首页
论坛
课程
招聘
雪    币: 2463
活跃值: 活跃值 (125)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝

[原创]一个32位程序bypass win7 - win10 UAC(x86/x64)

2016-3-19 20:06 20737

[原创]一个32位程序bypass win7 - win10 UAC(x86/x64)

2016-3-19 20:06
20737
NewUacMe
*通过Windows系统内置的AutoElevate绕过UAC的工具


系统要求
*x86/x64 Windows 7/8/8.1/10(其他服务器版本理论上也可以,暂未测试)
*UAC默认等级


用法
[COLOR="Red"]* NewUacMe 待提升权限的程序全路径[/COLOR]


PS:
该POC无需dll劫持,文件移动,释放文件,注入explorer等手法,通杀32和64位系统,以前dll劫持 的方法一般要分别针对32位和64位各一个EXE,而且还带dll,一点都不爽.

关于以前的各种绕过UAC的方法俄罗斯安全论坛kernelmode.info的黑客大神hfiref0x做了一个汇总(研究过CVE-2015-1701的,应该对hfiref0x大神不会陌生吧)编写了一个综合利用工具,我看了下,都是熟悉的代码...有兴趣童鞋的可以去看看...

其实该POC用ASM写的话几KB就可以搞定... 
具体原理剖析卸载接口的帖子里已经说的很清楚了

这里为了防止各种script kid直接F5,拿去用于恶意用途,所以加了vmp,不过强度不大,对于大神来说也不是事儿...
该工具的sha1 hash:9ACB93202A5217ADC4A1656650F026F09BEA975E

参考资料:
https://github.com/hfiref0x/UACME  (kernelmode.info安全论坛的大神hfiref0x对这些年绕过UAC进行汇总,编写的一个绕过UAC的工具)
https://technet.microsoft.com/en-us/magazine/2009.07.uac.aspx  (微软的高帅富 Mark Russinovich对UAC的机制进行的介绍)
http://www.pretentiousname.com/misc/win7_uac_whitelist2.html
https://www.blackhat.com/docs/eu-15/materials/eu-15-Pierce-Defending-Against-Malicious-Application-Compatibility-Shims-wp.pdf
http://bbs.pediy.com/showthread.php?t=206830&highlight=UAC


解压密码:pediy

[I]代码已开源(包含无需注入的方式),见https://github.com/ExpLife/ARPUninstallStringLauncherBypassUac [/I]

更进一步的分析见http://www.freebuf.com/articles/system/116611.html

[公告]看雪论坛2020激励机制上线了!多多参与讨论可以获得积分快速升级?

上传的附件:
最新回复 (33)
雪    币: 333
活跃值: 活跃值 (10)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
czcqq 活跃值 2 2016-3-19 20:57
2
0
经过测试,这东西无效了,可能相关漏洞修复了!
雪    币: 2463
活跃值: 活跃值 (125)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
安于此生 活跃值 34 2016-3-19 20:58
3
0
你什么系统? 版本号多少
雪    币: 7823
活跃值: 活跃值 (65)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
SnowRen 活跃值 2016-3-19 21:27
4
0
亲测可用,能分享源码没?
雪    币: 20
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ljjdkxxy 活跃值 2016-3-19 22:22
5
0
好,加油
雪    币: 333
活跃值: 活跃值 (10)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
czcqq 活跃值 2 2016-3-19 22:37
6
0
windows 7 sp1 64位系统 补丁是最新的,安装有360 ,并且运行时会被360发现,被发现程序有线程注入的动作,UAC等级为最高,UAC提示有一个程序调用了名为安装与删除程序的COM接口!目测本程序的原理就是注入svchost的系统服务(具体是哪个,我就不清楚了,只是目测),然后调用安装程序的COM接口,完成功能的!

总的来说本程序的实现不是很神秘!防御也不是不行!至少目前是这样看的!
雪    币: 2463
活跃值: 活跃值 (125)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
安于此生 活跃值 34 2016-3-19 22:41
7
0
我也是醉了... 这叫失效...  本贴又没讨论免杀...

