绕过admin 黑客突破微软UAC研究初露成效

转载 2013年12月03日 12:09:35
第1页:Instruder突破安全防范方法

现在WIN7操作系统以经大量普及,UAC的安全机制以成为渗透过程中最为明显的绊脚石,UAC会使大量渗透工具失效,木马无法运行,如何突破UAC的层层防护是一直以来研究的重点。

在9月24日亚洲知名安全技术峰会SyScan上,Instruder做了《深入思考UAC背后的安全问题》演讲,据其提供的方法在当前用户权限下,绕过UAC提示直接运行程序,并可以实现修改启动项,释放文件到系统目录等功能,而这一过程必须在用户没有任意察觉的情况下完成。

Instruder突破安全防范方法

与传统方法也有类似之处,议题作者Instruder采用的方法也是白名单的方法但又有不同之处,颇为巧妙,作者使用的方法为利用操作系统自己的升级程序WUSA.EXE,读取释放文件,这个过程是不会触发UAC的,利用这个机制可以轻松突破UAC限制,下面我们一步一步演示实现,首先把wusa.exe找出来,此文件位于 c:windowssyswow64目录。


绕过admin 黑客突破微软UAC研究初露成效
WUSA

找到这个文件后,运行一下,看一下它的具体使用方法。

绕过admin 黑客突破微软UAC研究初露成效
独立安装程序

找到WUSA.EXE后我们还要找一个 MSU的文件用来做测试用,我从自己电脑中随便搜索一些MSU文件出来。

绕过admin 黑客突破微软UAC研究初露成效
MSU

到目前为至准备工具基本就需了,我们来做实验,使用WUSA.EXE把一个MSU文件释放一下,看能否成功,实验方法如下,复制一个MSU文件到D:\TEMP目录,然后在CMD下切换目录到c:\windows\syswow64,最后运行wusa.exe d:\temp\msu.msu /extract:d:\temp 这时看到一个很快的进度一闪而过,我比较愚钝没能抓下图来,去D:\TEMP目录看一下是什么情况。

绕过admin 黑客突破微软UAC研究初露成效
目录

可以看出文件以成功释放,这样很好,下一步继续实验,把释放目录修改一下,直接释放到系统目录WINDOWS下,看会如何表现,执行wusa.exe d:tempmsu.msu /extract:c:windows

 


第2页:成功越过UAC

结果很理想,成功释放而且没有触发UAC提示,而我此时的UAC设置。


绕过admin 黑客突破微软UAC研究初露成效
成功

到目前为至我们可以考虑一些邪恶的事情了,比如释放一些木马病毒DLL劫持的文件到系统目录这样子,不会触发UAC程序,同时木马与病毒也会开机启动了,再继续向下实验吧目前思路上是没问题了,那么要考虑的是MSU文件了,这个文件看一下是有微软数字签名的。

绕过admin 黑客突破微软UAC研究初露成效
文件

绕过admin 黑客突破微软UAC研究初露成效
文件

问题随之而来,WUSA.EXE会对MSU文件进行签名校验吗?


第3页:校验文件

这个我们可以通过破坏数字签名来验证一下,使用16进制编辑工具把MSU文件随便添加几个字节。


绕过admin 黑客突破微软UAC研究初露成效
校验

现在数字签名以经被破解,无效了。

绕过admin 黑客突破微软UAC研究初露成效
签名

清理之前释放的文件后,再运行一下进行释放检测,看下结果,呵呵结果非常理想,依然成功释放,这说明 WUSA.EXE对MSU文件是没有签名校验的,我们可以随便伪造MSU文件了。


第4页:取代MSU文件

取代MSU文件

经过一系列的测试,已经知道,只要搞定MSU文件就成大功告成了,msu 文件扩展名与 Windows 更新独立安装程序相关联。msu 文件中包含以下内容:


绕过admin 黑客突破微软UAC研究初露成效
windows update

Windows Update 元数据,此元数据描述了 .msu 文件包含的每个更新包。一个或多个 .cab 文件,每个 .cab 文件代表一个更新。一个 .xml 文件,此 .xml 文件对 .msu 更新包进行描述。

看起来还是蛮复杂的样子,呵呵能不能偷偷懒,想其它方法进行绕过呢,微软的工具对自己的文件格式兼容性,应该是不错的,既然是文件包,那就测试微软的CAB包。继续实验,把MSU文件,换成CAB文件测试,结果很理想,依然可以成功,那么我们的后续工作就很简单了,只要把想释放的文件压缩到CAB包,再利用上述方法就可以成功释放了,而且整个过程非常安逸,不会有UAC提示。

此外作者也提供了其实利用方法,总体来看,并不复杂,只要掌握绕过原理,其实现过程都是可以实现的,由于时间关系,没有一一试验,有兴趣的朋友可以自行测试一下。

白名单机制

从用户账户控制对权限进行保护的基本过程可以看到,在用户以管理员权限运行程序的 过程中,用户账户控制在向用户进行提权询问前,将会先查询本地系统中的白名单以决定是 否直接放行,因此,白名单机制是用户账户控制中的一个重要部分。

绕过admin 黑客突破微软UAC研究初露成效
白名单机制

用户账户控制限制着程 序使用高级权限才能进行的操作,但是,这样的机制同样也会对系统本身的程序造成影响,微软也不希望系统程序的运行也询问用户,因为他们本身是安全的。因此,微软则在 UAC 中添加了白名单机制,即在系统中记录有一张表单,对于表单中的系统程序,将不限 制其直接提升到管理员权限。系统中的白名单程序有多个,其中,msconfig、taskmgr、perfmon、cleanmgr 等平时常用的程序都在其中。


