欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

详解Bypass UAC过程当中踩过的坑(第一局部)

de64384a174e12dc2020-06-2476新闻

我如今正在实验对Chrome沙盒停止一些革新。而作为个中的一局部,我如今正在对我的沙盒进击Surface 剖析工具停止更新,由于我想权衡我对Chrome做的事变是不是具有现实的平安性。但事实上当我在停止这一切时,我一向躲不开绕过UAC的贫苦,这就致使历程涌现了题目。以是为了特地演示下我之前在UAC绕过的博文中所讲的,我决议将这一切再来一次。当我完成这一切的时刻,我将运用最新版本的NtObjectManager  Powershell模块来显现一些演示文稿。

在我最先之前,我必需处理/议论关于UAC绕过的“fileless”符号。我之前的博客文章说这是一个fileless绕过,然则我依然须要写入注册表(由文件支撑),固然另有一些可实行文件依然须要运转(这在某些时刻被页面支撑)文件)等。基本上一切的fileless绕过都意味着它将不依赖于旧的IFileOperation技能来挟制一个DLL。但这其实不意味着某个文件不会在某个中央停在磁盘上,我想这更像是DFIR如许的术语。

一个新鲜的设想决议计划

当微软正在设想UAC时,可以或许就有窥探者应用分歧的进击领导来增加一般用户晋级到***的时机。比方,运用UIPI加重了Shatter进击(和一样平常UI驱动)。经由历程使***历程仅运用HKLM停止COM注册(不是迥殊成功地增加)来减缓COM DLL莳植。运用强制性完整性标签来加重用户资本的滥用,以防备从低到高的写接见。

或许UAC有一个超等平安版UAC开辟,但贫苦的是它可以或许曾经弗成用了。以是无疑个中很多平安看法放松了。迥殊使人感兴趣的是,非***用户可以或许在统一台桌面中查询有关***历程的一些弗成否认的无限的历程信息。这可以或许会致使我们将看到异常使人惊奇的影响。

那末一般应用程序取得若干接见权限?经由历程运转以下PS剧本作为一般的支解令牌治理用户,我们可以或许很容易地回覆。

1496079987852550.png 详解Bypass UAC过程当中踩过的坑(第一局部)  新闻 第1张 1496079987852550.png 详解Bypass UAC过程当中踩过的坑(第一局部)  新闻 第1张

这应该会致使MMC降低,并将以下打印到PS掌握台:

1496080037315125.png 详解Bypass UAC过程当中踩过的坑(第一局部)  新闻 第3张 1496080037315125.png 详解Bypass UAC过程当中踩过的坑(第一局部)  新闻 第3张

以是它显现我们有3个接见权限,Terminate,QueryLimitedInformation 和Synchronize。如许做是有原理的,究竟结果若是你没法在桌面上杀死历程,或许守候他们完成,或许取得他们的名字,那末这将是一种痛楚。恰是在这一点上,第一个UAC设想决议计划发挥作用,存在一个一般的QueryInformation历程接见权限,然则运用该接见权限存在一个题目,而这违反了强制性标签战略(我将引用它)作为IL政策从如今最先)和它如安在流程上实行。IL战略 的目标是指定哪一个通用接见权限,读取,写入和实行低IL用户可以或许猎取资本。这是许可的最大接见权限,IL战略自身不会授与接见权限。用户依然须要在DACL中取得恰当的接见权限。因而,比方,若是战略许可较低的IL历程猎取读取和实行但不写入(这是大多数资本的默许值),那末若是用户请求写接见权限,内核接见搜检将在以至检察之前前往接见被谢绝在DACL。以是我们来看一下历程工具的IL战略和通用接见权限:

1496080071899859.png 详解Bypass UAC过程当中踩过的坑(第一局部)  新闻 第5张 1496080071899859.png 详解Bypass UAC过程当中踩过的坑(第一局部)  新闻 第5张

----------------------------------------------

申博|网络安全巴士站【https://www.bus123.net/】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

----------------------------------------------

如许将会致使以下输入:

1496080123469150.png 详解Bypass UAC过程当中踩过的坑(第一局部)  新闻 第7张 1496080123469150.png 详解Bypass UAC过程当中踩过的坑(第一局部)  新闻 第7张

历程的默许战略是不许可较低的IL用户读或写,以是他们可以或许具有的是实行接见,我们可以或许看到,我们具有这一点。然则请注意,QueryInformation是一个读接见权限,将被默许的IL战略阻挠。因而,我们没法赋予读取接见权限,由于我们不愿望让读者轻松读取特定历程的内存,以是让我们建立一个新的接见权限,QueryLimitedInformation将被分配给实行和只是将一些信息查询转移到新的权限“。

在Vista及以上版本上也值得一提的是,您没法猎取QueryInformation接见权限,也不会隐式地具有QueryLimitedInformation,以是MS以为充足的话可以或许诳骗而不是其余器械。(为读者头脑:为何我们不克不及取得ReadControl接见权限?) 固然,您依然须要可以或许在DACL中接见这些接见权限,特权历程怎样能力完成这些接见?历程的默许平安性来自接见令牌内的默许DACL,用作新历程的主令牌,我们在一般用户PS掌握台和晋级的PS掌握台中运用以下剧本转储默许DACL:

1496080172315241.png 详解Bypass UAC过程当中踩过的坑(第一局部)  新闻 第9张 1496080172315241.png 详解Bypass UAC过程当中踩过的坑(第一局部)  新闻 第9张

一般用户的输入以下:

1496080192560987.png 详解Bypass UAC过程当中踩过的坑(第一局部)  新闻 第11张 1496080192560987.png 详解Bypass UAC过程当中踩过的坑(第一局部)  新闻 第11张

***的输入以下:

1496080208555888.png 详解Bypass UAC过程当中踩过的坑(第一局部)  新闻 第13张 1496080208555888.png 详解Bypass UAC过程当中踩过的坑(第一局部)  新闻 第13张

一旦这个主要的点被凸起显现,而治理DACL却不许可一般的用户接见,这个猎奇的LogonSessionId用户就可以或许读取和实行接见。因而,这好像多是给我们实行接见权限(由于读取将被IL战略过滤)。我们可以或许经由历程转储一般用户在其令牌中具有的组来证实这一点:

1496080232745432.png 详解Bypass UAC过程当中踩过的坑(第一局部)  新闻 第15张 1496080232745432.png 详解Bypass UAC过程当中踩过的坑(第一局部)  新闻 第15张

是的,我们有该组,而且启用了。而如许明显就处理了为何我们可以或许失掉实行接见的答案。这是一个明白的设想决议,微软是愿望可以或许使得如许一个一般用户可以或许取得肯定水平的接见晋级历程。固然在这一点上,你还会想甚么呢?你可以或许从一个历程中读取一些基本信息,怎样读出是个题目?详见这个系列的第2局部。

本文翻译自:https://tyranidslair.blogspot.co.uk/2017/05/reading-your-way-around-uac-part-1.html ,如若转载,请说明来源于嘶吼: http://www.4hou.com/info/news/5070.html

网友评论

1条评论
  • 2020-06-24 00:00:29

    欧博网址www.goldo.cn欢迎进入欧博网址(Allbet Gaming),欧博网址开放会员注册、代理开户、电脑客户端下载、苹果安卓下载等业务。你会红的