本文介绍了如何利用EVENTVWR.EXE的注册表查询行为进行UAC绕过,不依赖特权文件副本或磁盘上的传统文件。通过在HKCUSoftwareClassesmscfileshellopencommand创建注册表项,可劫持eventvwr.exe启动,执行任意高权限PowerShell脚本,降低攻击者被检测的风险。
在对Windows 10进行深入挖掘并发现了一个非常有趣的绕过用户帐户控制(UAC)的方法之后(详细信息请参阅https:/bypassing-uac-on-windows-10-using-disk-cleanup/),我决定花更多的时间来调查其他潜在的UAC绕过技术。目前,有一些开源的UAC绕过技术,其中大部分需要特权文件副本,然后使用IFileOperation COM对象或WUSA提取(Windows 7) 在一个受保护的系统位置进行DLL劫持。所有这些技术都需要向磁盘中导入一个文件(例如,将一个DLL导入到磁盘上来执行一个DLL劫持)。你可以在下面这个网址查看这些开源技术https:/hfiref0x/UACME。这篇文章中提到的技术不同于其他开源方法,而是提供了一个有用的新技术,它不依赖于特权文件副本,代码注入,或者在磁盘上放置一个传统的文件(如DLL)。这种技术已经在Windows 7和Windows10上进行了测试,但希望以后能够在所有实施UAC的Windows版本上运行。
跟我在上篇文章中提到过的使用磁盘清理绕过UAC技术一样,探查Windows加载方式的一个普遍的技术是使用进程监视器分析进程执行时的行为。然而继续挖掘,在用ProcMon打开Windows事件日志时,我注意到,作为一个高阶进程,eventvwr.exe执行了一些关于HKEY_CURRENT_USER hive的注册表查询。
很早之前,理解HKEY_CLASSES_ROOT(HKCR)和HKEY_CURRENT_USER(HKCU)注册表项以及它们之间是如何相互作用的就是很重要的。HKCR仅仅是HKLM:\Software\Classes和HKCU:\Software\Classes的组合(想要了解什么是HKCR以及为什么HKLM和HKCU要进行合并,请点击下面的链接https:/library/windows/desktop/ms7244
扫一扫
1990
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