第5页:实现直接提权

实现直接提权

比较常用的利用系统程序的方法是利用系统动态加载 DLL的特性,在系统中还有一份名单为 KnownDlls,当一个程序需要动态加载 DLL 的时候,会先在这份名单之中进行查找,如果找到则加载相应路径的DLL 文件,如果没有找到则依照当前目录、 System32 目录的顺序进行查找,因此如果能找到一个程序动态调用的 DLL 文件不在KnownDlls 中,而在 System32 下面,则可以伪造一个相应的 DLL,来实现借助其他程序来执行需要的操作。

在所有白名单程序中,正好有这样一个程序,即 sysprep.exe,它的位置为 System32/sysprep/,而它在启动时,会动态加载一个 CRYPTBASE.DLL,这个 DLL 在 System32 下面,因此 sysprep.exe 会在当前目录寻找的时候加载失败,继而转到 System32 目录查找,试着临时生成一个假的 CRYPTBASE.DLL 放在 sysprep 文件夹下,在 sysprep.exe启动时,将加载假的 CRYPTBASE.DLL,从而执行我们需要的操作。


绕过admin 黑客突破微软UAC研究初露成效

sysprep.exe 加载假 CRYPTBASE.DLL线程注入白名单中的程序全部都在系统目录当中,因此要把生成的假 DLL 复制到程序目录中, 将会由于权限问题而触发 UAC,这样便失效了。因此,需要特别的方法来把假 DLL 给复制到系统目录内,并且不会触发系统的权限控制。

这一步的操作也需要系统白名单的程序来实现,选用的程序为EXPLORER进程,首先使用远程线程的方法把DLL注入到EXPLORER进程,然后再通过EXPLORER把CRYPTBASE.DLL复制到指定目录UAC不会提示。所有操作完成后启动sysprep.exe我们的DLL就会被加载,从而绕过成功。但这个方法缺点也很明显,在注入EXPLORER进程时,杀毒软件已经开始关注了。

相关文章推荐

微软重组战略初显成效 Surface胡汉三卷土重来

2014年1月24日,微软发布2013年第四季度财报(2014年第二财季)。财报显示,微软2013年第四季度营收245.2亿美元,同比增长14%;主营业务利润79.7亿美元,同比增长3%。 在进入到...

微软亚洲研究院对传统OCR的突破和进展(有详细检测 识别的介绍),及成果展示

光学字符识别技术:让电脑像人一样阅读   文/霍强   把手机摄像头对准菜单上的法语菜名,屏幕上实时显示出翻译好的中文菜名;将全世界图书馆的藏书转化为电子书;街景车游走于大街小巷,拍摄街景的同...

iPad企业销售将突破100亿美元,微软笑而不语

据市场研究机构Forrester最新发布的一份调查报告显示,预计到2012年年底苹果Mac企业销售额将达到90亿美元,同时iPad企业销售额将突破100亿美元。   2011年在全世界范围内,企业级...

微软:Windows 8预览版下载量1天内突破50万

腾讯科技讯(明轩)北京时间9月15日消息,据国外媒体报道,微软周三宣布,自Windows 8预览版从周二开始开放下载以来,全球开发者下载该款操作系统的次数已超过50万次。 微软首席执行官史蒂夫·鲍尔...

微软捕获中国黑客刘蝶雨的故事

《成长》:微软捕获中国黑客刘蝶雨大约在5年前,即1998年夏天,李开复第一次来到北京组建研究院的时候,口袋里揣着微软公司雄心勃勃的计划:6年投资8000万美元,寻找到100个最杰出的研究人员。那时候他...
  • cometwo
  • cometwo
  • 2012年10月02日 18:45
  • 3348

传智播客C/C++学员荣膺微软&Cocos 2d-x黑客松最佳创新奖

6月30日,历时32小时的微软开放技术Cocos 2d-x 编程黑客松在北京望京微软大厦成功落下帷幕,这是微软开放技术首次联合Cocos 2d-x 在中国举办黑客松。此次活动共有包括传智播客C/C++...

”微软开放技术、聚合数据、阿里 JStorm、开源社 – 大数据实时分析编程黑客松“圆满收官

发布于 2014-12-23 作者 " rel="author" style="color:rgb(244,114,208)">刘 天栋 为了更好地支持本土的优质开源软件及开源社区,以及推动...

微软开放技术、聚合数据、阿里 JStorm、开源社 – 大数据实时分析编程黑客松

微软开放技术将与聚合数据、阿里 JStorm 团队以及开源社于今年12月17日在北京联合举办大数据实时分析编程黑客松。本次黑客松旨在鼓励大数据应用开发者利用由聚合数据等提供的开放数据集, 创建...

参加微软黑客马拉松经历

这次参加黑客马拉松,队伍一共三人,一个是微软俱乐部部长,另一个是一个女生。 我来总结下我的工作吧。我们的作品是一个VS的插件,主要功能是为C++生成Get,Set方法。 VS插件有两种,一个是Ad...
  • Honkee_
  • Honkee_
  • 2015年11月08日 20:20
  • 573

程序跳过UAC研究及实现思路

网上很对跳过UAC资料都是说如果让UAC弹出窗体,并没有真正跳过弹窗,这里结合动态提权+计划任务实现真正意义上的跳过UAC弹窗,运行程序的时候可以不出现UAC窗体,并且程序还是以高权限运行。 vist...
  • daiafei
  • daiafei
  • 2013年12月26日 11:44
  • 8987
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:绕过admin 黑客突破微软UAC研究初露成效
举报原因:
原因补充:

(最多只允许输入30个字)