UAC绕过

最新推荐文章于 2025-04-26 10:58:21 发布
最新推荐文章于 2025-04-26 10:58:21 发布
阅读量956 收藏 14
点赞数 19
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_67840381/article/details/144270162
版权

一、什么是UAC

UAC(用户账户控制)是微软自windows7以及后续windows系统中引入的一种访问控制功能(之后几乎所有Windows版本都包含了UAC)。UAC的主要目的是确保应用程序只限于标准用户权限,当需要其他权限时,会弹框提示询问 “是否允许以下程序对此计算机进行更改?”,举个小例子,当我们每次安装新软件的时候,都会弹出一个对话框,询问我们是否允许此程序对计算机进行更改

二、UAC的工作流程

如图:

从图上我们可以看到,如果要获得管理员权限,可以通过以下路径:

  1. 进程已经拥有管理员权限控制;
  2. 进程被用户允许通过管理员权限运行
  3. 未开启UAC

三·UAC绕过

1.白名单程序绕过

参考连接:Bypass-UAC(用户帐户控制)的那些事-腾讯云开发者社区-腾讯云

找白名单程序脚本学习连接:https://blog.youkuaiyun.com/2301_80520893/article/details/135913174

有些系统程序是直接获取管理员权限,而不会触发UAC弹框,这类程序称为白名单程序,例如:slui.exe、wusa.exe、taskmgr.exe、msra.exe、eudcedit.exe、eventvwr.exe、CompMgmtLauncher.exe,rundll32.exe,explorer.exe等等。常见的利用方式有:

DLL注入(RDI技术),一般注入到常驻内存的可信进程,如:explorer DLL劫持,常和注册表配合使用达到劫持目的

DLL劫持

exe文件运行时会加载许多dll文件,这些dll文件的加载顺序是

程序所在目录 系统目录即SYSTEM32目录 16位系统目录即SYSTEM目录PATH环境变量中列出的目录 同时,dll加载也遵循着Know DLLs注册表项的机制:Know DLLs注册表项指定的DLL是已经被操作系统加载过后的DLL,不会被应用程序搜索并加载。在注册表 Windows目录 程序加载目录(SetCurrentDirecctory) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLS处可以看见这些dll

  • 1·KnownDLLs 注册表项(优先从缓存加载)
  • 2·程序加载目录
  • 3·系统目录 (System32)
  • 4·16 位系统目录 (System)
  • 5·PATH 环境变量中的目录

在knowdlls表项中的dll是预先就加载进内存空间的,被诸多应用调用着,改动需要高权限。

如果我们在应用程序找到正确的dll之前,将我们自己创造的dll放入优先级更高的搜索目录让应用程序优先加载此dll文件,这就造成了dll劫持。但这只是dll劫持的其中一种途径,他有这些途径:

(1) DLL替换:用恶意的DLL替换掉合法的DLL

(2) DLL搜索顺序劫持:当应用程序加载DLL的时候,如果没有带指定DLL的路径,那么程序将会以特定的顺序依次在指定的路径下搜索待加载的DLL。通过将恶意DLL放在真实DLL之前的搜索位置,就可以劫持搜索顺序,劫持的目录有时候包括目标应用程序的工作目录。(3) 虚拟DLL劫持:释放一个恶意的DLL来代替合法应用程序加载的丢失/不存在的DLL(4) DLL重定向:更改DLL搜索的路径,比如通过编辑%PATH%环境变量或 .exe.manifest/.exe.local文件以将搜索路径定位到包含恶意DLL的地方。

(5) WinSxS DLL替换:将目标DLL相关的WinSxS文件夹中的恶意DLL替换为合法的DLL。此方法通常也被称为DLL侧加载

(6) 相对路径DLL劫持:将合法的应用程序复制(并有选择地重命名)与恶意的DLL一起放入到用户可写的文件夹中。在使用方法上,它与(签名的)二进制代理执行有相似之处。它的一个变体是(有点矛盾地称为)“自带LOLbin”,其中合法的应用程序带有恶意的DLL(而不是从受害者机器上的合法位置复制)。

