UAC - User Account Control
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
UAC
ユーザーアカウント制御 (UAC) は、昇格された活動のための同意プロンプトを有効にする機能です。アプリケーションには異なる integrity レベルがあり、高いレベルのプログラムは、システムを危険にさらす可能性のあるタスクを実行できます。UACが有効になっている場合、アプリケーションやタスクは常に非管理者アカウントのセキュリティコンテキストの下で実行され、管理者が明示的にこれらのアプリケーション/タスクに管理者レベルのアクセスを許可しない限り、システムを実行することはできません。これは、管理者が意図しない変更から保護される便利な機能ですが、セキュリティ境界とは見なされません。
インテグリティレベルに関する詳細情報:
Integrity LevelsUACが有効な場合、管理者ユーザーには2つのトークンが与えられます:通常のアクションを通常レベルで実行するための標準ユーザーキーと、管理者権限を持つものです。
このページでは、UACの動作について詳細に説明しており、ログオンプロセス、ユーザーエクスペリエンス、UACアーキテクチャが含まれています。管理者は、セキュリティポリシーを使用して、ローカルレベルで自組織に特有のUACの動作を構成することができ(secpol.mscを使用)、またはActive Directoryドメイン環境でグループポリシーオブジェクト(GPO)を介して構成して展開することができます。さまざまな設定については、こちらで詳しく説明されています。UACに設定できるグループポリシー設定は10個あります。以下の表は追加の詳細を提供します:
| グループポリシー設定 | レジストリキー | デフォルト設定 |
|---|---|---|
FilterAdministratorToken | 無効 | |
EnableUIADesktopToggle | 無効 | |
ConsentPromptBehaviorAdmin | 非Windowsバイナリに対して同意を求めるプロンプト | |
ConsentPromptBehaviorUser | セキュアデスクトップでの資格情報を求めるプロンプト | |
EnableInstallerDetection | 有効(ホームのデフォルト)無効(エンタープライズのデフォルト) | |
ValidateAdminCodeSignatures | 無効 | |
EnableSecureUIAPaths | 有効 | |
EnableLUA | 有効 | |
PromptOnSecureDesktop | 有効 | |
EnableVirtualization | 有効 |
UACバイパス理論
一部のプログラムは、ユーザーが 管理者グループに属している場合、自動的に自動昇格されます。これらのバイナリには、Manifests 内に autoElevate オプションが True の値で含まれています。バイナリは、Microsoftによって署名されている必要があります。
次に、UACをバイパスするために(中のインテグリティレベルから高に昇格する)、一部の攻撃者はこの種のバイナリを使用して任意のコードを実行します。なぜなら、それは高いレベルのインテグリティプロセスから実行されるからです。
バイナリの_Manifestを確認するには、Sysinternalsのツールsigcheck.exe_を使用できます。また、_Process Explorer_または_SysinternalsのProcess Monitor_を使用してプロセスのインテグリティレベルを確認できます。
UACの確認
UACが有効かどうかを確認するには、次の操作を行います:
もしそれが 1 であれば、UACは 有効 です。もしそれが 0 であるか、存在しない のであれば、UACは 無効 です。
次に、どのレベル が設定されているかを確認します:
0の場合、UACはプロンプトを表示しません(無効のように)1の場合、管理者はユーザー名とパスワードを要求されて、バイナリを高い権限で実行します(セキュアデスクトップ上で)2の場合(常に通知)、UACは管理者が高い権限で何かを実行しようとするたびに常に確認を求めます(セキュアデスクトップ上で)3の場合、1と同様ですが、セキュアデスクトップ上で必要ありません4の場合、2と同様ですが、セキュアデスクトップ上で必要ありません5の場合(デフォルト)、非Windowsバイナリを高い権限で実行するために管理者に確認を求めます
次に、LocalAccountTokenFilterPolicy の値を確認する必要があります。
値が 0 の場合、RID 500 ユーザー(組み込みの管理者)のみがUACなしで管理タスクを実行でき、1 の場合は、「Administrators」 グループ内のすべてのアカウントがそれを実行できます。
最後に、キー FilterAdministratorToken の値を確認します。
0(デフォルト)の場合、組み込みの管理者アカウントはリモート管理タスクを実行でき、1 の場合、組み込みの管理者アカウントはリモート管理タスクを実行できませんが、LocalAccountTokenFilterPolicy が 1 に設定されている場合を除きます。
概要
EnableLUA=0または 存在しない場合、誰に対してもUACなしEnableLua=1かつLocalAccountTokenFilterPolicy=1の場合、誰に対してもUACなしEnableLua=1かつLocalAccountTokenFilterPolicy=0かつFilterAdministratorToken=0の場合、RID 500(組み込みの管理者)に対してUACなしEnableLua=1かつLocalAccountTokenFilterPolicy=0かつFilterAdministratorToken=1の場合、全員に対してUACあり
