BypassUAC adalah Mengalahkan Pengguna Windows Account Control dengan menyalahgunakan built-in Windows AutoElevate backdoor.

Oleh chmood

Kamis, Januari 28, 2016 Minggu, Juni 09, 2024

BypassUAC adalah Mengalahkan Pengguna Windows Account Control dengan menyalahgunakan built-in Windows AutoElevate backdoor.

Persyaratan sistem

1.x86-32 / x64 Windows 7/8 / 8.1 / 10 (klien, beberapa metode namun bekerja pada versi server juga).
Akun 2.Admin dengan UAC diatur pada pengaturan default diperlukan.

Pemakaian
Menjalankan eksekusi dari baris perintah: BypassUAC_x86 [Key] [Param] atau BypassUAC_x64 [Key] [Param]. Lihat "Jalankan contoh" di bawah ini untuk info lebih lanjut.
Param pertama adalah jumlah metode untuk menggunakan, kedua adalah perintah opsional (nama file executable termasuk path lengkap) untuk menjalankan. Param kedua bisa kosong - dalam program hal ini akan mengeksekusi cmd.exe ditinggikan dari folder system32.

Keys (menonton men-debug ouput dengan dbgview atau serupa untuk info lebih lanjut):

1 - metode Sysprep Leo Davidson, ini akan bekerja hanya pada Windows 7 dan Windows 8, yang digunakan dalam beberapa malware;

2 - Metode sysprep Tweaked Leo Davidson, ini akan bekerja hanya pada Windows 8.1.9600;
3 - Metode Leo Davidson tweak oleh pengembang WinNT / Pitou, bekerja dari Windows 7 sampai dengan 10th2 10.532;
4 - Metode Aplikasi Kompatibilitas Shim RedirectEXE, dari WinNT / Gootkit. Bekerja dari Windows 7 sampai 8.1.9600;

5 - Metode ISecurityEditor WinNT / Simda, digunakan untuk mematikan UAC, bekerja dari Windows 7 sampai ke Windows 10th1 100.136;

6 - Metode WUSA digunakan oleh Win32 / Carberp, tweak untuk bekerja dengan Windows 8 / 8.1 juga;

7 - metode WUSA, tweak untuk bekerja dari Windows 7 sampai dengan 10th1 10.136;

8 - Sedikit dimodifikasi metode Leo Davidson digunakan oleh Win32 / Tilon, hanya bekerja pada Windows 7;

9 - Metode Hybrid, kombinasi WinNT / Simda dan Win32 / Carberp + AVrf, bekerja dari Windows 7 sampai dengan 10th1 10.136;

10 - Metode Hybrid, menyalahgunakan appinfo.dll cara membolehkan akses aplikasi autoelevated dan KnownDLLs perubahan cache, bekerja dari Windows 7 sampai dengan 10th2 10.532;

11 - WinNT / Gootkit metode kedua berdasarkan memori patching dari MS "Perbaiki" patch shim (dan sebagai efek samping - injeksi dll sewenang-wenang), bekerja dari Windows 7 sampai 8.1.9600;

12 - Windows 10 metode Sysprep, menyalahgunakan ketergantungan dll yang berbeda ditambahkan pada Windows 10 (bekerja hingga 10th2 10558);

13 - Metode Hybrid, menyalahgunakan appinfo.dll cara membolehkan akses perintah MMC konsol dan EventViewer ketergantungan hilang, bekerja dari Windows 7 sampai dengan 10rs1 11.082;

14 - WinNT / Sirefef metode, menyalahgunakan appinfo.dll cara membolehkan akses OOBE.exe, bekerja dari Windows 7 sampai dengan 10th2 10558;

15 - Win32 metode / Addrop, juga digunakan dalam modul Metasploit uacbypass, bekerja dari Windows 7 sampai dengan 10rs1 11.082;

16 - Metode Hybrid bekerja sama dengan Microsoft GWX backdoor, bekerja dari Windows 7 sampai 10rs1 11.082.

Catatan:
+ Beberapa metode memerlukan injeksi proses, sehingga mereka tidak akan bekerja dari WOW64, menggunakan edisi x64 dari alat ini;
+ Metode (4) tidak tersedia di 64 bit edisi karena pembatasan Shim;
+ Metode (6) tidak tersedia di lingkungan WOW64 mulai dari Windows 8. Juga menargetkan aplikasi tersedia pada Windows 10;
+ Cara (11) diimplementasikan dalam versi x86-32;
+ Cara (13) dilaksanakan hanya dalam versi x64.

Contoh menjalankan:
BypassUAC_x86.ex 1 -16 cmd.exe
BypassUAC_x64.ex 3 cmd.exe

Download: BypassUAC.zip
Sumber: https: //github.com/xsysvermi n

Category

Komentar

Postingan Lebih Baru Postingan Lama