码迷,mamicode.com
首页 > 其他好文 > 详细

UAC绕过思路(未完)

时间:2015-09-08 21:41:45      阅读:309      评论:0      收藏:0      [点我收藏+]

标签:

---恢复内容开始---

What is UAC?

技术分享

程序启动后,UAC的流程图:

技术分享

如果关闭UAC,则程序会提权运行

Privilege Contents:

参考:https://msdn.microsoft.com/en-us/library/windows/desktop/bb530716%28v=vs.85%29.aspx?f=255&MSPPError=-2147217396

如果启动了UAC,程序要求提权运行或者以管理员身份运行的时候,System会启动Consent.exe进程。

在UAC开启的情况下,即使用户选择否,也会开启UAC虚拟化:
1.UAC虚拟化后,应用程序会重定向到其他位置,用户依然可以正常使用程序,但应用程序写入的数据不会在真实系统生效,以防止病毒操作造成系统核心文件被破坏、感染等后果。
2.虚拟化能够改善程序兼容性,即上一点提到的,UAC会将文件和注册表写入操作放至特殊位置。

什么情况下会触发UAC:

1、UAC只有在程序试图影响系统操作的情况下会触发
2、申请提权的操作大多是程序员自己触发的提权的,提权的目的就在于Privilege Content提到的几种操作。
3、只有少数情况系统本身会触发UAC,例如安装服务之类的。   

绕过UAC方法小结:

1、利用计划任务绕过。

2、路径欺骗。

3、白名单机制。

关键词:

“用NetUserGetInfo这个接口从这两个方面下手的:1)以高权限和其他用户身份启动进程2)获取其他用户的注册表和用户目录 具体怎么搞就不知道啦,求大神来详解”

注入explorer.exe, DLL启动自己程序

“伪造token”

WUSA.exe

 

参考:http://net.zol.com.cn/402/4020871_all.html#p4021155

  在9月24日亚洲知名安全技术峰会SyScan上,Instruder做了《深入思考UAC背后的安全问题》演讲,据其提供的方法在当前用户权限下,绕过 UAC提示直接运行程序,并可以实现修改启动项,释放文件到系统目录等功能,而这一过程必须在用户没有任意察觉的情况下完成。作者使用的方法为利用操作系统自己的升级程序WUSA.EXE,读取释放文件,这个过程是不会触发UAC的,利用这个机制可以轻松突破UAC限制

参考:http://blog.sina.com.cn/s/blog_454378100100xu05.html

技术分享

双击运行,会显示它的使用方法:

技术分享

使用WUSA.EXE把一个MSU文件释放一下,看能否成功,实验方法如下,复制一个MSU文件到D:\TEMP目录,然后在CMD下切换目录到c: \windows\syswow64,最后运行wusa.exe d:\temp\msu.msu /extract:d:\temp 这时看到一个很快 的进度一闪而过,去D:\TEMP目录看一下是什么情况。

 可以看出文件以成功释放,这样很好,下一步继续实验,把释放目录修改一下,直接释放到系统目录WINDOWS下,看会如何表现,执行wusa.exe d:\temp\msu.msu /extract:c:\windows

结果很理想,成功释放而且没有触发UAC提示。

到目前为至我们可以考虑一些邪恶的事情了,比如释放一些木马病毒DLL劫持的文件到系统目录这样子,不会触发UAC程序,同时木马与病毒也会开机启动了,再继续向下实验吧目前思路上是没问题了,那么要考虑的是MSU文件了,这个文件看一下是有微软数字签名的。

这个我们可以通过破坏数字签名来验证一下,使用16进制编辑工具把MSU文件随便添加几个字节。清理之前释放的文件后,再运行一下进行释放检测,看下结果,非常理想。

 白名单机制:

从用户账户控制对权限进行保护的基本过程可以看到,在用户以管理员权限运行程序的 过程中,用户账户控制在向用户进行提权询问前,将会先查询本地系统中的白名单以决定是 否直接放行,因此,白名单机制是用户账户控制中的一个重要部分。用户账户控制限制着程 序使用高级权限才能进行的操作,但是,这样的机制同样也会对系统本身的程序造成影响,微软也不希望系统程序的运行也询问用户,因为 他们本身是安全的。因此,微软则在 UAC 中添加了白名单机制,即在系统中记录有一张表单,对于表单中的系统程序,将不限 制其直接提升到管理员权限。 系统中的白名单程序有多个,其中,msconfig、taskmgr、perfmon、cleanmgr 等平时常用的程序都在其中。

 直接提权:

比较常用的利用系统程序的方法是利用系统动态加载 DLL的特性,在系统中还有一份名单为 KnownDlls,当一个程序需要动态加载 DLL 的时 候,会先在这份名单之中进行查找,如果找到则加载相应路径的DLL 文件,如果没有找到则依照当前目录、 System32 目录的顺序进行查找,因此如 果能找到一个程序动态调用的 DLL 文件不在KnownDlls 中,而在 System32 下面,则可以伪造一个相应的 DLL,来实现借助其他程 序来执行需要的操作。

 在所有白名单程序中,正好有这样一个程序,即 sysprep.exe,它的位置为 System32/sysprep/,而它在启动时,会动态加载一 个 CRYPTBASE.DLL,这个 DLL 在 System32 下面,因此 sysprep.exe 会在当前目录寻找的时候加载失败,继而转 到 System32 目录查找,试着临时生成一个假的 CRYPTBASE.DLL 放在 sysprep 文件夹下,在 sysprep.exe启动 时,将加载假的 CRYPTBASE.DLL,从而执行我们需要的操作。

sysprep.exe 加载假 CRYPTBASE.DLL线程注入白名单中的程序全部都在系统目录当中,因此要把生成的假 DLL 复制到程序 目录中, 将会由于权限问题而触发 UAC,这样便失效了。因此,需要特别的方法来把假 DLL 给复制到系统目录内,并且不会触发系统的权限控制。

   这一步的操作也需要系统白名单的程序来实现,选用的程序为EXPLORER进程,首先使用远程线程的方法把DLL注入到EXPLORER进程,然后再通 过EXPLORER把CRYPTBASE.DLL复制到指定目录UAC不会提示。所有操作完成后启动sysprep.exe我们的DLL就会被加载,从而 绕过成功。但这个方法缺点也很明显,在注入EXPLORER进程时,杀毒软件已经开始关注了。

 

UAC绕过思路(未完)

标签:

原文地址:http://www.cnblogs.com/predator-wang/p/4792728.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!