UAC - User Account Control
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Użyj Trickest, aby łatwo budować i automatyzować przepływy pracy zasilane przez najbardziej zaawansowane narzędzia społecznościowe na świecie. Uzyskaj dostęp już dziś:
Kontrola Konta Użytkownika (UAC) to funkcja, która umożliwia wyświetlanie komunikatu o zgodzie na podwyższone działania. Aplikacje mają różne poziomy integrity, a program z wysokim poziomem może wykonywać zadania, które mogą potencjalnie zagrozić systemowi. Gdy UAC jest włączony, aplikacje i zadania zawsze działają w kontekście bezpieczeństwa konta nie-administratora, chyba że administrator wyraźnie autoryzuje te aplikacje/zadania do uzyskania dostępu na poziomie administratora w celu ich uruchomienia. Jest to funkcja ułatwiająca, która chroni administratorów przed niezamierzonymi zmianami, ale nie jest uważana za granicę bezpieczeństwa.
Aby uzyskać więcej informacji na temat poziomów integralności:
Integrity LevelsGdy UAC jest aktywne, użytkownik administratora otrzymuje 2 tokeny: standardowy klucz użytkownika, aby wykonywać regularne działania na poziomie zwykłym, oraz jeden z uprawnieniami administratora.
Ta strona szczegółowo omawia, jak działa UAC, w tym proces logowania, doświadczenie użytkownika i architekturę UAC. Administratorzy mogą używać polityk bezpieczeństwa do konfigurowania, jak UAC działa w ich organizacji na poziomie lokalnym (używając secpol.msc) lub skonfigurować i wdrożyć za pomocą Obiektów Polityki Grupowej (GPO) w środowisku domeny Active Directory. Różne ustawienia są szczegółowo omówione tutaj. Istnieje 10 ustawień Polityki Grupowej, które można ustawić dla UAC. Poniższa tabela zawiera dodatkowe szczegóły:
| Ustawienie Polityki Grupowej | Klucz Rejestru | Ustawienie Domyślne |
|---|---|---|
FilterAdministratorToken | Wyłączone | |
EnableUIADesktopToggle | Wyłączone | |
ConsentPromptBehaviorAdmin | Prośba o zgodę dla nie-Windowsowych binariów | |
ConsentPromptBehaviorUser | Prośba o dane uwierzytelniające na bezpiecznym pulpicie | |
EnableInstallerDetection | Włączone (domyślne dla domów) Wyłączone (domyślne dla przedsiębiorstw) | |
ValidateAdminCodeSignatures | Wyłączone | |
EnableSecureUIAPaths | Włączone | |
EnableLUA | Włączone | |
PromptOnSecureDesktop | Włączone | |
EnableVirtualization | Włączone |
Niektóre programy są automatycznie podwyższane, jeśli użytkownik należy do grupy administratorów. Te binaria mają w swoich Manifeście opcję autoElevate z wartością True. Binarne musi być również podpisane przez Microsoft.
Aby ominąć UAC (podwyższyć z średniego poziomu integralności do wysokiego), niektórzy atakujący używają tego rodzaju binariów do wykonywania dowolnego kodu, ponieważ będzie on wykonywany z procesu o wysokim poziomie integralności.
Możesz sprawdzić Manifest binarnego, używając narzędzia sigcheck.exe z Sysinternals. A możesz zobaczyć poziom integralności procesów, używając Process Explorer lub Process Monitor (z Sysinternals).
Aby potwierdzić, czy UAC jest włączone, wykonaj:
Jeśli to jest 1, to UAC jest aktywowany, jeśli to jest 0 lub nie istnieje, to UAC jest nieaktywny.
Następnie sprawdź jaki poziom jest skonfigurowany:
Jeśli 0, UAC nie będzie pytać (jak wyłączone)
Jeśli 1, administrator jest proszony o nazwę użytkownika i hasło do wykonania binarnego z wysokimi uprawnieniami (na Secure Desktop)
Jeśli 2 (Zawsze powiadamiaj mnie) UAC zawsze poprosi o potwierdzenie administratora, gdy spróbuje wykonać coś z wysokimi uprawnieniami (na Secure Desktop)
Jeśli 3, jak 1, ale niekoniecznie na Secure Desktop
Jeśli 4, jak 2, ale niekoniecznie na Secure Desktop
jeśli 5(domyślnie) poprosi administratora o potwierdzenie uruchomienia binarnych, które nie są systemem Windows, z wysokimi uprawnieniami
Następnie musisz spojrzeć na wartość LocalAccountTokenFilterPolicy
Jeśli wartość to 0, to tylko użytkownik RID 500 (wbudowany Administrator) może wykonywać zadania administracyjne bez UAC, a jeśli to 1, wszystkie konta w grupie "Administratorzy" mogą to robić.
I na koniec spójrz na wartość klucza FilterAdministratorToken
Jeśli 0(domyślnie), wbudowane konto Administratora może wykonywać zadania zdalnej administracji, a jeśli 1, wbudowane konto Administratora nie może wykonywać zadań zdalnej administracji, chyba że LocalAccountTokenFilterPolicy jest ustawione na 1.
