东塔 | Windows UAC 本地提权复现

0x01 UAC简介

首先来理解一下什么是 UAC ：

用户帐户控制UAC：UAC 是 win10 操做系统中很是重要的安全功能，它起源于 windows vista 操做系统，流行于windows七、windows8。各类功能策略获得了完善的修订和开发，应用在win10操做系统中，目的是减小恶意软件对系统的侵害。

操做系统默认状况下是启用UAC，当用户运行软件就会触发UAC规则。执行的时候就须要权限，不然是不会运行的。

不涉及到更改计算机操做的项目是不会触发UAC规则的，可以触发UAC规则的经常使用操做包括如下内容：

• 运行应用程序
• 修改注册表文件
• 安装或者卸载程序
• 安装设备驱动程序
• 增长或者删除用户帐户
• 复制文件到windows目录

用户操做以上内容时就会触发UAC规则，系统会弹出提示对话框。简单来讲，弹出对话框操做就是临时提高用户权限，容许程序运行。

0x02漏洞简介

该漏洞位于Windows的UAC（User Account Control，用户账户控制）机制中。默认状况下，Windows会在一个单独的桌面上显示全部的UAC提示 Secure Desktop。

这些提示是由名为 consent.exe 的可执行文件产生的，该可执行文件以NT AUTHORITY\SYSTEM权限运行，完整性级别为System。

由于用户能够与该UI交互，所以对UI来讲：限制是必须的，不然，低权限的用户可能能够经过UI操做的循环路由以SYSTEM权限执行操做，即便隔离状态的看似无害的UI特征均可能会成为引起任意控制的动做链的第一步。

事实上，UAC会话中本应该尽量含有少些点击操做选项，假若利用该漏洞，是很容易就能够提高权限到SYSTEM。

0x03影响版本

Windows server

windows_server_2008:r2:sp1:itanium

windows_server_2008：r2：sp1:x64

windows_server_2012：

windows_server_2012：r2

windows_server_2016：

windows_server_2016：1803

windows_server_2016：1903

windows_server_2019：

WORKSTATION

windows_10：

windows_10：1607

windows_10：1709

windows_10：1803

windows_10：1809

windows_10：1903

windows_7：sp1

windows_8.1：

windows_rt_8.1：

0x04环境搭建

Windows 7 sp1

0x05漏洞复现

1. 新建用户test并添加到User组，切换到用户test

2. 下载漏洞利用工具，右键以管理员运行hhupd.exe

下载地址：https://github.com/mai-lang-chai/System-Vulnerability/tree/master/Windows/CVE-2019-1388

3. 点击显示详细信息，显示有关次发布者的证书信息，点击颁发者连接，关闭窗口。
   

4. 将页面另存为，文件命输入System32路径C:\Windows\System32*.*
   

5. 点击保存，会打开system32文件夹，而后找到CMD右键打开CMD
   

免责申明：
本项目仅进行信息搜集，漏洞探测工做，无漏洞利用、***性行为，发文初衷为仅为方便安全人员对受权项目完成测试工做和学习交流使用。 请使用者遵照当地相关法律，勿用于非受权测试，勿用于非受权测试，勿用于非受权测试（重要的事情说三遍），如做他用所承受的法律责任一律与做者无关！！！