Uac绕过

常见uac攻击模块

UAC-DLL

UAC-DLL攻击模块允许攻击者从低权限的本地管理员账户获得更高的权限。这种攻击利用UAC的漏洞，将ArtifactKit生成的恶意DLL复制到需要特权的位置。

适用于Windows7和Windows8及更高版本的未修补版本

Uac-token-duplication

此攻击模块也是为了从低权限的本地管理员账户获得更高的权限。它通过利用UAC漏洞，使非提升进程可以窃取并使用在提升进程中的令牌。这样，它可以启动任何进程。为了成功执行此攻击，攻击者必须删除提升令牌中分配的多个权限。如果“AlwaysNotify”设置为最高，则此攻击需要提升的进程已经在当前的桌面会话中运行，之后攻击者可以利用PowerShell生成新的会话。

主要适用于Windows7和Windows8及更高版本

Uac-wscript

这种UAC绕过技术最初是在Empire框架中被公之于众的。它特定地只适用于Windows 7系统

使用步骤

进入用户beacon命令行, 输入shell whoami 查看当前用户

再输入net user查看当前所有用户及其所在组, 可以发现当前用户hacker处于管理员组, 因此可使用bypassuac提权

对用户鼠标右键, 选择提权

选择相应的监听器和uac提权模块,然后点击开始

​

提权后会返回一个新的beacon, 可以发现其用户名为hacker*，则表示已提升至管理员权限

Windows本地提权漏洞

漏洞描述

ms14-058、ms15-051和ms16-016都是微软Windows的本地提权漏洞。以下是对它们的简要概述：

漏洞标识	CVE-ID	描述	受影响的系统
ms14-058	CVE-2014-4113 & CVE-2014-4148	Windows内核模式驱动器提权漏洞, 允许执行任意代码	Windows Vista 至 Windows 8.1, Windows Server 2008 至 Windows Server 2012 R2
ms15-051	CVE-2015-1701	Win32k.sys内的提权漏洞, 允许在系统上获得提高的权限	Windows 7 至 Windows 8.1, Windows Server 2008 R2 至 Windows Server 2012 R2
ms16-016	CVE-2016-0051	微软WebDAV客户端中的提权漏洞, 允许在受影响的系统上提升权限	Windows 7 至 Windows 10, Windows Server 2008 R2 至 Windows Server 2012 R2

执行步骤

鼠标右键点击用户->执行->提权

由于CS自带的windows本地提权模块只有ms14-058, 这里我是使用了扩展插件的, 提权成功后用户权限会被提升至System权限

PowerUp提权

简介

PowerUp 是一款常用于渗透测试和红队评估的Windows本地提权辅助工具。它是由PowerShell Empire项目团队开发的，并被集成到了多个其他框架中。PowerUp主要是用于检测常见的Windows配置错误，这些错误可能使攻击者进行本地提权。

以下是对PowerUp的简要描述：

使用步骤

beacon命令行输入powershell-import, 然后选择本地文件PowerUp.ps1

输入powershell Invoke-AllChecks, PowerShell脚本会快速帮我们扫描系统的弱点, 此处扫描出一个正在运行的服务: Protect_2345Explorer.exe

查看此服务的权限情况: shell icacls "C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe" , 发现User组的用户对此服务拥有完全控制的权限

F表示此用户拥有完全控制的权限

RX表示此用户没有权限

添加系统用户: powershell Install-ServiceBinary -ServiceName Protect_2345Explorer -UserName test2 -Password 123456

然后再查看当前所有用户及其组: net user

让新建的系统用户上线: 执行->Spawn As, 然后输入用户的账号与密码, 随后CS显示test2上线

Domain输入.表示当前计算机