osquery на окнах, не принимая flagfile - PullRequest
Новая
       61

osquery на окнах, не принимая flagfile

0 голосов
/ 07 июня 2018

Я пытаюсь создать PoC для osquery на Windows-боксах, и я просто не могу заставить osqueryd.exe (или osqueryi.exe) использовать флаг-файл.Я думаю, что должно быть что-то, что я пропустил в документации или что-то еще.Шаги, которые я попробовал:

  1. Проверьте фактические флаги.Когда я передаю их в качестве аргументов командной строки, это работает.
  2. Пробовал оба формата, которые я нашел в сети: osqueryd.exe --flagfile=C:\ProgramData\osquery\osquery.flags и osqueryd.exe --flagfile C:\ProgramData\osquery\osquery.flags.
  3. Снизить разрешения до такой степени, что все файлы имеют Все с полными разрешениями (мне пришлось добавить --allow_unsafe).
  4. Создайте файл флага в учетной записи SYSTEM.
  5. Запуск osquery от имени пользователя, администратора и SYSTEM.
  6. Установите службу osquery с помощью скрипта manage-osqueryd.ps1.Когда я передаю все параметры с -startupArgs, сервис работает.Когда я передаю только флаг-файл, он не проходит.

Есть ли что-то очевидное, что мне не хватает?

Спасибо

Том

1 Ответ

0 голосов
/ 07 июня 2018

Можете ли вы пристрелить нас на выходе sc.exe qc osqueryd?Мне любопытно посмотреть, как выглядят детали сервиса.Суть в том, что системная служба должна содержать полный путь к двоичному файлу osqueryd, а также --flagfile=C:\ProgramData\osquery\osquery.flags или все, что вы хотите, так как ваши вызовы также хороши:)

Например, вот вывод моей системной службы: 

PS C:\WINDOWS\system32> sc.exe qc osqueryd
[SC] QueryServiceConfig SUCCESS

SERVICE_NAME: osqueryd
        TYPE               : 10  WIN32_OWN_PROCESS
        START_TYPE         : 2   AUTO_START
        ERROR_CONTROL      : 1   NORMAL
        BINARY_PATH_NAME   : C:\ProgramData\osquery\osqueryd\osqueryd.exe --flagfile=\ProgramData\osquery\osquery.flags
        LOAD_ORDER_GROUP   :
        TAG                : 0
        DISPLAY_NAME       : osqueryd
        DEPENDENCIES       :
        SERVICE_START_NAME : LocalSystem

В качестве дополнительного примечания, здесь есть раздел , устанавливаемый вручную под окнами Это не супер Я думаю, это здорово, но это дает больше контекста для прав доступа и поведения сервиса.Надеюсь, это поможет!Также не стесняйтесь пинговать меня в Slack, I'm Thor.

...