. DLL 替换:

  • 位置:直接替换目标 DLL 的真实路径(通常是在 System32、应用程序目录等)。
  • 劫持点:当合法的 DLL 被恶意 DLL 替换时,操作系统在执行正常的 DLL 搜索路径时,将加载恶意 DLL。该过程通常在 System32 或应用程序目录下进行。

2. DLL 搜索顺序劫持:

  • 位置:应用程序目录或其他优先于合法 DLL 所在路径的位置。
  • 劫持点:此攻击利用了应用程序加载 DLL 时,未指定 DLL 完整路径的特性。通过将恶意 DLL 放在优先于合法 DLL 的搜索路径中(如应用程序目录),它会在搜索到合法 DLL 之前加载恶意 DLL。搜索顺序中,应用程序目录和当前工作目录通常位于前列,因此容易被劫持。
  • 3. 虚拟 DLL 劫持:
  • 位置:应用程序期望的 DLL 路径中,但该 DLL 丢失或不存在。
  • 劫持点:当应用程序试图加载一个不存在的 DLL,恶意 DLL 会被放置在搜索路径的一个优先位置,如应用程序目录或系统目录,来代替合法 DLL 被加载。这通常在搜索顺序的第一步(应用程序目录)进行。
  • 4. DLL 重定向:
  • 位置:通过更改环境变量(如 %PATH%)或使用 .manifest 文件、.local 文件重定向 DLL 加载路径。
  • 劫持点:通过修改 DLL 搜索路径,使得系统从恶意的目录中加载 DLL。这可以发生在路径中的任何步骤,具体取决于如何配置重定向。例如,通过修改 %PATH% 环境变量,恶意目录会被插入到 DLL 搜索路径的前面。
  • 5. WinSxS DLL 替换(Side-loading,DLL 侧加载):
  • 位置:WinSxS(Windows Side-by-Side)文件夹中,Windows 用来管理不同版本的 DLL。
  • 劫持点:通过替换 WinSxS 文件夹中的合法 DLL 为恶意 DLL,系统将加载恶意的版本,而不是合法的版本。这个步骤通常依赖于 WinSxS 机制,而不是传统的 DLL 搜索顺序。
  • 6. 相对路径 DLL 劫持:
  • 位置:用户可写的文件夹,通常是应用程序所在的目录或某些可写目录。
  • 劫持点:通过将合法的应用程序与恶意的 DLL 放在同一文件夹中(特别是在用户可写的文件夹中),当应用程序加载 DLL 时,恶意 DLL 被优先加载。这种攻击利用了应用程序的相对路径加载机制,通常会在应用程序目录或工作目录中进行。

2.伪装进程PEB绕过UAC

上面在利用COM接口的ShellExec执行命令的时候,因为执行该操作的进程身份是不可信的,所以会触发UAC弹窗。为了能够迷惑系统,通过修改PEB结构,让系统误认为这是一个可信进程,伪装的可信进程可以是calc.exe、rundll32.exe、explorer.exe等。

四.防御和缓解措施:

  1. 启用 UAC 并使用推荐设置:确保 UAC 处于开启状态,并且设置为“总是通知”,这样即使是 autoElevate 程序也会需要用户确认。
  2. 使用 AppLocker 或 Windows Defender Application Control (WDAC):限制不受信任的程序或 DLL 加载,减少被恶意利用的可能性。
  3. 保持系统和软件更新:许多 UAC 绕过技术依赖于系统漏洞,及时打补丁可以修复这些漏洞。
  4. 限制用户权限:避免给普通用户分配管理员权限,尽量使用标准用户账户进行日常操作。
  5. 监控可疑的计划任务:定期检查任务计划程序中的任务,查看是否有未经授权的高权限任务。

补充:

autoElevate属性这个属性是什么

在 Windows 系统中,autoElevate 属性是与用户账户控制(UAC)相关的一个设置。它主要用于系统内的某些特定程序,使它们在执行时自动获得管理员权限,而不弹出 UAC 提示框。这些程序被称为“白名单程序”。

