借用UAC实现的提权思绪分享

0x00 背景

UAC(User Account Control，用户帐户控制)是微软为提高体系安全而在windows Vista中引入的新技术，它要求用户在履行可能会影响计算机运转的操纵或履行更改影响其他用户的设置的操纵之前，提供权限或管理员‌密码。也就是说一旦用户允许启动的应用顺序经由UAC验证，那么这个顺序也就有了管理员权限。假如咱们经由某种方法挟制了经由用户UAC验证的顺序，那么相应的咱们的顺序也就实现了提权的进程。

0x01 提权进程概述

首先咱们找到目的顺序，查找其动态加载的dll文件而后将其替换掉，插入咱们包含shellcode的dll文件，这样用户在装配此文件的时候就会调用咱们的dll文件，并履行咱们的shellcode代码。同时为了防止顺序崩掉导致咱们的代码退出，采用注入的方法保证shellcode的稳定履行。在此进程中，假如目的顺序请求UAC权限，对于用户来说这是一个正常的装配文件，一旦经由UAC验证，相应咱们的shellcode也完成了提权进程。替换装配包dll文件这种行为太过于敏感，其实最后实现的方法是找到目的顺序须要加载的，并且以后目次又不存在的须要联网下载的dll文件，咱们只须要在该目次下放一个同名dll文件即可。

0x02 实验环境

Kali Debian7

Kali集成Metasploit等漏洞利用工具，方便提取shellcode和反弹TCP衔接。最好装配一个Mingw-w64用于编译c代码。

windows7 x64

主要的目的测试环境。

Procmon.exe

Procmon是微软出的一款强大的windows监视工具，不但能够监视进程/线程，还能够监控到文件体系，注册表的变化等。

install_flashplayer15x32_mssd_aaa_aih

这里咱们以flashplayer装配文件作为目的文件，版本为15x32_mssd_aaa_aih，可自行下载，或者从最后的打包附件中找到。

0x03 详细提权进程

查找可挟制的dll文件

首先咱们在win7体系下先打开procmon监控软件，清除一下日志信息，而后运转咱们的目的文件install_flashplayer15x32_mssd_aaa_aih，运转过后会弹出UAC选项，须要用户确认授权。

=3){ return false; } pic += (pic?'||':'') + encodeURIComponent(a.src); }); summary = encodeURIComponent(summary.innerText.replace(/\r|\n|\t/g,'').replace(/ +/g,' ').replace(//g,'').substr(0,80)); } var single_img ='https://pic.zhiletu.com/2020/12/36.jpg'; pic = pic.replace(single_img+'||',''); pic = pic.replace(single_img,''); pic = single_img+(pic?'||':'')+pic; var link =typeof settings.link!='undefined'?settings.link:''; if(!link||link.length