0x00 什么是UAC

用户账户控制(User Account Control,简称UAC)系统是Windows Vista(及更高版本操作系统)中一组新的基础结构技术,可以帮助阻止恶意程序损坏系统,同时也可以帮助组织部署更易于管理的平台。UAC会阻止未经授权应用程序的自动安装,防止无意中对系统设置进行更改。

大概就是这个玩意:

0x01 CVE-2019-1388

Microsoft Windows Certificate Dialog权限提升漏洞。

该漏洞位于Windows的UAC(User Account Control,用户帐户控制)机制中。默认情况下,Windows会在一个单独的桌面上显示所有的UAC提示——Secure Desktop。这些提示是由名为consent.exe的可执行文件产生的,该可执行文件以NT AUTHORITY\SYSTEM权限运行,完整性级别为System。因为用户可以与该UI交互,因此对UI来说紧限制是必须的。否则,低权限的用户可能可以通过UI操作的循环路由以SYSTEM权限执行操作。即使隔离状态的看似无害的UI特征都可能会成为引发任意控制的动作链的第一步。事实上,UAC会话中含有尽可能少的点击操作选项。

利用该漏洞很容易就可以提升权限到SYSTEM。

可利用版本:

SERVER

    Windows 2008r2    7601    ** link OPENED AS SYSTEM **
    Windows 2012r2    9600    ** link OPENED AS SYSTEM **
    Windows 2016    14393   ** link OPENED AS SYSTEM **
    Windows 2019    17763   link NOT opened

WORKSTATION

    Windows 7 SP1    7601    ** link OPENED AS SYSTEM **
    Windows 8        9200    ** link OPENED AS SYSTEM **
    Windows 8.1        9600    ** link OPENED AS SYSTEM **
    Windows 10 1511    10240   ** link OPENED AS SYSTEM **
    Windows 10 1607    14393   ** link OPENED AS SYSTEM **
    Windows 10 1703    15063   link NOT opened
    Windows 10 1709    16299   link NOT opened

首先以普通用户(账号:low 密码:low)进行登录。

这时以如果以管理员身份运行命令提示符,会弹出UAC:

把CVE-2019-1388的exp放到虚拟机里,下载地址:

https://github.com/jas502n/CVE-2019-1388

右键以管理员身份运行,再点击“显示更多详细信息”→“显示发布者的证书信息”→“颁发者”→“Internet Explorer”。

打开网页后,将网页另存为,这时候会报错的:

报错是因为目前已经是system权限了,爆了个文件夹不存在的错误。

在地址栏输入:c:/windows/system32/cmd.exe

拿到了system权限:

0x02 CVE-2020-0787

Windows后台智能传输服务权限提升漏洞。

当Windows Background Intelligent Transfer Service (BITS)未能正确地处理符号链接时,存在权限提升漏洞。成功利用此漏洞的攻击者可以覆盖导致提升状态的目标文件。要利用此漏洞,攻击者首先必须登录到系统。然后,攻击者可以运行巧尽心思构建的应用程序,利用此漏洞并控制受影响的系统。

可利用版本(比较广):

参考:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0787

exp下载地址:https://github.com/cbwang505/CVE-2020-0787-EXP-ALL-WINDOWS-VERSION

这个利用方式很简单,双击运行即可。