具体来说,autoElevate 属性存在于程序的清单文件(manifest)中,该清单文件包含了程序的执行配置。autoElevate 属性的值为 True 时,意味着该程序在启动时会自动以管理员身份运行,并且不会向用户展示 UAC 弹窗。

工作机制:

  • autoElevate=True:程序在启动时会自动静默提升权限,不弹出 UAC 提示。
  • autoElevate=False 或未设置:程序正常运行,如果需要提升权限,系统会弹出 UAC 提示,要求用户确认。

例子:

一些 Windows 自带的系统程序如 taskmgr.exe(任务管理器)和 eventvwr.exe(事件查看器)是白名单程序,它们通常拥有 autoElevate=True 的属性,因此不需要用户手动确认权限提升。

PEB

Know DLLs注册表项的机制

KnownDLLs 注册表项是 Windows 操作系统中的一个机制,用来指定一些系统核心的 DLL 文件,并优化这些 DLL 的加载方式。通过 KnownDLLs,操作系统可以确保这些 DLL 文件是从系统目录中加载的,并避免重复加载多个副本,从而节省内存和提高效率。

KnownDLLs 的作用:

当应用程序请求加载 DLL 时,Windows 操作系统会首先检查 KnownDLLs 列表中的内容。如果该 DLL 存在于 KnownDLLs 中,系统会直接从预先加载的内存区域中提供它,而不需要从磁盘上重新加载。这种机制大幅提升了常用 DLL 文件的加载速度,并防止恶意或不正确的 DLL 文件替换系统核心的 DLL 文件。

KnownDLLs 的注册表路径:

KnownDLLs 列表存储在以下注册表路径中:

mathematica  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs

在这个路径下,注册表项列出了系统认为“已知”的 DLL 文件名,Windows 会优先从系统目录加载这些 DLL,而不考虑应用程序或其他位置的相同文件名。

例如,在典型的 KnownDLLs 注册表中,可以看到一些系统核心的 DLL 文件:

  • kernel32.dll
  • user32.dll
  • gdi32.dll
  • ntdll.dll

这些 DLL 是 Windows 系统的核心组件,几乎所有应用程序都会使用到它们。通过 KnownDLLs 机制,操作系统可以优化这些常用 DLL 的加载和管理。

KnownDLLs 机制的具体工作方式:

  1. DLL 加载流程
  2. 2.DLL 优先级
  3. 共享内存机制

KnownDLLs 的用途:

  1. 提高性能

常用 DLL 文件通过 KnownDLLs 机制直接从共享内存区域加载,减少了磁盘访问和重复加载的开销,提升了性能。

  1. 安全性

通过优先加载 KnownDLLs 中的 DLL,操作系统可以防止某些 DLL 劫持攻击。应用程序无法覆盖或替换这些关键的系统 DLL,降低了系统受到恶意软件攻击的风险。

  1. 内存优化

通过共享常用 DLL 的内存副本,多个进程可以同时使用同一份 DLL,而不需要为每个进程加载独立的副本,从而节省了内存。

如何修改 KnownDLLs:

虽然可以通过注册表编辑器手动修改 KnownDLLs 项,但这种操作风险较高,通常不建议进行修改。错误的修改可能会导致系统无法正常加载关键的 DLL,进而引发系统崩溃或严重的稳定性问题。

