Event Viewe(事件查看器)旁路绕过UAC

前言

用户帐户控制是由Microsoft开发的,以便限制未经授权的应用程序以管理员权限执行,除非管理员提供他的密码以允许提升。在渗透测试中,这意味着使用UAC可以通过Meterpreter来Prevents特权升级。

uac-prevents-privilege-escalation

UAC Prevents特权升级

Matt Nelson 在他的博客中发现并解释说,可以通过劫持注册表项滥用本机Windows服务(如事件查看器)来绕过UAC。这可以通过事件查看器(eventvwr.exe)的进程作为high integrity级别运行,并且事件查看器是通过Microsoft管理控制台的注册表加载的。

操作细节

在较新版本的Windows(Vista和更高版本)中,进程在三个不同的integrity级别运行。这三个级别确定进程正在运行的权限:

  • High // Administrator权限
  • Medium // Standard User权限
  • 低//限制(Low // Restricted)

Process Explorer可用于确定进程的integrity级别。当事件查看器运行时,可以通过检查Windows进程来识别两件事情:

  • 事件查看器通过Microsoft管理控制台(mmc.exe)加载
  • 事件查看器作为High Integrity进程运行

2

事件查看器进程 – High Integrity

具体来说,当eventvwr.exe执行时,在系统里面工作的是它试图在这两个注册表位置找到mmc.exe

  • HKCU\Software\Classes\mscfile\shell\open\command
  • HKCR\mscfile\shell\open\command

第一个注册表位置不存在,所以mmc.exe从第二个位置执行,然后加载eventvwr.msc文件,向用户显示信息。

3

MMC和事件查看器

因此,攻击者可以创建不存在的注册表位置,来使用这种方式执行用户帐户控制(UAC)的High ntegrity级别旁路执行进程。

4

事件查看器CMD权限提升

当执行eventvwr.exe时,命令提示符将被直接打开而不需要从UAC提升。

5

事件查看器绕过UAC旁路

这种技术被认为是非常隐蔽的,因为它不会触及磁盘,并且它不进行任何进程注入,避免了被防病毒或监视进程行为的安全解决方案发现的风险。

但是,为了获得适当的Meterpreter会话,我们要使用Meterpreter通过getsystem命令的一种技术来提升特权,也可以使用恶意和不可检测的有效负载,而不是命令提示符。

66

自定义有效载荷 – 注册表

Process Explorer可以验证pentestlab3.exe进程的integrity级别,该进程再次high运行:

7

pentestlab3 – 作为High Integrity Process运行

Metasploit模块处理程序将捕获升级的Meterpreter会话,从而可以获得权限升级,因为用户帐户控制已被绕过。

9

Pentestlab3 – 提权Meterpreter

Metasploit

或者你也可以使用Metasploit模块自动执行此过程,返回特权的Meterpreter会话。

exploit/windows/local/bypassuac_eventvwr

8

Metasploit – 事件查看器逃过UAC旁路

参考

  1. “Fileless” UAC Bypass Using eventvwr.exe and Registry Hijacking
  2. https://github.com/enigma0x3/Misc-PowerShell-Stuff/blob/master/Invoke-EventVwrBypass.ps1
  3. https://www.rapid7.com/db/modules/exploit/windows/local/bypassuac_eventvwr
  4. https://www.mdsec.co.uk/2016/12/cna-eventvwr-uac-bypass/
  5. https://github.com/mdsecresearch/Publications/blob/master/tools/redteam/cna/eventvwr.cna

 

*作者:netbiosX,转载请注明来自MottoIN

原创文章,作者:Stbird,如若转载,请注明出处:http://www.mottoin.com/101733.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code