BypassUAC
BypassUAC
本篇主要介绍如何以ICMLuaUtil
方式BypassUAC
,主要内容如下:
- 过掉
UAC
提示框的方法总结 UACME
项目- 什么类型的
COM interface
可以利用? - 如何快速找到系统中的所有可利用的
COM
组件? - 定位
ICMLuaUtil
的虚函数表vftable
- 如何调用
ICMLuaUtil.ShellExec
执行命令?- C++ version
- CSharp version
- 两个注意点
DLL
形式- C++ dll导出函数方式
- C# dll导出函数方式
- 一个坑
- 值得研究的
C2
推荐
过掉UAC
提示框的方法总结
这里主要说的是dll
的形式,通过上面的实操,可以发现有两种方法:
- 基于白名单程序绕过
UAC
- 伪装进程
PEB
绕过UAC
- 无文件技术
伪装进程的方式其实也可以算做借助了白名单,但是没有直接调用白名单进程,所以单独列出来了。
基于白名单程序绕过UAC
有些系统程序是直接获取管理员权限,而不会触发UAC弹框,这类程序称为白名单程序,例如:slui.exe
、wusa.exe
、taskmgr.exe
、msra.exe
、eudcedit.exe
、eventvwr.exe
、CompMgmtLauncher.exe
,rundll32.exe
,explorer.exe
等等。
常见的利用方式有:
DLL
注入(RDI
技术),一般注入到常驻内存的可信进程,如:explorer
DLL
劫持,常和注册表配合使用达到劫持目的
伪装进程PEB
绕过UAC
上面在利用COM
接口的ShellExec
执行命令的时候,因为执行该操作的进程身份是不可信的,所以会触发UAC
弹窗。为了能够迷惑系统,通过修改PEB
结构,让系统误认为这是一个可信进程,伪装的可信进程可以是calc.exe
、rundll32.exe
、explorer.exe
等。
利用火绒剑查看进程信息,可以看到已经识别为可信进程了:
关于PEB
的结构,可以参照这里。
无文件技术
“无文件攻击”是一种攻击策略,其出发点就是避免将恶意文件放在磁盘上,以逃避安全检测。无文件四种攻击形式:
恶意文档
比如:在
word
中加入恶意的宏代码实现命令执行,又或者邮件中。恶意脚本
常用的脚本引擎:powershell.exe,cscript.exe,cmd.exe 和 mshta.exe,同样不生成恶意二进制文件。
恶意本地程序交互
例如:
rundll32.exe
、wmi
等,详细参考这里。恶意内存代码
直接生成纯
shellcode
,通过其他方式加载到内存执行。
UACME项目
项目总结了50多种绕过UAC
的方式,并且列出具备auto-elevate
能力的UAC
白名单程序或接口。
利用方式主要可以分为两大类:
- 各类
UAC
白名单程序的DLL劫持(Dll Hijack
) - 各类提升权限的
COM
接口利用(Elevated COM interface
)
项目的主程序为Akagi
,其中包含了所有的method
,使用vs2019
本地编译后可以使用akagi32 41
或者akagi64 41
启动程序,41
这个指的是README
中描述的方法索引,运行后可以直接得到管理员权限的cmd
窗口。
项目的Source
目录存储的是所有子项目的源码,其中Source/Shared
存放的是被所有子项目共同引用的一些函数,本篇主要利用Akagi
和Yuubari
这两个Project
来探究一下如何利用COM
接口提升权限。
什么类型的COM interface
可以利用?
以项目中索引为41
的方法为例:
Author: Oddvar Moe
Type: Elevated COM interface
Method: ICMLuaUtil
Target(s): Attacker defined
Component(s): Attacker defined
Implementation: ucmCMLuaUtilShellExecMethod
Works from: Windows 7 (7600)
Fixed in: unfixed
BypassUAC的更多相关文章
- [原创]K8uac bypassUAC(Win7/Wi8/Win10) 过46款杀软影响所有Windows版本
[原创]K8uac bypassUAC(Win7/Wi8/Win10) 过46款杀软影响所有Windows版本 工具: k8uac编译: VC++ 作者:K8哥哥发布: 2018/11/25 1:30 ...
- 内网渗透bypassuac和smb溢出
对内网渗透需要渗透的目标主机处于跨网段和uac限制的情况做一个渗透记录 环境大致如下 拥有shell权限的win7(有uac限制,处于双网段) 和同win7同一网段下暂时无权限的靶机xp 先对有权限的 ...
