UAC - User Account Control
Last updated
Last updated
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Koristite Trickest za lako kreiranje i automatizaciju radnih tokova uz pomoć najnaprednijih alata zajednice na svetu. Pribavite pristup danas:
Kontrola korisničkog naloga (UAC) je funkcija koja omogućava izdavanje saglasnosti za uzdignute aktivnosti. Aplikacije imaju različite integrity
nivoe, a program sa visokim nivoom može izvoditi zadatke koji mogu potencijalno ugroziti sistem. Kada je UAC omogućen, aplikacije i zadaci se uvek izvode pod sigurnosnim kontekstom naloga koji nije administrator osim ako administrator izričito ne odobri tim aplikacijama/zadacima pristup na nivou administratora za izvršavanje. To je funkcija pogodnosti koja štiti administratore od nenamernih promena, ali se ne smatra sigurnosnom granicom.
Za više informacija o nivoima integriteta:
Integrity LevelsKada je UAC aktivan, korisniku administratoru se dodeljuju 2 tokena: standardni korisnički ključ, za obavljanje redovnih akcija na redovnom nivou, i jedan sa privilegijama administratora.
Ova stranica detaljno objašnjava kako UAC funkcioniše i uključuje proces prijavljivanja, korisničko iskustvo i UAC arhitekturu. Administratori mogu koristiti sigurnosne politike za konfiguraciju načina na koji UAC funkcioniše specifično za njihovu organizaciju na lokalnom nivou (koristeći secpol.msc), ili konfigurisanjem i distribucijom putem objekata grupne politike (GPO) u okruženju Active Directory domena. Različite postavke su detaljno objašnjene ovde. Postoji 10 postavki grupne politike koje se mogu postaviti za UAC. Sledeća tabela pruža dodatne detalje:
FilterAdministratorToken
Onemogućeno
EnableUIADesktopToggle
Onemogućeno
ConsentPromptBehaviorAdmin
Traži saglasnost za ne-Windows binarne datoteke
ConsentPromptBehaviorUser
Traži kredencijale na sigurnom desktopu
EnableInstallerDetection
Omogućeno (podrazumevano za kućne korisnike) Onemogućeno (podrazumevano za preduzeća)
ValidateAdminCodeSignatures
Onemogućeno
EnableSecureUIAPaths
Omogućeno
EnableLUA
Omogućeno
PromptOnSecureDesktop
Omogućeno
EnableVirtualization
Omogućeno
Neki programi se automatski uzdižu ako korisnik pripada grupi administratora. Ove binarne datoteke imaju unutar svojih Manifesta opciju autoElevate sa vrednošću True. Binarna datoteka takođe mora biti potpisana od strane Microsoft-a.
Zatim, da bi se zaobišao UAC (uzdignuti sa srednjeg nivoa integriteta na visoki), neki napadači koriste ovu vrstu binarnih datoteka da izvrše proizvoljni kod jer će biti izvršen iz procesa sa visokim nivoom integriteta.
Možete proveriti Manifest binarne datoteke koristeći alat sigcheck.exe iz Sysinternals. Takođe možete videti nivo integriteta procesa koristeći Process Explorer ili Process Monitor (iz Sysinternals).
Da biste potvrdili da li je UAC omogućen, uradite:
Ako je 1
, onda je UAC aktiviran, ako je 0
ili ne postoji, onda je UAC neaktivan.
Zatim, proverite koji nivo je konfigurisan:
Ako je 0
, UAC neće tražiti potvrdu (kao onemogućeno)
Ako je 1
, administratoru se traži korisničko ime i lozinka da izvrši binarni fajl sa visokim pravima (na Secure Desktop)
Ako je 2
(Uvek me obavesti) UAC će uvek tražiti potvrdu od administratora kada pokuša da izvrši nešto sa visokim privilegijama (na Secure Desktop)
Ako je 3
, kao 1
ali nije neophodno na Secure Desktop
Ako je 4
, kao 2
ali nije neophodno na Secure Desktop
Ako je 5
(podrazumevano) tražiće od administratora da potvrdi pokretanje ne-Windows binarnih fajlova sa visokim privilegijama
Zatim, treba da pogledate vrednost LocalAccountTokenFilterPolicy
Ako je vrednost 0
, tada samo RID 500 korisnik (ugrađeni Administrator) može da obavlja administrativne zadatke bez UAC, a ako je 1
, svi nalozi unutar grupe "Administratori" mogu to da rade.
I, konačno, pogledajte vrednost ključa FilterAdministratorToken
Ako je 0
(podrazumevano), ugrađeni Administrator nalog može da obavlja zadatke daljinske administracije, a ako je 1
, ugrađeni nalog Administrator ne može da obavlja zadatke daljinske administracije, osim ako je LocalAccountTokenFilterPolicy
postavljen na 1
.