Jeśli EnableLUA=0 lub nie istnieje, brak UAC dla nikogo
Jeśli EnableLua=1 i LocalAccountTokenFilterPolicy=1, brak UAC dla nikogo
Jeśli EnableLua=1 i LocalAccountTokenFilterPolicy=0 i FilterAdministratorToken=0, brak UAC dla RID 500 (Wbudowany Administrator)
Jeśli EnableLua=1 i LocalAccountTokenFilterPolicy=0 i FilterAdministratorToken=1, UAC dla wszystkich
Wszystkie te informacje można zebrać za pomocą modułu metasploit: post/windows/gather/win_privs
Możesz również sprawdzić grupy swojego użytkownika i uzyskać poziom integralności:
Zauważ, że jeśli masz dostęp graficzny do ofiary, obejście UAC jest proste, ponieważ możesz po prostu kliknąć "Tak", gdy pojawi się monit UAC.
Obejście UAC jest potrzebne w następującej sytuacji: UAC jest aktywowany, twój proces działa w kontekście średniej integralności, a twój użytkownik należy do grupy administratorów.
Ważne jest, aby wspomnieć, że znacznie trudniej jest obejść UAC, jeśli jest on na najwyższym poziomie bezpieczeństwa (Zawsze) niż jeśli jest na którymkolwiek z innych poziomów (Domyślny).
Jeśli UAC jest już wyłączony (ConsentPromptBehaviorAdmin to 0), możesz wykonać reverse shell z uprawnieniami administratora (wysoki poziom integralności) używając czegoś takiego:
Jeśli masz powłokę z użytkownikiem, który jest w grupie Administratorzy, możesz zamontować C$ udostępnione przez SMB (system plików) lokalnie na nowym dysku i będziesz miał dostęp do wszystkiego w systemie plików (nawet do folderu domowego Administratora).
Wygląda na to, że ten trik już nie działa
Techniki Cobalt Strike będą działać tylko wtedy, gdy UAC nie jest ustawiony na maksymalny poziom bezpieczeństwa.
Empire i Metasploit mają również kilka modułów do obejścia UAC.
Dokumentacja i narzędzie w https://github.com/wh0amitz/KRBUACBypass
UACME , który jest kompilacją kilku eksploity do obejścia UAC. Zauważ, że będziesz musiał skompilować UACME używając visual studio lub msbuild. Kompilacja stworzy kilka plików wykonywalnych (jak Source\Akagi\outout\x64\Debug\Akagi.exe), będziesz musiał wiedzieć który potrzebujesz.
Powinieneś być ostrożny, ponieważ niektóre obejścia wywołają inne programy, które powiadomią użytkownika, że coś się dzieje.
UACME ma wersję kompilacji, od której każda technika zaczęła działać. Możesz wyszukiwać technikę wpływającą na twoje wersje:
Also, using this page you get the Windows release 1607 from the build versions.
Wszystkie techniki używane tutaj do obejścia UAC wymagają pełnego interaktywnego powłoki z ofiarą (zwykła powłoka nc.exe nie wystarczy).
Możesz uzyskać dostęp za pomocą sesji meterpreter. Przenieś się do procesu, który ma wartość Session równą 1:
(explorer.exe powinien działać)
Jeśli masz dostęp do GUI, możesz po prostu zaakceptować monit UAC, gdy go otrzymasz, naprawdę nie potrzebujesz obejścia. Uzyskanie dostępu do GUI pozwoli ci obejść UAC.
Co więcej, jeśli uzyskasz sesję GUI, z której ktoś korzystał (potencjalnie przez RDP), istnieją niektóre narzędzia, które będą działać jako administrator, z których możesz uruchomić na przykład cmd bezpośrednio jako administrator bez ponownego wywoływania monitu UAC, jak https://github.com/oski02/UAC-GUI-Bypass-appverif. Może to być nieco bardziej ukryte.
Jeśli nie zależy ci na hałasie, zawsze możesz uruchomić coś takiego jak https://github.com/Chainski/ForceAdmin, co prosi o podniesienie uprawnień, aż użytkownik to zaakceptuje.
Jeśli spojrzysz na UACME, zauważysz, że większość obejść UAC nadużywa podatności Dll Hijacking (głównie pisząc złośliwy dll w C:\Windows\System32). Przeczytaj to, aby dowiedzieć się, jak znaleźć podatność Dll Hijacking.
Znajdź binarny, który będzie autoelevate (sprawdź, czy po uruchomieniu działa na wysokim poziomie integralności).
Użyj procmon, aby znaleźć zdarzenia "NAME NOT FOUND", które mogą być podatne na DLL Hijacking.
Prawdopodobnie będziesz musiał napisać DLL w niektórych chronionych ścieżkach (jak C:\Windows\System32), gdzie nie masz uprawnień do zapisu. Możesz to obejść, używając:
wusa.exe: Windows 7, 8 i 8.1. Umożliwia to wyodrębnienie zawartości pliku CAB w chronionych ścieżkach (ponieważ to narzędzie jest uruchamiane z wysokiego poziomu integralności).
IFileOperation: Windows 10.
Przygotuj skrypt, aby skopiować swój DLL do chronionej ścieżki i uruchomić podatny i autoelevated binarny.
Polega na obserwowaniu, czy autoElevated binary próbuje odczytać z rejestru nazwę/ścieżkę binarnego lub komendy do wykonania (to jest bardziej interesujące, jeśli binarny szuka tych informacji w HKCU).
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
