Идентификатор безопасности SID

Приветствую тебя суперпользователь.

Идентификатор безопасности или по другому SID это очень важный элемент который должен хотя бы понимать любой пентестер или этичный хакер в системе Windows. Давай сегодня рассмотрим, что это такое и почему это так важно.

И так я думаю каждый знает, что у каждой запущенной программы есть соответствующий этой программе запущенный процесс. Так вот SID это некий объект, который состоит из чисел не фиксированной длинны который определяет какие есть права у этого процесса, пользователя или группы.

Пример идентификатора SID

То есть этот самый SID есть не только у процесса но он так же есть у пользователя и группы, например у группы администраторов будут свои группы и SID-ы к ним, у обычных пользователей свои. Почему такое разделение ты спросишь.. Потому что у одного и того же пользователя могут быть запущенные разные программы. Для системы, одни программы могут быть безопасны и они будет иметь свой SID а другие могут быть опасный и они будут иметь такой SID у которого будут минимальные права и возможности.

SID определяет куда этот процесс может "залезть" в файловую систему а куда не может, к каким файлам он может обращаться а каким нет. Кроме того, процесс сам может запускать другие процессы и это тоже определяется SID.

Самый ключевой момент который тебе нужно понять что у процессов которые запускает операционная системы тоже есть свой SID. И думаю ты примерно догадываешься какие права есть у пользователя с именем "SYSTEM". А теперь внимательно, то с каким SID-ом будет запущен процесс, такие права процесс и будет иметь.

Если любой процесс запустить с SID системы он будет иметь права системы. Есть техники которые позволяют скопировать у нужного тебе процесса его SID и запустить свой процесс с этим идентификатор. На таком уровне атаки повышение прав до уровня системы будет считаться критической уязвимостью. Цена за нахождение такой уязвимости начинается от нескольких тысяч долларов.


До связи суперпользователь.