• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

UAC. Методы обхода и получения админских прав

Balabol

Well-known member
24.06.2020
92
0
BIT
0
Встал вопрос об обходе админки на windows. Хотелось-бы узнать: какие есть на данный момент актуальные методы получения и обхода UAC.
Желательно: чтобы можно было реализовать на c#
 

Petro Goninec

Заблокирован
21.06.2020
15
0
BIT
0
О каком конкретном действии идет речь? Типа установить драйвер, удалить файл, изменить запись в реестре и тд. из под гостя. Всегда актуальный способ - подбери пароль админа через удаленное управление :)
 

Balabol

Well-known member
24.06.2020
92
0
BIT
0
О каком конкретном действии идет речь? Типа установить драйвер, удалить файл, изменить запись в реестре и тд. из под гостя. Всегда актуальный способ - подбери пароль админа через удаленное управление :)
Цель: получить как можно больше прав при минимальном палеве
 

morgot

Green Team
25.07.2018
74
35
BIT
2
только понять-бы: как этим всем пользоваться)
Там же есть исходные коды всех примеров. В основном эти обходы базируются на работе с СОМ + вызовы WinApi. В шарпе, насколько мне известно, работа с COM проще чем на тех же плюсах.
Если не знаете как, то изучите технологию СОМ, что это, как работать с другими объектами, методы, и т.д., а потом переписывайте примеры . Там нет ничего сложного , не надо самому ничего реверсить, просто взять и переделать. Естественно, нужно иметь базовые понятия о винде.

Если опыта очень мало, то не заморачивайтесь обходами юак, а изучайте что-то попроще, а все эти викс техники потом.
 

Balabol

Well-known member
24.06.2020
92
0
BIT
0
Там же есть исходные коды всех примеров. В основном эти обходы базируются на работе с СОМ + вызовы WinApi. В шарпе, насколько мне известно, работа с COM проще чем на тех же плюсах.
Если не знаете как, то изучите технологию СОМ, что это, как работать с другими объектами, методы, и т.д., а потом переписывайте примеры . Там нет ничего сложного , не надо самому ничего реверсить, просто взять и переделать. Естественно, нужно иметь базовые понятия о винде.

Если опыта очень мало, то не заморачивайтесь обходами юак, а изучайте что-то попроще, а все эти викс техники потом.
спасибо. будем изучать

Там же есть исходные коды всех примеров. В основном эти обходы базируются на работе с СОМ + вызовы WinApi. В шарпе, насколько мне известно, работа с COM проще чем на тех же плюсах.
Если не знаете как, то изучите технологию СОМ, что это, как работать с другими объектами, методы, и т.д., а потом переписывайте примеры . Там нет ничего сложного , не надо самому ничего реверсить, просто взять и переделать. Естественно, нужно иметь базовые понятия о винде.

Если опыта очень мало, то не заморачивайтесь обходами юак, а изучайте что-то попроще, а все эти викс техники потом.
если не ошибаюсь: это как-то связано с [Dll import] и тому подобное?
 

morgot

Green Team
25.07.2018
74
35
BIT
2
Я не знаю сишарп, поэтому не подскажу. Почитайте какую-то статью/книгу, как в шарпе вызвать винапи, скажем user32.dll -> MessageBoxW
На тему СОМ..ну как пример, IFileOperation->NewItem . Найдите примеры в инетах , как вот сделать то или это, поймите принцип вызова СОМ объектов и винапи.
Без этих (самых базовых, кстати) знаний в разработке малваре делать нечего.
 

Balabol

Well-known member
24.06.2020
92
0
BIT
0
Я не знаю сишарп, поэтому не подскажу. Почитайте какую-то статью/книгу, как в шарпе вызвать винапи, скажем user32.dll -> MessageBoxW
На тему СОМ..ну как пример, IFileOperation->NewItem . Найдите примеры в инетах , как вот сделать то или это, поймите принцип вызова СОМ объектов и винапи.
Без этих (самых базовых, кстати) знаний в разработке малваре делать нечего.
ок
 

Balabol

Well-known member
24.06.2020
92
0
BIT
0
Вот недавно выявлена .
Попробуй её заюзать
спасибо. но до того, как я разберусь как вообще это юзать, это все, наверное успеет устареть)))

В текущем виде - да, но никто не мешает поменять 2-3 вызова функций, спрятать строку и т.д.
т.е. сигнатуры антивирусов тупо по заданному алгоритму сверяют поведение допустим моего софта с похожим? и простое переписывание эксплойта может помочь обойти антивирусы?
 

KiberAngel

Green Team
25.01.2020
29
17
BIT
0
спасибо. но до того, как я разберусь как вообще это юзать, это все, наверное успеет устареть)))


т.е. сигнатуры антивирусов тупо по заданному алгоритму сверяют поведение допустим моего софта с похожим? и простое переписывание эксплойта может помочь обойти антивирусы?
Майкрософт неохотно реагирует на повышение прав до root.
 

morgot

Green Team
25.07.2018
74
35
BIT
2
т.е. сигнатуры антивирусов тупо по заданному алгоритму сверяют поведение допустим моего софта с похожим? и простое переписывание эксплойта может помочь обойти антивирусы?
Вот есть этот репозиторий на гитхабе, который ес-но знают и аверы, и вайтхеты, примеры оттуда копипастят в разную малварь (в т.ч. агрессивную , т.е. криптолокеры). Естественно много кода палится сугубо сигнатурно. Но что есть "обход юак"? Допустим , это создание какой-то дллки в какой-то определенной папке и вызов СОМ метода с такими-то параметрами. Соответственно, этот код можно разбавить мусором, пошифровать строку с именем длл и так далее. В основном тут юзаются легальные вещи, и аверы тупо не могут ставить алерт на каждый вызов IFileOperation, ибо придется забанить тучу белого софта и саму винду в целом.

Другое дело, что периодически майкрософт фиксит эти методы. Фиксит не так уж часто, потому что да, в самой M$ повышение medium-high особой уязвимостью не считают. Это так, мелочь. А вот повышение с LOW IL - это уже другое дело, такие уязвимости обычно закрывают оперативно, в паблике можно найти лишь старые РоС , а что-то актуальное придется искать самому (имея скилл гораздо выше среднего).
 

Balabol

Well-known member
24.06.2020
92
0
BIT
0
Вот есть этот репозиторий на гитхабе, который ес-но знают и аверы, и вайтхеты, примеры оттуда копипастят в разную малварь (в т.ч. агрессивную , т.е. криптолокеры). Естественно много кода палится сугубо сигнатурно. Но что есть "обход юак"? Допустим , это создание какой-то дллки в какой-то определенной папке и вызов СОМ метода с такими-то параметрами. Соответственно, этот код можно разбавить мусором, пошифровать строку с именем длл и так далее. В основном тут юзаются легальные вещи, и аверы тупо не могут ставить алерт на каждый вызов IFileOperation, ибо придется забанить тучу белого софта и саму винду в целом.

Другое дело, что периодически майкрософт фиксит эти методы. Фиксит не так уж часто, потому что да, в самой M$ повышение medium-high особой уязвимостью не считают. Это так, мелочь. А вот повышение с LOW IL - это уже другое дело, такие уязвимости обычно закрывают оперативно, в паблике можно найти лишь старые РоС , а что-то актуальное придется искать самому (имея скилл гораздо выше среднего).
Пропустил твое последнее сообщение. Походу придется много прогать и изучать окна более. глубже. Не подскажешь литературу по окнам?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!