Ako je EnableLUA=0
ili ne postoji, nema UAC za nikoga
Ako je EnableLua=1
i LocalAccountTokenFilterPolicy=1
, Nema UAC za nikoga
Ako je EnableLua=1
i LocalAccountTokenFilterPolicy=0
i FilterAdministratorToken=0
, Nema UAC za RID 500 (Ugrađeni Administrator)
Ako je EnableLua=1
i LocalAccountTokenFilterPolicy=0
i FilterAdministratorToken=1
, UAC za sve
Sve ove informacije mogu se prikupiti koristeći metasploit modul: post/windows/gather/win_privs
Takođe možete proveriti grupe vašeg korisnika i dobiti nivo integriteta:
Imajte na umu da ako imate grafički pristup žrtvi, UAC zaobilaženje je jednostavno jer možete jednostavno kliknuti na "Da" kada se UAC prozor pojavi
UAC zaobilaženje je potrebno u sledećoj situaciji: UAC je aktiviran, vaš proces se izvršava u kontekstu srednje integriteta, a vaš korisnik pripada grupi administratora.
Važno je napomenuti da je mnogo teže zaobići UAC ako je na najvišem nivou sigurnosti (Uvek) nego ako je na bilo kojem od drugih nivoa (Podrazumevano).
Ako je UAC već onemogućen (ConsentPromptBehaviorAdmin
je 0
) možete izvršiti obrnuti shell sa administratorskim privilegijama (visok nivo integriteta) koristeći nešto poput:
Ako imate shell sa korisnikom koji je unutar Administrators grupe, možete montirati C$ deljenje putem SMB (fajl sistem) lokalno na novom disku i imaćete pristup svemu unutar fajl sistema (čak i Administratorovom home folderu).
Izgleda da ova trik više ne funkcioniše
Tehnike Cobalt Strike će raditi samo ako UAC nije postavljen na maksimalni nivo sigurnosti.
Empire i Metasploit takođe imaju nekoliko modula za bypass UAC.
Dokumentacija i alat na https://github.com/wh0amitz/KRBUACBypass
UACME koji je kompilacija nekoliko UAC bypass eksploata. Imajte na umu da ćete morati da kompajlirate UACME koristeći visual studio ili msbuild. Kompilacija će kreirati nekoliko izvršnih fajlova (kao što je Source\Akagi\outout\x64\Debug\Akagi.exe
), moraćete da znate koji vam je potreban.
Trebalo bi da budete oprezni jer neki bypass-ovi mogu izazvati neka druga programa koja će obavestiti korisnika da se nešto dešava.
UACME ima verziju iz koje je svaka tehnika počela da funkcioniše. Možete pretraživati tehniku koja utiče na vaše verzije:
Takođe, koristeći ovu stranicu dobijate Windows verziju 1607
iz verzija build-a.
Sve tehnike korišćene ovde za zaobilaženje AUC zahtevaju potpunu interaktivnu ljusku sa žrtvom (obična nc.exe ljuska nije dovoljna).
Možete dobiti koristeći meterpreter sesiju. Migrirajte na proces koji ima Session vrednost jednaku 1:
(explorer.exe bi trebao raditi)
Ako imate pristup GUI, možete jednostavno prihvatiti UAC prompt kada ga dobijete, zapravo vam ne treba zaobilaženje. Dakle, dobijanje pristupa GUI-u će vam omogućiti da zaobiđete UAC.
Štaviše, ako dobijete GUI sesiju koju je neko koristio (potencijalno putem RDP-a), postoje neki alati koji će raditi kao administrator odakle možete pokrenuti cmd na primer kao admin direktno bez ponovnog traženja od strane UAC kao https://github.com/oski02/UAC-GUI-Bypass-appverif. Ovo bi moglo biti malo više neprimetno.
Ako vam nije stalo do buke, uvek možete pokrenuti nešto poput https://github.com/Chainski/ForceAdmin koje traži da se podignu dozvole dok korisnik ne prihvati.
Ako pogledate UACME, primetićete da većina UAC zaobilaženja zloupotrebljava Dll Hijacking ranjivost (pretežno pisanje malicioznog dll-a na C:\Windows\System32). Pročitajte ovo da biste naučili kako da pronađete Dll Hijacking ranjivost.
Pronađite binarni fajl koji će autoelevate (proverite da kada se izvrši, radi na visokom integritetu).
Sa procmon-om pronađite događaje "NAME NOT FOUND" koji mogu biti ranjivi na DLL Hijacking.
Verovatno ćete morati da napišete DLL unutar nekih zaštićenih putanja (kao što je C:\Windows\System32) gde nemate dozvole za pisanje. Možete zaobići ovo koristeći:
wusa.exe: Windows 7, 8 i 8.1. Omogućava ekstrakciju sadržaja CAB fajla unutar zaštićenih putanja (jer se ovaj alat izvršava iz visoke integriteta).
IFileOperation: Windows 10.
Pripremite skriptu da kopirate svoj DLL unutar zaštićene putanje i izvršite ranjivi i autoelevated binarni fajl.
Sastoji se u praćenju da li autoElevated binarni fajl pokušava da pročita iz registrija ime/putanju binarne ili komande koja treba da bude izvršena (ovo je zanimljivije ako binarni fajl traži ove informacije unutar HKCU).
Koristite Trickest da lako izgradite i automatizujete radne tokove pokretane od strane najnaprednijih alata zajednice na svetu. Dobijte pristup danas:
Naučite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Naučite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)