看清楚要求  默认UAC等级...
雪    币: 333
活跃值: 活跃值 (10)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
czcqq 活跃值 2 2016-3-19 22:46
8
0
经过使用UAC所有等级进行测试!在默认状态下调用成功,但是进程得到的权限没有发生变化,依然是标准管理员权限!将UAC调整到最高时被发现,UAC弹出对话框!
雪    币: 2463
活跃值: 活跃值 (125)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
安于此生 活跃值 34 2016-3-19 22:53
9
0
呵呵,你到底知不知道怎么查看Elevate成功的标志呀?  
雪    币: 333
活跃值: 活跃值 (10)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
czcqq 活跃值 2 2016-3-19 23:12
10
0
经过全面测试,标准管理员权限,UAC默认等级下执行,程序能运行,但是权限没有变化,依旧是标准管理员,以标准用户登录,UAC默认的情况下,无法运行

以UAC等级最高的情况下,无论怎么运行都会被发现
并且,不管是UAC处于什么等级,都会被360发现
雪    币: 44
活跃值: 活跃值 (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
天涯何处 活跃值 2016-3-19 23:17
11
0
看大神发贴只能围观
雪    币: 2463
活跃值: 活跃值 (125)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
安于此生 活跃值 34 2016-3-19 23:20
12
0
,UAC的相关文章你看过没有
雪    币: 333
活跃值: 活跃值 (10)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
czcqq 活跃值 2 2016-3-20 00:10
13
0
看过一些,也看过MSDN,奈何英语水平有限,看MSDN不是很懂
雪    币: 142
能力值: (RANK:290 )
在线值:
发帖
回帖
粉丝
viphack 活跃值 4 2016-3-20 03:14
14
0
楼上我只想呵呵 不想多说
雪    币: 121
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yybdanny 活跃值 2016-3-20 06:22
15
0
加油,能绕过游戏驱动保护吗?
雪    币: 216
活跃值: 活跃值 (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dayang 活跃值 2016-3-20 08:59
16
0
LZ说的过UAC只是默认等级的UAC,还有没考虑第3方HIPS下的.
别太较真
雪    币: 60
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
white、、 活跃值 2016-3-20 11:58
17
0
厉害,测试成功获得管理员权限。
雪    币: 136
活跃值: 活跃值 (46)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
靴子 活跃值 2016-3-20 14:12
18
0
Mark@!
雪    币: 5
活跃值: 活跃值 (18)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
影子不寂寞 活跃值 2016-3-20 15:29
19
0
谢谢楼主分享技术贴
雪    币: 220
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dico 活跃值 2016-3-20 21:24
20
0
加个这么猛的壳,我等新手如何是好
雪    币: 6
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
风流花月 活跃值 2016-4-19 10:39
21
0
多谢,uac就跟着安大神学了
雪    币: 21
活跃值: 活跃值 (26)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
gudubuku 活跃值 2016-7-31 19:37
22
0
感谢安神分享的工具和资料 终于和楼主一样实现单exe过UAC了
雪    币: 1199
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ielts 活跃值 2016-10-30 09:29
23
0
好,加油
雪    币: 106
活跃值: 活跃值 (63)
能力值: ( LV11,RANK:195 )
在线值:
发帖
回帖
粉丝
破解pj 活跃值 1 2017-3-9 17:07
24
0
大牛 那一段shellcode 啥意思
雪    币: 267
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
Henry工程师 活跃值 2017-5-24 22:19
25
0
兄弟姐妹们哪位高人可以帮我研究一些问题
雪    币: 267
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
Henry工程师 活跃值 2017-5-24 22:47
26
0
雪    币: 5616
活跃值: 活跃值 (33)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
kingswb 活跃值 2017-5-28 18:33
27
0
围观
雪    币: 243
活跃值: 活跃值 (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
swling 活跃值 2017-5-31 17:59
28
0
不知大神可否留个联系方式,有个样本不知大神是否感兴趣
雪    币: 3
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
猫捉老虎 活跃值 2017-6-29 16:07
29
0
shellcode  才是重点 
雪    币: 4812
活跃值: 活跃值 (124)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
王cb 活跃值 5 2017-7-8 01:50
30
0
能在webshell下运行嘛
雪    币: 161
活跃值: 活跃值 (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
gaomingwei 活跃值 2018-7-10 20:06
33
0
在Win10 17134版本已经不行了,卸载接口好像不在微软的白名单里了!
雪    币: 2717
活跃值: 活跃值 (68)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
coolsnake 活跃值 2018-8-11 20:28
34
0
厉害了我的国
雪    币: 1843
活跃值: 活跃值 (31)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
VirtualCC 活跃值 2018-11-20 20:14
35
0
大大的内核视频什么时候续播呀,好喜欢的
雪    币: 478
活跃值: 活跃值 (19)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
嵩山石 活跃值 2019-12-7 22:00
36
0
mark走起
游客
登录 | 注册 方可回帖
返回