Eventvwr无文件UAC绕过在Cobalt Strike 中的实现

uac-prompt-windows-10

前言

Matt Nelson最近发布了一个非常有用的文件,使用事件查看器Bypass UAC 的Metasploit模块。在此之后,我们决定在Cobalt Strike 中以CNA脚本的形式实现。Cobalt Strike当前默认的UAC Bypass需要DLL劫持并需要将DLL写入磁盘中。如下所示:

beacon> bypassuac
[*] Tasked beacon to spawn windows/beacon_smb/bind_pipe (127.0.0.1:6667) in a high integrity process
[+] host called home, sent: 111759 bytes
[+] received output:
[*] Wrote hijack DLL to 'C:\Users\vysec\AppData\Local\Temp\0a80.dll'
[+] Privileged file copy success! C:\WINDOWS\System32\NTWDBLIB.dll
[+] C:\WINDOWS\System32\cliconfg.exe ran and exited.
[*] Cleanup successful

简介

Bypassuac-eventvwr作为一种易于使用eventvwr Bypass UAC的技术。这种方法不需要写入磁盘,因此安全防护软件也不会告警。

CNA脚本会执行以下操作:

  • 写入注册表路径劫持
  • 执行eventvwr.exe
  • eventvwr.exe执行时劫持
  • 针对中小企业使用新的beacon技术
  • 删除注册表路径劫持
  • 高级beacon技术

使用示例

eventvwr-file

模块演示

Bypassuac-eventvwr

https://github.com/mdsecresearch/Publications/blob/master/tools/redteam/cna/eventvwr.cna

 

*转载请注明来自MottoIN

原创文章,作者:Moto,如若转载,请注明出处:http://www.mottoin.com/article/system/93433.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code