首页
社区
课程
招聘
[分享]UAC弹窗绕过的一点小知识。。基于公开流行的文件移动的没啥高端的。。当笑话看看就行
发表于: 2015-6-23 21:57 7860

[分享]UAC弹窗绕过的一点小知识。。基于公开流行的文件移动的没啥高端的。。当笑话看看就行

2015-6-23 21:57
7860
目前我们广为所知的UAC弹窗绕过主要是基于UAC的白名单,用白名单中的文件操作COM或者某些能释放可执行文件的程序例如wusa.exe,将文件放入另一个存在dll劫持文件的白名单的程序的目录中,然后你如果在系统原有的布局上找一个已存在的白名单具备dll劫持的exe在system32文件夹的子文件夹的就那么几个。但是UAC白名单并不是完全的跟路径一一对应的,只是要求在一些已知的白名单路径之下就行SYSTEM32文件夹下极其大多数子文件夹(孙文件夹一直往下)。所以在找不到合适的原有位置的时候。我们完全可以讲一个SYSTEM32文件夹下的白名单内的EXE文件拷贝到system32的已知子目录中(当然也是要用绕过UAC提示的拷贝方式)。甚至可以自己携带一个比较通用的白名单exe释放出来。
不知道是不是大家觉得找个已经能原地构造dll劫持的白名单的exe很容易,目前公开的代码里我还没看见过移动文件方式构造劫持的,其实我觉得这种也不失为一种更通用的方式。这样就有更多的exe可供选择。
也就是比如我们把c:\windows\system32\printui.exe 移动到c:\windows\system32\drivers\printui.exe 然后再构造一个 路径为c:\windows\system32\drivers\printui.dll的劫持dll。

另外。正如标题写的。主要写给伸手党看。大牛当笑话看就行了。。

最近听说这个在win10 10.0.10586版本上已经不能随便用了,是白名单里加上路径了,还是白名单的文件夹范围变小了。还没人给我科普。具体从哪个版本开始的我也还没弄清楚。
另外给有心人说一句。。搞UAC还可以多看看kernelmode.info.

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (11)
雪    币: 144
活跃值: (335)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
主要就是移动文件这个思路呀,省的自己再找劫持
2015-6-23 23:35
0
雪    币: 1149
活跃值: (888)
能力值: ( LV13,RANK:260 )
在线值:
发帖
回帖
粉丝
3
楼主 想清楚了一点,但还有很多点没想清楚哦......
2015-6-24 09:56
0
雪    币: 7
活跃值: (49)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
能多透露点么。觉得这类的小细节还是挺实用的。
2015-7-2 22:51
0
雪    币: 7
活跃值: (49)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
嗯就是移动文件。。像卡巴斯基那玩意好像会对普通的原地劫持做一些操作,我试了一下没成功。。然后想绕过就想到了这个。。
2015-7-2 22:52
0
雪    币: 465
活跃值: (191)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
如果只是Administrators组而不是Administrator,那你在没有过UAC的情况下怎么可能在c:\windows里来回移动文件?
2016-3-15 17:27
0
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
8
调用文件操作COM接口即可.
2016-3-15 18:48
0
雪    币: 465
活跃值: (191)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
IFileOperation ?
2016-3-16 13:35
0
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
10
如果你把我之前发的那个UAC的帖子吃透了...  写一段非常简短的代码就可以轻松绕过win7-win10 x86/x64所有版本的UAC, 压根不需要什么dll劫持,文件移动,释放文件,注入explorer等云云,...,也不需要考虑32位和64位的区别,直接32位的代码就可以通杀32位和64位...   目前你能在网上找到的最简单和谐的方法,没有之一  
2016-3-17 01:06
0
雪    币: 465
活跃值: (191)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
我根据你的PDF把代码实现了下,在注入Notepad的时候有崩溃,是我的注入的问题,但我不知道问题出哪了

崩溃处在pfnIOle32_ObjectStublessClient3 IOle32_ObjectStublessClient3 = (pfnIOle32_ObjectStublessClient3)(*(DWORD*)(*(DWORD*)ppv + 12 * 2));

notepad.exe 中的 0x000007fefb361130 (Dll.dll) 处未处理的异常: 0xC0000005: 读取位置 0x00000000eedf2ed8 时发生访问冲突

Dll.dll是我注入Notepad的DLL,我在Dll.dll的DllMain中创建的线程加入你PDF中的代码,求指导!

2016-3-17 16:26
0
雪    币: 350
活跃值: (87)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
12
请注意COM对象是以当前用户进程的权限创建的,和你直接复制到系统目录的权限是一样的!在不触发UAC的情况下,你怎么复制到系统文件夹?
2016-3-18 23:31
0
雪    币: 27
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
7年前那个。
2016-3-30 15:44
0
游客
登录 | 注册 方可回帖
返回
//