Bypass Win8.1 UAC源码 + 文档-软件逆向-看雪-安全社区|安全招聘|kanxue.com

Bypass Win8.1 UAC源码 + 文档

发表于: 2014-4-29 23:10 48563

Bypass Win8.1 UAC源码 + 文档

安于此生

2014-4-29 23:10

48563

本源码修改至老外最初公布的POC源码(无GUI版的直接利用代码,大家可以自己实现,这里就不放出了)
本文件包含了POC的详细说明:
老外最初放出的绕过win7 UAC的网址如下:
 http://www.pretentiousname.com/misc/win7_uac_whitelist2.html

win8.1的那个Dll劫持已经修复了,我们现在来劫持另外一个exe即可,windows可以劫持的exe有好几个...

源码中BypassUac_Inject.cpp是比较关键的一个文件,其他的一些文件除了进程内存间拷贝代码就是GUI相关的代码了。

该POC程序包括了:

- GUI代码(大部分的代码都是UI相关代码,你可以自己写一个命令行版本的)

- 错误处理/报告 代码 (便于程序出错后诊断)

- 清理代码 (绕过UAC后,清理遗留在系统目录下的Dll)

- 我们可以选择不同的目标进程来注入 (Explorer.exe是比较适合的一个进程,除此之外Calc.exe, Notepad.exe, MSPaint.exe等也可以)

其实代码没有那么复杂,真的。

*注意事项*
  
- 针对于64位的操作系统编译成64位的程序,针对于32位操作系统编译成32位程序...

- 如果你不小心将32位DLL注入到了64位进程中去了,注入过程中程序可能会奔溃,反之亦然... 所以32位对32操作系统,64位对64位操作系统...

- 你选择的目标进程可能需要开启ASLR(地址随机化),如果你关闭了EXE的ASLR,那么目标进程也需要关闭ASLR。本质上来说,Kernel32.dll在两个进程的加载地址要一样,所以两个进程关于地址随机化的处理要保持一致。可以利用的系统进程基本上都开启了ASLR,所以编译选项默认即可。如果你注入过程中发现目标进程崩溃了,这个时候你可以检查一下进程资源管理器中ASLR的情况。

- 该代码多进程/多线程的情况是不安全的(因为黑DLL可能还会使用,所以你可能需要添加互斥体来防止伪DLL被检测删除)

** 利用的细节: **

该代码利用系统的两个漏洞。第一个缺陷比较漏洞,但是也比较难修复。第二个漏洞DLL劫持比较容易修复,这不,win8.1微软就修复了那个经典的sysprep.exe的dll劫持。

漏洞1(普通权限拷贝文件到系统目录而不触发弹窗拦截):

1.1) 我们选择有微软数字签名的程序,例如:Explorer.exe.
1.2) 远程线程注入目标进程。(有没有神马限制呢? 只需要我们选择的进程与我们的主程序位于同一个(Session)会话中,Explorer.exe是一个比较好的目标进程。)
1.3) 被注入的代码创建一个IFileOperation的COM对象。(如果是win7,8,8.1默认UAC选项的话,并且目标进程是拥有微软版权和数字签名程序的话,是不会触发UAC提示的。)
1.4）被注入的代码使用IFileOperation接口将我们的黑Dll拷贝到指定系统文件中
1.5) 被注入的代码将启动带有盾牌的并且是UAC白名单的程序
1.6) 被注入的代码等待带有盾牌的并且是UAC白名单的程序的启动完成。
1.7) 被注入的代码使用IFileOperation接口删除黑Dll。

漏洞2(系统Dll劫持):

BypassUacDll.dll是一个非常简单的动态链接库文件,以资源文件的形式嵌入到主程序BypassUac里面。

我们寻找可以Dll劫持的系统程序。

注意:我们移动/重命名/替换System32下的文件。你会发现如果你以普通权限进行了移动/重命名/替换等操作的话,会弹窗提示以管理员权限操作。所以我们需要前面提到的IFileOperation对象来帮我们完成这些操作。

