https://github.com/FULLSHADE/Auto-Elevate
MITRE ATT&CK 映射
-
令牌模拟操作:T1134
-
访问令牌操作:令牌模拟/盗窃:T1134.001
-
访问令牌操作:使用令牌创建进程:T1134.002
-
访问令牌操作:制作和模拟令牌:T1134.003
工具演示了 UAC 绕过的强大功能和 Windows 的内置功能。该实用程序自动定位winlogon.exe、窃取和模拟它的进程令牌,并使用被盗令牌生成一个新的系统级进程。结合来自 hfiref0x 的 UACME 实用程序的 UAC 绕过方法 #41(ICMLuaUtil UAC 绕过),此实用程序可以自动将低权限的管理帐户提升到 NT AUTHORITYSYSTEM。
下图演示了在 Windows 10 21H1 上使用 UACME 和 Auto-Elevate 从低权限管理员帐户转到 NT AUTHORITYSYSTEM。
下图演示了在没有绕过 UAC 的情况下从高权限管理员帐户升级到 SYSTEM
技术说明
Auto-Elevate 执行以下步骤以从低权限管理员升级到 SYSTEM:
提升
-
通过使用 CreateToolhelp32Snapshot、Process32First 和 Process32Next 枚举系统运行进程来定位 winlogon.exe 进程
-
通过调用 AdjustTokenPrivileges 为当前进程启用 SeDebugPrivilege,因为它需要打开 winlogon.exe 的 HANDLE
-
winlogon.exe 进程的句柄是通过调用 OpenProcess 打开的,因为这个调用使用了 PROCESS_ALL_ACCESS(但是,它是多余的)
-
通过调用 OpenProcessToken 并结合先前获得的进程句柄来检索 winlogon 的进程令牌的句柄
-
通过调用 ImpersonateLoggedOnUser 来模拟 winlogon 的用户(SYSTEM)
-
通过使用 SecurityImpersonation 调用 DuplicateTokenEx 来复制模拟令牌句柄,这将创建一个我们可以使用的复制令牌
-
使用复制的模拟令牌,通过调用 CreateProcessWithTokenW 生成一个新的 CMD 实例
原文始发于微信公众号(Khan安全攻防实验室):通过组合 COM UAC 绕过和令牌模拟进行权限提升
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论