  • 修改 KnownDLLs 通常只应由系统管理员或高级用户进行,并且在修改前需要做好备份。
  • 在某些情况下,恶意软件可能试图修改 KnownDLLs 来操纵系统的 DLL 加载行为,因此监控这些注册表项的完整性对安全管理至关重要。
白云间丶
关注
Windows提权笔记-UAC绕过详解
墨痕诉清风的博客
03-12 591
用户帐户控制(UAC)是Microsoft在Windows Vista和Windows Server 2008中引入的访问控制系统。尽管UAC已经被讨论和调查了很长时间,但必须强调的是,微软并不认为它是一个安全边界。相反,UAC强制应用程序和任务在非管理帐户的上下文中运行,直到管理员授权提升的访问权限。它将阻止安装程序和未经授权的应用程序在没有管理帐户权限的情况下运行,并阻止对系统设置的更改。通常,UAC的效果是,任何希望执行具有潜在系统范围影响的操作的应用程序都不能默默地执行。至少在理论上是这样。
windows UAC绕过原理
lizfs_csdn的博客
04-22 444
1.什么是UAC? 用户账户控制,User Account Control 首先我们看一下程序启动后,UAC的流程图: 如果关闭UAC,则程序会提权运行。 Privilege Contents: 如果启动了UAC,程序要求提权运行或者以管理员身份运行的时候,System会启动Consent.exe进程。 在UAC开启的情况下,即使用户选择否,也会开启UAC虚拟化:1.UAC虚拟化后,应用程序会重定向到其他位置,用户依然可以正常使用程序,但应用程序写入的数据不会在真实系统生效,以防
可以绕过 Windows UAC
langshanglibie的专栏
01-31 1902
Windows 系统安全机制并非固若金汤。通过 COM 提升名称方法,程序可以绕过其核心安全机制 UAC 而获取到系统管理员权限。
11月1日笔记(UAC绕过)
m0_74736832的博客
11-01 550
用户账户控制(User Account Control,UAC)是 Windows 操作系统采用的一种控制机制,可以阻止自动安装未经授权的应用并防止意外更改系统设置,有助于防止恶意软件损坏计算机。用户账户控制使应用程序和任务始终在非管理员账户的安全上下文中运行,除非管理员专门授予管理员级别的权限。开启用户账户控制后,每个需要使用管理员访问令牌的应用都必须提示征得用户同意.当非 RID 500的管理员用户登录后,系统会为其创建两个单独的访问令牌:标准用户访问令牌和管理员访问令牌。
网络安全详解——上
最新发布
weixin_43484713的博客
04-26 1091
网络安全(Network Security)指通过技术手段和管理措施保护计算机网络系统中的硬件、软件及数据不受偶然或恶意破坏、更改、泄露,确保系统连续可靠运行,网络服务不中断。信息安全标准与法规是指由国家、行业或国际组织制定的一系列规范性文件,旨在确保信息系统和数据的安全性、完整性和可用性。它们为组织和个人提供了明确的安全要求和行为准则,是网络安全治理的重要组成部分。网络拓扑选择需权衡性能与安全,现代网络常采用分层混合拓扑(如核心-汇聚-接入),并辅以纵深防御策略(如网络分区分级保护)。
绕过UAC提权
谢公子的博客
02-14 8311
UAC UAC(User Account Control,用户账号控制)是微软为了提高系统安全性在Windows Vista中引入的技术。UAC要求用户在执行可能影响计算机运行的操作或在进行可能影响其他用户的设置之前,拥有相应的权限或者管理员密码。UAC在操作启动前对用户身份进行验证,以避免恶意软件和间谍软件在未经许可的情况下在计算机上进行安装操作或者对计算机设置进行更改。在Windows Vi...
Win7下绕过UAC代码
12-07
LRESULT CALLBACK WndProc(HWND, UINT, WPARAM, LPARAM); void RefreshProcs(HWND hWnd); int APIENTRY _tWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine, int nCmdShow) { g_hInstance = hInstance; UNREFERENCED_PARAMETER(hPrevInstance); UNREFERENCED_PARAMETER(lpCmdLine); // Init base Windows services etc. { INITCOMMONCONTROLSEX icce = {0}; icce.dwSize = sizeof(icce); icce.dwICC = ICC_STANDARD_CLASSES; if (!InitCommonControlsEx(&icce)) { MessageBox(NULL, L"InitCommonControlsEx failed", L"Win7Elevate", MB_OK | MB_ICONERROR); return 0; }
UAC学习之路
weixin_42282189的博客
12-31 773
