windows UAC 提权漏洞复现(CVE-2019-1388)
-
0x00 UAC介绍
什么是UAC,用户账户控制UAC:UAC 是 win10 操作系统中非常重要的安全功能,它起源于 windows vista 操作系统,流行于 windows7、windows8 。各种功能策略得到了完善的修订和开发,应用在 win10 操作系统中,目的是减少恶意软件对系统的侵害。
操作系统默认情况下是启用UAC,当用户运行软件就会触发UAC规则。执行的时候就需要权限,否则是不会运行的。
不涉及到更改计算机操作的项目是不会触发UAC规则的,能够触发UAC规则的常用操作包括以下内容
l 运行应用程序
l 修改注册表文件
l 安装或者卸载程序
l 安装设备驱动程序
l 增加或者删除用户账户
l 复制文件到windows目录
-
0x01 漏洞介绍
该漏洞位于Windows的UAC(User Account Control,用户帐户控制)机制中。默认情况下,Windows会在一个单独的桌面上显示所有的UAC提示——Secure Desktop。这些提示是由名为consent.exe的可执行文件产生的,该可执行文件以NT AUTHORITY\SYSTEM权限运行,完整性级别为System。因为用户可以与该UI交互,因此对UI来说紧限制是必须的。否则,低权限的用户可能可以通过UI操作的循环路由以SYSTEM权限执行操作。即使隔离状态的看似无害的UI特征都可能会成为引发任意控制的动作链的第一步。事实上,UAC会话中含有尽可能少的点击操作选项。倘若利用该漏洞,是很容易就可以提升权限到SYSTEM
-
0x02 影响版本
Windows SERVER
Windows 2008r2
Windows 2012r2
Windows 2016
Windows 2019
WORKSTATION
Windows 7 SP1
Windows 8
Windows 8.1
Windows 10 1511
Windows 10 1607
Windows 10 1703
Windows 10 1709
-
0x03 环境搭建
准备一台存在漏洞版本的win7镜像
输入以下命令,查看补丁信息
systeminfo>snowming.txt&(for %i in (KB4525235 KB4525233) do @type snowming.txt|@find /i "%i"|| @echo no this padding: %i)&del /f /q /a snowming.txt
-
0x04 漏洞复现
创建一个低权限账户:net user test 123-abc /add (runas /user:test cmd 切换test用户cmd界面)
下载触发UAC的程序:HHUPD.EXE,下载地址:https://github.com/jas502n/CVE-2019-1388
将下好的文件放在win7中,并以管理员身份运行 //安装VMtools拖进来或者文件共享
点击显示详细信息,显示有关此发布者的证书信息
点击下方颁发者右侧的超链接,等待一段时间ie浏览器会自动运行,并访问该链接,这时出现404或链接无法访问,此时浏览器以system权限运行
注:这里点击后需要把上面这个关掉,不然无法显示出来以下页面
将该网页直接另存为文件,输入位置C:\Windows\System32*.* ,点击回车进入到目录
6、选择 cmd.exe 右键选择打开,此时查看权限,已经是system权限