UAC - User Account Control
Last updated
Last updated
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Koristite Trickest za lako kreiranje i automatizaciju radnih tokova uz pomoć najnaprednijih alata zajednice na svetu. Pribavite pristup danas:
Kontrola korisničkog naloga (UAC) je funkcija koja omogućava izdavanje zahteva za saglasnost za uzvišene aktivnosti. Aplikacije imaju različite integrity
nivoe, a program sa visokim nivoom može izvoditi zadatke koji mogu potencijalno ugroziti sistem. Kada je UAC omogućen, aplikacije i zadaci se uvek izvode pod sigurnosnim kontekstom naloga koji nije administrator osim ako administrator izričito ne odobri tim aplikacijama/zadacima pristup na nivou administratora za izvršavanje. To je funkcija pogodnosti koja štiti administratore od nenamernih promena, ali se ne smatra sigurnosnom granicom.
Za više informacija o nivoima integriteta:
Integrity LevelsKada je UAC aktivan, korisniku administratoru se dodeljuju 2 tokena: standardni korisnički ključ, za obavljanje redovnih radnji na redovnom nivou, i jedan sa privilegijama administratora.
Ova stranica detaljno objašnjava kako UAC funkcioniše i uključuje proces prijavljivanja, korisničko iskustvo i arhitekturu UAC-a. Administratori mogu koristiti sigurnosne politike za konfiguraciju načina na koji UAC funkcioniše specifično za njihovu organizaciju na lokalnom nivou (koristeći secpol.msc), ili konfigurisanjem i distribucijom putem objekata grupne politike (GPO) u okruženju Active Directory domena. Različite postavke su detaljno objašnjene ovde. Postoji 10 postavki grupne politike koje se mogu postaviti za UAC. Sledeća tabela pruža dodatne detalje:
Postavka grupne politike | Registry Key | Podrazumevana postavka |
---|---|---|
FilterAdministratorToken | Onemogućeno | |
EnableUIADesktopToggle | Onemogućeno | |
ConsentPromptBehaviorAdmin | Zahtev za saglasnost za ne-Windows binarne datoteke | |
ConsentPromptBehaviorUser | Zahtev za kredencijale na sigurnom desktopu | |
EnableInstallerDetection | Omogućeno (podrazumevano za kućne verzije) Onemogućeno (podrazumevano za preduzeća) | |
ValidateAdminCodeSignatures | Onemogućeno | |
EnableSecureUIAPaths | Omogućeno | |
EnableLUA | Omogućeno | |
PromptOnSecureDesktop | Omogućeno | |
EnableVirtualization | Omogućeno |
Neki programi su automatski uzdignuti ako korisnik pripada grupi administratora. Ove binarne datoteke imaju unutar svojih Manifesta opciju autoElevate sa vrednošću True. Binarna datoteka takođe mora biti potpisana od strane Microsoft-a.
Zatim, da bi se zaobišao UAC (uzdignuti sa srednjeg nivoa integriteta na visoki), neki napadači koriste ovu vrstu binarnih datoteka da izvrše proizvoljni kod jer će biti izvršen iz procesa sa visokim nivoom integriteta.
Možete proveriti Manifest binarne datoteke koristeći alat sigcheck.exe iz Sysinternals. I možete videti nivo integriteta procesa koristeći Process Explorer ili Process Monitor (iz Sysinternals).
Da biste potvrdili da li je UAC omogućen, uradite:
Ако је 1
, онда је UAC активиран, ако је 0
или не постоји, онда је UAC неактиван.
Затим, проверите који ниво је конфигурисан:
Ako je 0
, UAC neće tražiti potvrdu (kao onemogućeno)
Ako je 1
, administratoru se traži korisničko ime i lozinka da izvrši binarni fajl sa visokim pravima (na Secure Desktop)
Ako je 2
(Uvek me obavesti) UAC će uvek tražiti potvrdu od administratora kada pokuša da izvrši nešto sa visokim privilegijama (na Secure Desktop)
Ako je 3
, kao 1
ali nije neophodno na Secure Desktop
Ako je 4
, kao 2
ali nije neophodno na Secure Desktop
Ako je 5
(podrazumevano) tražiće od administratora da potvrdi pokretanje ne-Windows binarnih fajlova sa visokim privilegijama
Zatim, treba da pogledate vrednost LocalAccountTokenFilterPolicy
Ako je vrednost 0
, tada samo RID 500 korisnik (ugrađeni Administrator) može da obavlja administrativne zadatke bez UAC, a ako je 1
, svi nalozi unutar grupe "Administratori" mogu to da rade.
I, konačno, pogledajte vrednost ključa FilterAdministratorToken
Ako je 0
(podrazumevano), ugrađeni Administrator nalog može da obavlja zadatke daljinske administracije, a ako je 1
, ugrađeni nalog Administrator ne može da obavlja zadatke daljinske administracije, osim ako je LocalAccountTokenFilterPolicy
postavljen na 1
.
