首页 » 漏洞 » 【技术分享】如何利用sdclt.exe实现无文件绕过UAC

【技术分享】如何利用sdclt.exe实现无文件绕过UAC

 

2017-03-23 13:54:01 来源:enigma0x3.net 作者:myswsun
阅读:395次 点赞(0) 收藏


【技术分享】如何利用sdclt.exe实现无文件绕过UAC

翻译:myswsun

稿费:100RMB(不服你也来投稿啊!)

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


0x00 前言


最近,我发布了一篇文章“使用sdclt.exe绕过UAC”。你可能记得APP Path需要一个文件才能有效。因为sdclt.exe在那里,我将发布另一种绕过的方法,是无文件的。在我上一篇文章中我提过它,但是Vault7 泄漏确认了绕过UAC在操作上是有趣的,在转储中详细记录了几种UAC绕过的方法。目前为止公布的绕过方法中,尤其突出的是@hfiref0xUACME项目,该项目是对公开的技术的集合。

在更新版本的Windows中,显示了微软很重视绕过UAC。这刺激了我花更多的时间在UAC上,且尝试不同的方法。


0x01 分析


正如一些你知道的,有一些微软签名的二进制文件由于他们的清单文件会自动提权。你能在这里阅读到这些二进制和他们的清单文件。通过SysInternals的工具sigcheck能搜索更多有这种特征的二进制文件,我发现了sdclt.exe,并验证了它会由于它的清单文件自动提权:

【技术分享】如何利用sdclt.exe实现无文件绕过UAC

注意:这只能在Windows10上起作用。这个Windows 7上的sdclt.exe的清单文件中requestedExecutionLevel为AsInvoker,以防止从中级特权启动时的自动提权。

正如我上文中提到的,用于调查Windows上的加载常见的技术是使用Sysinternals Process Monitor来分析一个进程执行时的行为。我经常对与我调查的进程做一些二进制分析以便找到其他的机会。

当分析自动提权的二进制时,首先该做的是寻找潜在的命令行参数。我是用IDA做这个,但是你能使用你喜欢的工具。当分析sdclt.exe时,由于一些有趣的关键字我注意到一些参数:

【技术分享】如何利用sdclt.exe实现无文件绕过UAC

这些是有趣的,因为sdclt.exe在它的清单文件中被设置为自动提权。在IDA中查看sdclt.exe,它校验参数是否为“/kickoffelev”。如果是,设置sdclt.exe的全路径,添加“/KickOffJob”作为一个参数,然后调用SxShellExcuteWithElevate。

【技术分享】如何利用sdclt.exe实现无文件绕过UAC

SxShellExecuteWithElevate使用Runas verb启动%systemroot%/system32/sdclt.exe /kickoffjob。当你右键一个二进制文件时,就是执行RunAsAdministrator选项。

【技术分享】如何利用sdclt.exe实现无文件绕过UAC

下一步是运行sdclt.exe /Kickoffelev,并用procmon监控。在得到输出后,我们看到HKEY_CURRENT_USER中受信的“shell/<verb>command”注册表搜索路径。

【技术分享】如何利用sdclt.exe实现无文件绕过UAC

下一步是添加这些键,并根据我们的二进制和参数执行。不幸的是,在添加这些键后什么也不执行,并启动了sdclt.exe /kickoffelev。回到procmon中,我们的键是需要的,但是sdclt.exe能在另一个command键中找到:IsolatedCommand。

【技术分享】如何利用sdclt.exe实现无文件绕过UAC

然后我们能在IsolatedCommand键中以一个字符串(REG_SZ)添加我们的payload和参数:

【技术分享】如何利用sdclt.exe实现无文件绕过UAC

这是和eventvwr.exe绕过方法中相同的bug。你能在这阅读eventvwr.exe绕过和使用的键。注意,取代shell/open/command,我们现在看到了shell/runas/command。这是因为使用RunAs调用SxShellExecuteWithElevate时sdclt.exe会被再次调用。

在添加我们的payload作为IsolatedCommand的值后,运行sdclt.exe /KickOffElev将在高特权级执行我们的payload(及任何参数):

【技术分享】如何利用sdclt.exe实现无文件绕过UAC

为了描述这个技术,你能在这里找到一个脚本:https://github.com/enigma0x3/Misc-PowerShell-Stuff/blob/master/Invoke-SDCLTBypass.ps1

这个脚本包含你的payload和任何参数的一个全路径。“C:/Windows/System32/cmd.exe /c notepad.exe”是一种好的验证方式。它将自动添加键,启动sdclt.exe /kickoffelev,并清理。

这个特别的技术能通过设置UAC等级为总是通知或者将当前用户移出本地管理员组来补救或修复。而且,如果你想监控这个行为,你能利用特征寻找和注册表操作告警:

HKCU:/Software/Classes/exefile/shell/runas/command/isolatedCommand


【技术分享】如何利用sdclt.exe实现无文件绕过UAC【技术分享】如何利用sdclt.exe实现无文件绕过UAC

本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://enigma0x3.net/2017/03/17/fileless-uac-bypass-using-sdclt-exe/

原文链接:【技术分享】如何利用sdclt.exe实现无文件绕过UAC,转载请注明来源!

0