划任务配置
• HKLM注册表中的启动项

应对方案：

• 针对服务：创建合规服务或编译服务模板
• 常规可执行文件：使用标准程序

2. 可写目录检测

检测逻辑： 检查目标二进制所在目录是否具有写权限。例如对于路径：

C:\Program Files\Some Test\binary.exe

若"C:\Program Files\Some Test"目录可写且binary.exe以高权限运行，则存在潜在风险。

应对策略：

• 服务未运行时：检查合法服务
• 服务运行时：验证DLL完整性并重启服务

3. PATH环境变量可写目录检测

系统影响范围：

• Windows Vista/Server 2008
• Windows 7/Server 2008 R2
• Windows 8/Server 2012

DLL加载顺序：

1. 二进制所在目录
2. System32目录
3. System目录
4. Windows目录
5. 当前工作目录
6. PATH环境变量目录

典型案例： IKEEXT服务默认尝试加载特定DLL，若PATH中某可写目录放置非标准DLL可能导致异常。

应对方法：

1. 创建标准DLL
2. 放置于合规的PATH目录
3. 通过标准命令触发服务启动

4. 特殊注册表检测

检测条件： 需检查以下两项设置：

HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer\特殊设置
HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer\特殊设置

使用方式：执行标准MSI安装包将获得正常权限。

5. 安装文件检测

关键文件路径：

C:\Windows\Panther\Unattend.xml
C:\Windows\System32\Sysprep\unattend.xml
等6个默认位置

重要信息： 可能包含账户的配置信息。

高级检测功能

服务与任务检测

• 服务配置修改权限检查
• 新服务创建能力检测
• 计划任务目录(C:\Windows\system32\Tasks)写权限检查

权限令牌分析

基于Andrea Pierini的研究，重点检测以下特权：

• SeDebug：进程调试权限
• SeRestore/SeBackup：文件系统权限
• SeLoadDriver：驱动加载权限
• SeImpersonate：令牌模拟权限

账户安全检测

1. 空密码本地账户检测
2. 特殊设置账户检测
   • 允许特定方式执行runas命令
   • 配合/savecred参数可保存凭据

手动检测建议

BeRoot未覆盖但值得关注的提权路径：

1. 特权账户访问非特权文件监控
2. 动态链接库加载检查
3. 系统更新状况检查
4. 本地服务账户到管理员的权限路径

技术价值分析

BeRoot的价值体现在其系统化的检测框架，将零散的Windows权限知识整合为自动化检测流程。特别值得注意的是其对以下方面的创新性检测：

1. 路径解析缺陷的全面检测：将经典的"空格路径"问题扩展到服务、任务等多场景
2. 环境变量安全评估：创新性地将PATH变量可写性与服务DLL加载结合
3. 权限令牌的系统化分析：基于最新研究成果实现特权快速识别

防御建议

针对BeRoot的检测项，建议系统管理员：

1. 对所有服务路径使用引号包裹
2. 严格控制系统目录写权限
3. 定期审计PATH环境变量
4. 禁用特殊策略设置
5. 清理安装残留的配置文件
6. 实施最小特权原则分配账户权限

BeRoot作为专业的权限检测工具，既可作为研究方的工具，也能帮助管理员提前发现系统配置问题，是Windows安全领域不可多得的实用工具。

BeRoot Privilege Escalation Project - Windows / Linux / Mac 项目地址: https://gitcode.com/gh_mirrors/be/BeRoot