EventViewerUAC_BOF 项目使用教程
1、项目介绍
EventViewerUAC_BOF 是一个针对 x64 架构 Windows 10 和 11 系统的本地 UAC(用户账户控制)绕过工具。它利用了 Microsoft 管理控制台(mmc.exe)与事件查看器的交互漏洞,通过编写和执行特定的任务来隐藏活动。用户可以自定义要执行的命令,例如注入 Cobalt Strike 或者其他命令行指令。关键的一点是,payload 中的长度字节基于 base-128 编码,这使得 payload 能够动态适应不同长度的命令。
项目特点
- 低痕迹操作:除了短暂打开的事件查看器窗口,操作过程几乎不留明显痕迹。
- 灵活性:支持自定义命令执行,包括 PowerShell 编码命令。
- 易用性:只需要编译并运行即可,无需深入了解序列化或 ysoserial 工具。
- 创新性:利用了微软系统内部行为,展示了 UAC 绕过的另一种可能。
2、项目快速启动
环境准备
- Windows 10 或 11 x64 系统
- 安装 MinGW 编译器
编译步骤
-
克隆项目到本地:
git clone https://github.com/Octoberfest7/EventViewerUAC_BOF.git cd EventViewerUAC_BOF
-
使用 MinGW 编译项目:
x86_64-w64-mingw32-gcc -o EventViewerUAC.x64.o -Os -c main.c -DBOF
-
编译完成后,生成的
EventViewerUAC.x64.o
文件即为可执行文件。
运行步骤
- 将生成的
EventViewerUAC.x64.o
文件上传到目标系统。 - 在目标系统上执行以下命令:
EventViewerUAC.x64.o
3、应用案例和最佳实践
应用场景
- 渗透测试:在渗透测试和红队操作中,这个工具尤其有用。例如,当需要在目标系统上低调地执行管理员级别的命令而不需要用户交互时,EventViewerUAC_BOF 提供了理想的解决方案。
- 安全研究:对于安全研究员来说,它是一个很好的学习平台,可以帮助理解 Windows UAC 的工作原理以及如何找到并利用潜在的安全漏洞。
最佳实践
- 自定义命令:在 payload 中自定义要执行的命令,例如注入 Cobalt Strike 或者其他命令行指令。
- 动态适应:利用 base-128 编码的 payload 长度字节,动态适应不同长度的命令。
- 低痕迹操作:确保操作过程几乎不留明显痕迹,避免引起用户或管理员的注意。
4、典型生态项目
相关项目
- Cobalt Strike:一个广泛使用的渗透测试工具,可以与 EventViewerUAC_BOF 结合使用,实现更复杂的渗透测试任务。
- ysoserial:用于生成各种反序列化漏洞的 payload,EventViewerUAC_BOF 利用了 ysoserial 生成的 payload 进行 UAC 绕过。
生态系统
EventViewerUAC_BOF 作为一个创新的 UAC 绕过工具,可以与现有的渗透测试和安全研究工具结合使用,形成一个强大的安全测试生态系统。通过结合不同的工具和技术,可以实现更高效、更隐蔽的安全测试任务。
通过以上步骤,您可以快速上手并使用 EventViewerUAC_BOF 项目。希望这个教程对您有所帮助!