UAC - User Account Control
使用Trickest可以轻松构建和自动化工作流程,使用世界上最先进的社区工具。 立即获取访问权限:
UAC
用户账户控制(UAC)是一项功能,它为提升的活动启用了一个同意提示。应用程序具有不同的完整性
级别,具有高级别的程序可以执行可能危及系统的任务。当启用UAC时,应用程序和任务始终以非管理员帐户的安全上下文下运行,除非管理员明确授权这些应用程序/任务具有管理员级别访问系统的权限来运行。这是一个方便的功能,可保护管理员免受意外更改,但不被视为安全边界。
有关完整性级别的更多信息:
pageIntegrity Levels当UAC生效时,管理员用户会获得2个令牌:一个标准用户密钥,用于作为普通级别执行常规操作,另一个带有管理员权限。
这个页面深入讨论了UAC的工作原理,包括登录过程、用户体验和UAC架构。管理员可以使用安全策略来配置UAC在本地级别上的工作方式(使用secpol.msc),或通过Active Directory域环境中的组策略对象(GPO)进行配置和推送。各种设置在这里有详细讨论。有10个组策略设置可用于UAC。以下表格提供了额外的细节:
组策略设置 | 注册表键 | 默认设置 |
---|---|---|
FilterAdministratorToken | Disabled | |
EnableUIADesktopToggle | Disabled | |
ConsentPromptBehaviorAdmin | Prompt for consent for non-Windows binaries | |
ConsentPromptBehaviorUser | Prompt for credentials on the secure desktop | |
EnableInstallerDetection | Enabled (default for home) Disabled (default for enterprise) | |
ValidateAdminCodeSignatures | Disabled | |
EnableSecureUIAPaths | Enabled | |
EnableLUA | Enabled | |
PromptOnSecureDesktop | Enabled | |
EnableVirtualization | Enabled | |
### UAC Bypass Theory |
一些程序如果用户属于管理员组,则会自动自动提升权限。这些可执行文件在其 清单 中具有 autoElevate 选项,其值为 True。此二进制文件还必须由 Microsoft 签名。
因此,为了绕过 UAC(从中等完整性级别提升到高级),一些攻击者使用这种类型的二进制文件来执行任意代码,因为它将从高级完整性进程中执行。
您可以使用 Sysinternals 的 sigcheck.exe 工具检查二进制文件的 清单。您还可以使用 Process Explorer 或 Process Monitor(Sysinternals 的工具)查看进程的完整性级别。
Check UAC
要确认 UAC 是否已启用,请执行以下操作:
如果是**1
,则UAC已激活**;如果是**0
或不存在**,则UAC为未激活。
然后,检查已配置的哪个级别:
如果是
0
,那么 UAC 不会提示(类似于 禁用)如果是
1
,管理员会被要求输入用户名和密码以使用高权限执行二进制文件(在安全桌面上)如果是
2
(始终通知我),当管理员尝试以高权限执行某些内容时,UAC 将始终要求管理员确认(在安全桌面上)如果是
3
,类似于1
但不一定在安全桌面上如果是
4
,类似于2
但不一定在安全桌面上如果是
5
(默认),它将要求管理员确认以以高权限运行非 Windows 二进制文件
然后,您需要查看 LocalAccountTokenFilterPolicy
的值
如果值为 0
,那么只有 RID 500 用户(内置管理员)能够在没有 UAC 的情况下执行 管理员任务,如果是 1
,"Administrators" 组内的所有帐户都可以执行这些任务。
最后,查看 FilterAdministratorToken
键的值
如果是 0
(默认),内置管理员帐户 可以进行远程管理任务,如果是 1
,内置管理员帐户 不能 进行远程管理任务,除非 LocalAccountTokenFilterPolicy
设置为 1
。
总结
如果
EnableLUA=0
或 不存在,任何人都没有 UAC如果
EnableLua=1
和LocalAccountTokenFilterPolicy=1
,任何人都没有 UAC如果
EnableLua=1
