UAC バイパス
一般的な uac 攻撃モジュール
UAC-DLL
UAC-DLL 攻撃モジュールを使用すると、攻撃者は権限の低いローカル管理者アカウントからより高い権限を取得できます。この攻撃は、UAC の脆弱性を悪用して、ArtifactKit によって生成された悪意のある DLL を特権のある場所にコピーします。
Windows 7およびWindows 8以降のパッチ適用されていないバージョン
Uac トークンの複製
この攻撃モジュールは、権限の低いローカル管理者アカウントからより高い権限を取得するように設計されています。これは、昇格されていないプロセスが昇格されたプロセス内のトークンを盗んで使用できるようにする UAC の脆弱性を悪用します。このようにして、任意のプロセスを開始できます。この攻撃を成功させるには、攻撃者は昇格されたトークンに割り当てられているいくつかのアクセス許可を削除する必要があります。「AlwaysNotify」が最高に設定されている場合、この攻撃には現在のデスクトップ セッションですでに実行されている昇格されたプロセスが必要であり、その後、攻撃者は PowerShell を利用して新しいセッションを生成できます。
主にWindows7およびWindows8以降向け
Uac-wscript
この UAC バイパス手法は、Empire フレームワークで初めて公開されました。特に Windows 7 システムでのみ動作します
使用手順
ユーザー ビーコン コマンド ラインを入力し、shell whoami
現在のユーザーを表示するにはEnter を入力します。
次に Enter を入力するとnet user
、現在のユーザーとそのグループがすべて表示されます。現在のユーザーのハッカーが管理者グループに属していることがわかり、バイパスアックを使用して権限を昇格できます。
ユーザーを右クリックし、「エスカレーション」を選択します
対応するリスナーと uac 権限昇格モジュールを選択し、「開始」をクリックします。
権限が昇格されると、新しいビーコンが返され、そのユーザー名が見つかりますhacker*
。これは、管理者権限に昇格されたことを意味します。
Windows ローカル権限昇格の脆弱性
脆弱性の説明
ms14-058
、ms15-051
および は、ms16-016
Microsoft Windows のローカル権限昇格の脆弱性です。以下にそれらの概要を示します。
脆弱性ID | CVE-ID | 説明する | 影響を受けるシステム |
---|---|---|---|
ms14-058 | CVE-2014-4113 および CVE-2014-4148 | Windows カーネル モード ドライバーの特権昇格の脆弱性により、任意のコードが実行される | Windows Vista ~ Windows 8.1、Windows Server 2008 ~ Windows Server 2012 R2 |
ms15-051 | CVE-2015-1701 | Win32k.sys の特権昇格の脆弱性により、システム上で特権が昇格される可能性があります | Windows 7 ~ Windows 8.1、Windows Server 2008 R2 ~ Windows Server 2012 R2 |
ms16-016 | CVE-2016-0051 | Microsoft WebDAV クライアントの権限昇格の脆弱性により、影響を受けるシステムで権限が昇格される可能性があります | Windows 7 ~ Windows 10、Windows Server 2008 R2 ~ Windows Server 2012 R2 |
ステップ
ユーザーを右クリック→「実行」→「権限昇格」
CS付属のWindowsローカル権限昇格モジュールはms14-058のみなので、ここでは拡張プラグインを使用します 権限昇格が成功すると、ユーザー権限がシステム権限に昇格されます
PowerUp 権限の昇格
導入
PowerUpは、侵入テストやレッド チームの評価で一般的に使用される Windows ネイティブの権限昇格支援機能です。これはPowerShell Empire
プロジェクト チームによって開発され、他のいくつかのフレームワークに統合されました。PowerUp は主に、攻撃者がローカルで権限を昇格できる可能性がある一般的な Windows 構成エラーを検出するように設計されています。
PowerUp について簡単に説明します。
使用手順
ビーコン コマンド ラインを入力しpowershell-import
、ローカル ファイル PowerUp.ps1 を選択します。
PowerShell スクリプトを入力するpowershell Invoke-AllChecks
と、システムの弱点を簡単にスキャンできます。実行中のサービスは次のとおりです。Protect_2345Explorer.exe
このサービスの権限を表示します:shell icacls "C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe"
ユーザー グループのユーザーがこのサービスに対するフル コントロールの権限を持っていることがわかります。
F は、このユーザーがフル コントロール権限を持っていることを示します
RX は、このユーザーに権限がないことを示します
システム ユーザーを追加します。powershell Install-ServiceBinary -ServiceName Protect_2345Explorer -UserName test2 -Password 123456
次に、現在のユーザーとそのグループをすべて表示します。net user
新しく作成したシステム ユーザーをオンラインにします。[実行] -> [スポーン] を選択し、ユーザーのアカウントとパスワードを入力すると、CS に test2 がオンラインであることが表示されます。
ドメイン入力は
.
現在のコンピュータを示します