このすべての情報は、metasploit モジュール post/windows/gather/win_privs を使用して収集できます。
ユーザーのグループを確認し、整合性レベルを取得することもできます。
UACバイパス
被害者にグラフィカルアクセスがある場合、UACバイパスは簡単です。UACプロンプトが表示されたときに「はい」をクリックするだけです。
UACバイパスは以下の状況で必要です: UACが有効で、プロセスが中程度の整合性コンテキストで実行されており、ユーザーが管理者グループに属している場合。
UACが最高のセキュリティレベル(常に)に設定されている場合、他のレベル(デフォルト)の場合よりもUACをバイパスするのははるかに難しいことを言及することが重要です。
UAC無効
UACがすでに無効になっている場合(ConsentPromptBehaviorAdminが**0)、次のようなもので管理者権限でリバースシェルを実行**できます:
UACバイパスとトークン複製
非常に 基本的なUAC "バイパス"(フルファイルシステムアクセス)
管理者グループに属するユーザーのシェルがある場合、C$ 共有をSMB(ファイルシステム)経由で新しいディスクにマウントすることで、ファイルシステム内のすべてにアクセスできます(管理者のホームフォルダも含む)。
このトリックはもう機能していないようです
UACバイパスとCobalt Strike
Cobalt Strikeの技術は、UACが最大のセキュリティレベルに設定されていない場合にのみ機能します。
Empire と Metasploit には、UAC を バイパス するためのいくつかのモジュールがあります。
KRBUACBypass
ドキュメントとツールは https://github.com/wh0amitz/KRBUACBypass にあります。
UAC バイパスエクスプロイト
UACME は、いくつかの UAC バイパスエクスプロイトの コンパイル です。UACME を Visual Studio または msbuild を使用してコンパイルする必要があります。コンパイルにより、いくつかの実行可能ファイル(例えば Source\Akagi\outout\x64\Debug\Akagi.exe)が作成されます。どれが必要かを知っておく必要があります。
注意が必要です。なぜなら、いくつかのバイパスは 他のプログラムを促す ことがあり、ユーザー に何かが起こっていることを 警告 します。
UACME には、各技術が動作し始めた ビルドバージョン があります。あなたのバージョンに影響を与える技術を検索できます:
Also, using this page you get the Windows release 1607 from the build versions.
More UAC bypass
すべての技術は、AUCをバイパスするために完全なインタラクティブシェルを必要とします(一般的なnc.exeシェルでは不十分です)。
meterpreterセッションを使用して取得できます。Session値が1のプロセスに移行します:
(explorer.exe は動作するはずです)
UAC Bypass with GUI
GUIにアクセスできる場合は、UACプロンプトが表示されたときにそれを受け入れるだけで済みます。 バイパスは本当に必要ありません。したがって、GUIにアクセスすることでUACをバイパスできます。
さらに、誰かが使用していたGUIセッション(おそらくRDP経由)を取得した場合、管理者として実行されるいくつかのツールがあり、そこからcmdを例えば管理者として直接実行でき、再度UACによるプロンプトが表示されることはありません。 https://github.com/oski02/UAC-GUI-Bypass-appverif。これは少しステルスかもしれません。
Noisy brute-force UAC bypass
騒がしくなることを気にしない場合は、常に次のようなものを実行できます https://github.com/Chainski/ForceAdmin それはユーザーが受け入れるまで権限を昇格するように要求します。
Your own bypass - Basic UAC bypass methodology
UACMEを見てみると、ほとんどのUACバイパスはDLLハイジャックの脆弱性を悪用しています(主に悪意のあるdllを_C:\Windows\System32_に書き込むこと)。 DLLハイジャックの脆弱性を見つける方法を学ぶには、これを読んでください。
自動昇格するバイナリを見つけます(実行時に高い整合性レベルで実行されることを確認します)。
procmonを使用して、DLLハイジャックに脆弱な"NAME NOT FOUND"イベントを見つけます。
おそらく、書き込み権限がないいくつかの保護されたパス(C:\Windows\System32など)内にDLLを書き込む必要があります。これを回避するには、次のものを使用できます:
wusa.exe:Windows 7,8および8.1。これは、保護されたパス内にCABファイルの内容を抽出することを許可します(このツールは高い整合性レベルから実行されるため)。
IFileOperation:Windows 10。
保護されたパス内にDLLをコピーし、脆弱で自動昇格されたバイナリを実行するためのスクリプトを準備します。
Another UAC bypass technique
自動昇格されたバイナリが実行されるためのバイナリまたはコマンドの名前/パスをレジストリから読み取ろうとするのを監視することに基づいています(これは、バイナリがHKCU内でこの情報を検索する場合により興味深いです)。
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