作者: Crlt_TT豆 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 什么是uacUAC 用于允许管理员用户不对每个执行的进程授予管理员权限这是作为管理员UAC提升执行,如果成功完成,特权令牌用于创建进程。 这里为了区分低权限高权限的进程,微软使用了强制性完整性控制MIC MIC介绍 查看自己当前的完整性级别 whoami /groups 接下来我们以该级别创建一个文件 现在我们以管理员cmd给予test.txt最高的系统权限 可以看见我们对该文件是有.
Windows 提权-UAC 绕过
weixin_55010563的博客
03-03 767
注:低/中/高完整性 shell 之间的区别,以图形化界面用户启动 cmd.exe 程序为例,普通用户直接启动就算作是低完整性 shell 吧,管理员组的用户直接启动为中完整性 shell,管理员组的用户右键“以管理员身份运行”启动为高完整性 shell。似乎只有管理员组的账户才有这种在身份不变的情况下 shell 权限能由中转高完整性的说法,而以普通用户和系统用户得到的 shell 一般就已经是其自身身份的完整权限了,不过具有 SeBackupPrivilege 特权的普通域用户好像例外,如此例。
UAC
N的专栏
11-30 657
UAC(User Account Control,用户帐户控制)是微软为提高系统安全而在Windows Vista中引入的新技术,它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前,提供权限或管理员‌密码。通过在这些操作启动前对其进行验证,UAC 可以帮助防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改。 当需要权限或密码才能完成任务
UAC绕过思路(未完)
weixin_30788731的博客
09-08 407
---恢复内容开始--- What is UAC? 程序启动后,UAC的流程图: 如果关闭UAC,则程序会提权运行。 Privilege Contents: 参考:https://msdn.microsoft.com/en-us/library/windows/desktop/bb530716%28v=vs.85%29.aspx?f=255&MSPPError=...
UAC绕过工具Sigcheck、Strings
11-17
标题中的“UAC绕过工具Sigcheck、Strings”是指在信息技术领域中,两个被用于特殊目的的实用程序,即Sigcheck和Strings,它们有时可能被安全研究人员或恶意软件分析员利用来规避操作系统的用户账户控制(User ...
64位下绕过UAC源代码
04-28
64位下绕过UAC源代码,32位下可以自己调整工程设置
WinPwnage:UAC绕过,提升,持久性方法
02-24
免责声明 ...main.py --scan uac main.py --scan persist main.py --scan elevate 扫描可能的UAC方法时的示例结果 Id: Type: Compatible: Description: ---- ------ ----------- ------------- 1 U
网络安全实训十(Windows提权、UAC绕过、Linux利用suid提权)
Wrop的博客
09-12 1273
Windows提权、UAC绕过、Linux利用suid提权
DccwBypassUAC - Windows 8.1和10 UAC绕过dccw exe中的WinSxS
我的学习笔记
02-28 942
参考:https://github.com/L3cr0f/DccwBypassUAC这种漏洞利用“WinSxS”由“dccw.exe”通过衍生Leo的Davidson“Bypass UAC”方法管理,以获得管理员shell而不提示同意。它支持“x86”和“x64”体系结构。此外,它已经在Windows 8.1 9600,Windows 10 14393,...
UAC 实现原理及绕过方法
子曰小玖的博客
08-14 3502
0x00 UAC 工作流程 UAC 是微软在 Windows Vista 以后版本引入的一种安全机制, 通过 UAC,应用程序和任务可始终在非管理员帐户的安全上下文中运行,除非管理员特别授予管理员级别的系统访问权限。UAC 可以阻止未经授权的应用程序自动进行安装,并防止无意中更改系统设置。 https://msdn.microsoft.com/en-us/library/bb384608.aspx 从图上可以看到,如果要获取管理员权限,通过的路径有以下几条: 1,进程已经拥有管理权限控制; 2
关于父进程和子进程的关系(UAC 绕过思路)
weixin_34288121的博客
04-14 985
      表面上看。在windows中。假设是a进程创建了b进程,那么a进程就是b进程的父进程。反之,假设是b创建了a,那么b进程就是a的父进程,这是在windows出现以来一直是程序员们都证实的,可是在在win Vista后面有了一个新安全消息机制。UAC(user account control),这里科普下UAC的功能,事实上UAC就是大家常见的安装软件或者启动程序的时候的出现的全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值