Ako EnableLUA=0
ili ne postoji, nema UAC za nikoga
Ako EnableLua=1
i LocalAccountTokenFilterPolicy=1
, Nema UAC za nikoga
Ako EnableLua=1
i LocalAccountTokenFilterPolicy=0
i FilterAdministratorToken=0
, Nema UAC za RID 500 (Ugrađeni Administrator)
Ako EnableLua=1
i LocalAccountTokenFilterPolicy=0
i FilterAdministratorToken=1
, UAC za sve
Sve ove informacije mogu se prikupiti koristeći metasploit modul: post/windows/gather/win_privs
Takođe možete proveriti grupe vašeg korisnika i dobiti nivo integriteta:
Imajte na umu da ako imate grafički pristup žrtvi, UAC zaobilaženje je jednostavno jer možete jednostavno kliknuti na "Da" kada se UAC prozor pojavi
UAC zaobilaženje je potrebno u sledećoj situaciji: UAC je aktiviran, vaš proces se izvršava u kontekstu srednje integriteta, a vaš korisnik pripada grupi administratora.
Važno je napomenuti da je mnogo teže zaobići UAC ako je na najvišem nivou sigurnosti (Uvek) nego ako je na bilo kojem od drugih nivoa (Podrazumevano).
Ako je UAC već onemogućen (ConsentPromptBehaviorAdmin
je 0
) možete izvršiti obrnuti shell sa administratorskim privilegijama (visok nivo integriteta) koristeći nešto poput:
Ako imate shell sa korisnikom koji je unutar Administrators grupe, možete montirati C$ deljenje putem SMB (fajl sistem) lokalno na novom disku i imaćete pristup svemu unutar fajl sistema (čak i Administratorovom home folderu).
Izgleda da ova trik više ne funkcioniše
Tehnike Cobalt Strike će raditi samo ako UAC nije postavljen na maksimalni nivo sigurnosti.
Empire i Metasploit takođe imaju nekoliko modula za obići UAC.
Dokumentacija i alat na https://github.com/wh0amitz/KRBUACBypass
UACME koji je kompilacija nekoliko UAC bypass eksploata. Imajte na umu da ćete morati da kompajlirate UACME koristeći visual studio ili msbuild. Kompilacija će kreirati nekoliko izvršnih fajlova (kao što je Source\Akagi\outout\x64\Debug\Akagi.exe
), moraćete da znate koji vam je potreban.
Trebalo bi da budete oprezni jer neki bypass-ovi mogu izazvati neka druga programa koja će obavestiti korisnika da se nešto dešava.
UACME ima verziju iz koje je svaka tehnika počela da funkcioniše. Možete pretraživati tehniku koja utiče na vaše verzije:
Also, using this page you get the Windows release 1607
from the build versions.
Sve tehnike korišćene ovde za zaobilaženje AUC zahtevaju potpunu interaktivnu ljusku sa žrtvom (obična nc.exe ljuska nije dovoljna).
Možete dobiti koristeći meterpreter sesiju. Migrirajte na proces koji ima Session vrednost jednaku 1:
(explorer.exe bi trebao raditi)
Ako imate pristup GUI, možete jednostavno prihvatiti UAC prompt kada ga dobijete, zaista vam ne treba zaobilaženje. Dakle, dobijanje pristupa GUI će vam omogućiti da zaobiđete UAC.
Štaviše, ako dobijete GUI sesiju koju je neko koristio (potencijalno putem RDP) postoje neki alati koji će raditi kao administrator odakle možete pokrenuti cmd na primer kao admin direktno bez ponovnog pozivanja od strane UAC kao https://github.com/oski02/UAC-GUI-Bypass-appverif. Ovo bi moglo biti malo više neprimetno.
Ako vam nije stalo do buke, uvek možete pokrenuti nešto poput https://github.com/Chainski/ForceAdmin što traži da se podignu dozvole dok korisnik to ne prihvati.
Ako pogledate UACME, primetićete da većina UAC zaobilaženja zloupotrebljava Dll Hijacking ranjivost (pretežno pisanje malicioznog dll na C:\Windows\System32). Pročitajte ovo da biste naučili kako da pronađete Dll Hijacking ranjivost.
Pronađite binarni fajl koji će autoelevate (proverite da kada se izvrši, radi na visokom integritetu).
Sa procmon pronađite događaje "NAME NOT FOUND" koji mogu biti ranjivi na DLL Hijacking.
Verovatno ćete morati da napišete DLL unutar nekih zaštićenih putanja (kao što je C:\Windows\System32) gde nemate dozvole za pisanje. Možete zaobići ovo koristeći:
wusa.exe: Windows 7,8 i 8.1. Omogućava ekstrakciju sadržaja CAB fajla unutar zaštićenih putanja (jer se ovaj alat izvršava sa visokim integritetom).
IFileOperation: Windows 10.
Pripremite skriptu da kopirate svoj DLL unutar zaštićene putanje i izvršite ranjivi i autoelevated binarni fajl.
Sastoji se u praćenju da li autoElevated binarni pokušava da pročita iz registrija ime/putanju binarne ili komande koja treba da bude izvršena (ovo je zanimljivije ako binarni traži ove informacije unutar HKCU).
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)