0x00 什么是UAC
用户账户控制(User Account Control,简称UAC)系统是Windows Vista(及更高版本操作系统)中一组新的基础结构技术,可以帮助阻止恶意程序损坏系统,同时也可以帮助组织部署更易于管理的平台。UAC会阻止未经授权应用程序的自动安装,防止无意中对系统设置进行更改。
大概就是这个玩意:
0x01 CVE-2019-1388
Microsoft Windows Certificate Dialog权限提升漏洞。
该漏洞位于Windows的UAC(User Account Control,用户帐户控制)机制中。默认情况下,Windows会在一个单独的桌面上显示所有的UAC提示——Secure Desktop。这些提示是由名为consent.exe的可执行文件产生的,该可执行文件以NT AUTHORITY\SYSTEM权限运行,完整性级别为System。因为用户可以与该UI交互,因此对UI来说紧限制是必须的。否则,低权限的用户可能可以通过UI操作的循环路由以SYSTEM权限执行操作。即使隔离状态的看似无害的UI特征都可能会成为引发任意控制的动作链的第一步。事实上,UAC会话中含有尽可能少的点击操作选项。
利用该漏洞很容易就可以提升权限到SYSTEM。
可利用版本:
SERVER Windows 2008r2 7601 ** link OPENED AS SYSTEM ** Windows 2012r2 9600 ** link OPENED AS SYSTEM ** Windows 2016 14393 ** link OPENED AS SYSTEM ** Windows 2019 17763 link NOT opened WORKSTATION Windows 7 SP1 7601 ** link OPENED AS SYSTEM ** Windows 8 9200 ** link OPENED AS SYSTEM ** Windows 8.1 9600 ** link OPENED AS SYSTEM ** Windows 10 1511 10240 ** link OPENED AS SYSTEM ** Windows 10 1607 14393 ** link OPENED AS SYSTEM ** Windows 10 1703 15063 link NOT opened Windows 10 1709 16299 link NOT opened
首先以普通用户(账号:low 密码:low)进行登录。
这时以如果以管理员身份运行命令提示符,会弹出UAC:
把CVE-2019-1388的exp放到虚拟机里,下载地址:
https://github.com/jas502n/CVE-2019-1388
右键以管理员身份运行,再点击“显示更多详细信息”→“显示发布者的证书信息”→“颁发者”→“Internet Explorer”。
打开网页后,将网页另存为,这时候会报错的:
报错是因为目前已经是system权限了,爆了个文件夹不存在的错误。
在地址栏输入:c:/windows/system32/cmd.exe
拿到了system权限:
0x02 CVE-2020-0787
Windows后台智能传输服务权限提升漏洞。
当Windows Background Intelligent Transfer Service (BITS)未能正确地处理符号链接时,存在权限提升漏洞。成功利用此漏洞的攻击者可以覆盖导致提升状态的目标文件。要利用此漏洞,攻击者首先必须登录到系统。然后,攻击者可以运行巧尽心思构建的应用程序,利用此漏洞并控制受影响的系统。
可利用版本(比较广):
参考:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0787
exp下载地址:https://github.com/cbwang505/CVE-2020-0787-EXP-ALL-WINDOWS-VERSION
这个利用方式很简单,双击运行即可。