和LocalAccountTokenFilterPolicy=0
和FilterAdministratorToken=0
,RID 500(内置管理员)没有 UAC如果
EnableLua=1
和LocalAccountTokenFilterPolicy=0
和FilterAdministratorToken=1
,所有人都有 UAC
所有这些信息可以使用 metasploit 模块收集:post/windows/gather/win_privs
您还可以检查用户的组并获取完整性级别:
UAC绕过
请注意,如果您可以访问受害者的图形界面,UAC绕过就很简单,因为您可以在UAC提示出现时简单地点击“是”
在以下情况下需要UAC绕过:UAC已激活,您的进程在中间完整性上下文中运行,且您的用户属于管理员组。
值得一提的是,如果UAC处于最高安全级别(始终)中,要绕过UAC要困难得多,而如果它处于任何其他级别(默认)中,则要容易得多。
UAC已禁用
如果UAC已被禁用(ConsentPromptBehaviorAdmin
是**0
),您可以使用类似以下内容以管理员权限(高完整性级别)执行反向Shell**:
使用令牌复制绕过UAC
非常基本的UAC“绕过”(完全文件系统访问)
如果您拥有一个属于管理员组的用户的shell,您可以通过SMB(文件系统)本地共享挂载C$,然后在新磁盘中访问文件系统中的所有内容(甚至是管理员的主文件夹)。
看起来这个技巧不再起作用了
使用 Cobalt Strike 绕过 UAC
只有在 UAC 没有设置为最高安全级别时,Cobalt Strike 技术才能生效。
Empire和Metasploit也有几个模块可以绕过用户账户控制(UAC)。
KRBUACBypass
文档和工具在https://github.com/wh0amitz/KRBUACBypass
UAC绕过利用
UACME是几个UAC绕过利用的编译集合。请注意,您需要使用Visual Studio或MSBuild来编译UACME。编译将创建几个可执行文件(如Source\Akagi\outout\x64\Debug\Akagi.exe
),您需要知道您需要哪一个。
您应该小心,因为有些绕过会提示其他程序,这些程序会警告用户有事情发生。
UACME有每个技术开始工作的构建版本。您可以搜索影响您版本的技术:
更多UAC绕过
这个页面可以获取Windows版本1607
的构建版本。
所有在这里用于绕过AUC的技术都需要与受害者建立一个完整的交互式shell(一个常见的nc.exe shell是不够的)。
你可以使用一个meterpreter会话。迁移到一个Session值等于1的进程:
(_explorer.exe_应该有效)
使用GUI的UAC绕过
如果你可以访问一个GUI,当你收到UAC提示时,你可以直接接受,你不需要绕过它。因此,访问GUI将允许你绕过UAC。
此外,如果你获得了某人正在使用的GUI会话(可能通过RDP),那里会有一些作为管理员运行的工具,你可以从中直接以管理员身份运行例如cmd,而不会再次受到UAC的提示,就像https://github.com/oski02/UAC-GUI-Bypass-appverif。这可能会更加隐蔽。
嘈杂的暴力UAC绕过
如果你不在乎嘈杂,你可以始终运行类似于https://github.com/Chainski/ForceAdmin这样的东西,要求提升权限,直到用户接受为止。
你自己的绕过 - 基本UAC绕过方法论
如果你看看UACME,你会注意到大多数UAC绕过都滥用了Dll劫持漏洞(主要是将恶意dll写入_C:\Windows\System32_)。阅读这篇文章以了解如何找到Dll劫持漏洞。
找到一个将自动提升权限的二进制文件(检查当执行时它是否以高完整性级别运行)。
使用procmon找到可以受到DLL劫持攻击的“NAME NOT FOUND”事件。
你可能需要将DLL写入一些受保护的路径(比如C:\Windows\System32),在那里你没有写入权限。你可以通过以下方式绕过这一点:
wusa.exe:Windows 7、8和8.1。它允许在受保护路径内提取CAB文件的内容(因为这个工具是以高完整性级别执行的)。
IFileOperation:Windows 10。
准备一个脚本,将你的DLL复制到受保护路径中并执行易受攻击和自动提升权限的二进制文件。
另一种UAC绕过技术
包括观察自动提升权限的二进制文件是否尝试从注册表中读取要执行的二进制文件或命令的名称/路径(如果二进制文件在HKCU中搜索这些信息,则更有趣)。
使用Trickest可以轻松构建和自动化工作流,使用世界上最先进的社区工具。 立即获取访问权限:
最后更新于