osquery на окнах, не принимая flagfile
Я пытаюсь создать PoC для osquery на Windows-боксах, и я просто не могу заставить osqueryd.exe (или osqueryi.exe) использовать flagfile. Я думаю, что должно быть что-то, что я пропустил в документации или что-то еще. Шаги, которые я попробовал:
- Проверьте фактические флаги. Когда я передаю их в качестве аргументов командной строки, это работает.
- Опробовал оба формата, которые я нашел в сети:
osqueryd.exe --flagfile=C:\ProgramData\osquery\osquery.flagsа такжеosqueryd.exe --flagfile C:\ProgramData\osquery\osquery.flags, - Расслабьте разрешения до того, что все файлы имеют Все с полными разрешениями (мне пришлось добавить
--allow_unsafe). - Создайте файл флага под учетной записью SYSTEM.
- Запуск osquery от имени пользователя, администратора и системы.
- Установите сервис osquery с помощью скрипта manage-osqueryd.ps1. Когда я передаю все параметры с -startupArgs, сервис работает. Когда я передаю только флаг-файл, это не так.
Есть ли что-то очевидное, чего мне не хватает?
Спасибо
Том
1 ответ
Можете ли вы пристрелить нас на выходе sc.exe qc osqueryd? Мне любопытно посмотреть, как выглядят детали сервиса. Суть в том, что системный сервис должен содержать полный путь к двоичному файлу osqueryd, а также --flagfile=C:\ProgramData\osquery\osquery.flagsили как хотите, так как ваши вызовы тоже хороши:)
Например, вот вывод моей системной службы:
PS C:\WINDOWS\system32> sc.exe qc osqueryd
[SC] QueryServiceConfig SUCCESS
SERVICE_NAME: osqueryd
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\ProgramData\osquery\osqueryd\osqueryd.exe --flagfile=\ProgramData\osquery\osquery.flags
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : osqueryd
DEPENDENCIES :
SERVICE_START_NAME : LocalSystem
В качестве дополнительного примечания, здесь есть раздел по установке вручную под окнами. Это не супер здорово, но, на мой взгляд, дает больше контекста для разрешений и поведения службы. Надеюсь, это поможет! Также не стесняйтесь пинговать меня в Slack, я Тор.