如何寻找可以Dll劫持的程序呢,监控System32的进程,你会发现C:\Windows\System32\sysprep目录下的sysprep.exe会默认加载一个叫cryptbase.dll的动态链接库。

而这个cryptbase.dll是位于System32目录下面的,目前没有什么好的方法替换掉它,但是我们可以利用漏洞1来复制一个伪造的Dll到sysprep目录下面去,sysprep.exe默认会加载当前目录下的cryptbase.dll,如果找不到的话,才会去System32目录下寻找cryptbase.dll。

注入win8.1下sysprep.exe劫持已经失效了,我们采用另一个程序C:\Windows\System32\migwiz\migwiz.exe。

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

BypassUAC演示程序使用说明.7z.001.7z （3.00MB，707次下载）
BypassUAC演示程序使用说明.7z.002.7z （3.00MB，712次下载）
BypassUAC演示程序使用说明.7z.003.7z （3.00MB，644次下载）
BypassUAC演示程序使用说明.7z.004.7z （1.42MB，679次下载）
BypassUac 演示程序.zip （244.41kb，773次下载）
BypassUac演示程序源码.zip （59.40kb，1026次下载）

收藏・139

免费・5

支持

最新回复 (106) 1 2 3 4 5 ▶
fujing 雪币： 2917 活跃值： (3944) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 75 粉丝 3 关注私信	fujing 2 楼支持一个 2014-4-29 23:23 0
vipsehll 雪币： 70 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	vipsehll 3 楼大神求抱大腿小腿抱各种 2014-4-29 23:28 0
vienna 雪币： 217 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	vienna 4 楼前排留名 2014-4-29 23:29 0
vipsehll 雪币： 70 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	vipsehll 5 楼源码收走不谢 2014-4-29 23:38 0
xinxinqing 雪币： 1234 活跃值： (302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 6 楼厉害，下载看看 2014-4-29 23:53 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 7 楼 good cool thing~ 2014-4-30 00:41 0
陈林00007 雪币： 2063 活跃值： (1752) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 132 粉丝 1 关注私信	陈林00007 8 楼 cool 2014-4-30 01:15 0
viphack 雪币： 219 活跃值： (798) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 9 楼 ←_←^ω^→_→ 2014-4-30 08:12 0
夜Wang 雪币： 110 活跃值： (204) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 109 粉丝 1 关注私信	夜Wang 10 楼已收走~哈哈哈 2014-4-30 08:57 0
rechine 雪币： 168 活跃值： (516) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 1 关注私信	rechine 11 楼这个必须得支持·~~赞一个、 2014-4-30 09:06 0
JingSao 雪币： 95 活跃值： (119) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 91 粉丝 0 关注私信	JingSao 12 楼这个要支持 ,,,,,, 2014-4-30 09:15 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 13 楼我擦，正打算要不要自己写的时候，就发现了源码，真是雪中送碳啊~~~~ 2014-4-30 09:20 0
feaferf 雪币： 231 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	feaferf 14 楼亲人啊，正想怎么弄来。 2014-4-30 09:34 0
JinEver 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	JinEver 15 楼厉害，向大牛学习 2014-4-30 09:38 0
gudujsk 雪币： 51 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 114 粉丝 0 关注私信	gudujsk 16 楼我靠，这个可以有哇。。 2014-4-30 09:41 0
lbinglin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	lbinglin 17 楼这个必须顶 2014-4-30 09:54 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 18 楼支持啊。。。。。 2014-4-30 09:55 0
gudujsk 雪币： 51 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 114 粉丝 0 关注私信	gudujsk 19 楼留个名，以后好好看看~~！！ 2014-4-30 10:21 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 20 楼支持这个！！ 2014-4-30 10:49 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 21 楼这个技术会被360等一干av发现拦截不？ 2014-4-30 10:54 0
pboy 雪币： 37 活跃值： (102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	pboy 22 楼 mark 2014-4-30 11:00 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 23 楼有远程注入,果断会被拦截... 绕过杀软的源码就不放出了,自己研究一下可以搞定的... 2014-4-30 11:08 0
杀手killerho 雪币： 358 活跃值： (104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 102 粉丝 0 关注私信	杀手killerho 24 楼来顶的，谢谢大牛 2014-4-30 11:14 0
杀手killerho 雪币： 358 活跃值： (104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 102 粉丝 0 关注私信	杀手killerho 25 楼楼主找到的链接和我找到的一模一样，不过楼主水平高，我水平还不行 2014-4-30 11:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