- WIN进程注入&BypassUAC&令牌窃取
WIN进程注入&BypassUAC&令牌窃取 本地提权-win令牌窃取 假冒令牌可以假冒一个网络中的另一个用户进行各类操作. 所以当一个攻击者需要域管理员的操作权限时候,需通过假冒域管 ...
- Windows10 bypassUAC绕过用户账户控制
使用这个github上的项目: https://github.com/L3cr0f/DccwBypassUAC 可以自行编译 全程UAC不介入,没反应. 测试: 权限提升真实有效
- 一个简单的BypassUAC编写
什么是UAC? UAC是微软为提高系统安全而在Windows Vista中引入的新技术,它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前,提供权限或管理员密码.通过在 ...
- Kali Linux additional tools setup
The steps are pretty straight forward. The only tool that might cause some confusion is SMBexec. Thi ...
- 使用powershell提权的一些技巧
原文:http://fuzzysecurity.com/tutorials/16.html 翻译:http://www.myexception.cn/windows/1752546.html http ...
- 黑客讲述渗透Hacking Team全过程(详细解说)
近期,黑客Phineas Fisher在pastebin.com上讲述了入侵Hacking Team的过程,以下为其讲述的原文情况,文中附带有相关文档.工具及网站的链接,请在安全环境下进行打开,并合理 ...
- Metasploit 笔记
目录一.名词解释···································································· 3二.msf基础··············· ...
随机推荐
- 3.介绍ASP.NET Core框架
介绍ASP.NET Core框架 在这篇文章中,我将要向你们简短介绍一下ASP.NET Core 框架.当今社会,当提到软件开发,每个人都是讨论着开源以及跨平台开发.总所周知,微软是以它的基于Wind ...
- [HDU2072]单词数<字符串>
链接:http://acm.hdu.edu.cn/showproblem.php?pid=2072 Problem Description lily的好朋友xiaoou333最近很空,他想了一件没有什 ...
- css 动画 transition和animation
本文参考:http://www.ruanyifeng.com/blog/2014/02/css_transition_and_animation.html 1. transition基本用法: < ...
- 用c#求一元二次方程
题目:编一个程序,输入a .b.c 的值,求出一元二次方程a*x*x+b*x+c=0的二个实数根. 我的思路: 我们都知道数学中求一元二次方程有很多方法:直接开方法.配方法.公式法.分解因式法等等,在 ...
- Windows 7 NVMe补丁(包括官网下载链接)
随着NVMe固态硬盘的普遍,很多想使用Windows 7,又想使用NVMe固态硬盘的,不得不打两个NVMe补丁 这两个补丁主要是:KB2990941和KB3087873 32位 百度网盘 64位 百度 ...
- Unity 游戏框架搭建 2019 (二十一、二十二) 第三章简介&整理前的准备
整理前的准备 到目前为止,我们积攒了很多示例了,并且每个示例也都贯彻了最的约定和规则. 在上一篇的小结也说了一个比较新的东西:编程体验优化. 在之前我们还积攒了一个问题:代码重复问题. 我们可是忍住整 ...
- JavaScript布尔操作符
布尔操作符 逻辑与 (&&) 逻辑与操作可以应用于任何类型的操作数,当有一个操作数不是布尔值的情况下,逻辑与操作就不一定返回布尔值 如果第一个操作数是对象,则返回第二个操作数 如果第二 ...
- Vulnhub homeless靶机渗透
信息搜集 nmap -sP 192.168.146.6 nmap -A -Pn 192.168.146.151 直接访问web服务. 大概浏览一下没发现什么,直接扫描下目录把dirb+bp. BP具体 ...
- .net core 实现excel 和 word 的在线预览
最新在搞文件的在线预览,网上很多免费的方案都需要是电脑安装office的,这要就很麻烦:收费的插件又太贵了. 不过还是找到一款相对好用的免费在线预览插件. 直接在nuget上搜索ce.office.e ...
- json的fromjson的方法使用。可以在volley中进行使用
Gson提供了fromJson()方法来实现从Json相关对象到Java实体的方法. 在日常应用中,我们一般都会碰到两种情况,转成单一实体对象和转换成对象列表或者其他结构. 先来看第一种: 比如jso ...