安于此生

103

发帖

2020

回帖

1760

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (106) 1 2 3 4 5 ▶
fujing 雪币： 2917 活跃值： (3944) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 75 粉丝 3 关注私信	fujing 2 楼支持一个 2014-4-29 23:23 0
vipsehll 雪币： 70 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	vipsehll 3 楼大神求抱大腿小腿抱各种 2014-4-29 23:28 0
vienna 雪币： 217 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	vienna 4 楼前排留名 2014-4-29 23:29 0
vipsehll 雪币： 70 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	vipsehll 5 楼源码收走不谢 2014-4-29 23:38 0
xinxinqing 雪币： 1234 活跃值： (302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 6 楼厉害，下载看看 2014-4-29 23:53 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 7 楼 good cool thing~ 2014-4-30 00:41 0
陈林00007 雪币： 2063 活跃值： (1752) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 132 粉丝 1 关注私信	陈林00007 8 楼 cool 2014-4-30 01:15 0
viphack 雪币： 219 活跃值： (798) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 9 楼 ←_←^ω^→_→ 2014-4-30 08:12 0
夜Wang 雪币： 110 活跃值： (204) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 109 粉丝 1 关注私信	夜Wang 10 楼已收走~哈哈哈 2014-4-30 08:57 0
rechine 雪币： 168 活跃值： (516) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 1 关注私信	rechine 11 楼这个必须得支持·~~赞一个、 2014-4-30 09:06 0
JingSao 雪币： 95 活跃值： (119) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 91 粉丝 0 关注私信	JingSao 12 楼这个要支持 ,,,,,, 2014-4-30 09:15 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 13 楼我擦，正打算要不要自己写的时候，就发现了源码，真是雪中送碳啊~~~~ 2014-4-30 09:20 0
feaferf 雪币： 231 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	feaferf 14 楼亲人啊，正想怎么弄来。 2014-4-30 09:34 0
JinEver 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	JinEver 15 楼厉害，向大牛学习 2014-4-30 09:38 0
gudujsk 雪币： 51 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 114 粉丝 0 关注私信	gudujsk 16 楼我靠，这个可以有哇。。 2014-4-30 09:41 0
lbinglin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	lbinglin 17 楼这个必须顶 2014-4-30 09:54 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 18 楼支持啊。。。。。 2014-4-30 09:55 0
gudujsk 雪币： 51 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 114 粉丝 0 关注私信	gudujsk 19 楼留个名，以后好好看看~~！！ 2014-4-30 10:21 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 20 楼支持这个！！ 2014-4-30 10:49 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 21 楼这个技术会被360等一干av发现拦截不？ 2014-4-30 10:54 0
pboy 雪币： 37 活跃值： (102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	pboy 22 楼 mark 2014-4-30 11:00 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 23 楼有远程注入,果断会被拦截... 绕过杀软的源码就不放出了,自己研究一下可以搞定的... 2014-4-30 11:08 0
杀手killerho 雪币： 358 活跃值： (104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 102 粉丝 0 关注私信	杀手killerho 24 楼来顶的，谢谢大牛 2014-4-30 11:14 0
杀手killerho 雪币： 358 活跃值： (104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 102 粉丝 0 关注私信	杀手killerho 25 楼楼主找到的链接和我找到的一模一样，不过楼主水平高，我水平还不行 2014-4-30 11:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复