通过组合 COM UAC 绕过和令牌模拟进行权限提升

https://github.com/FULLSHADE/Auto-Elevate

MITRE ATT&CK 映射

• 令牌模拟操作：T1134
• 访问令牌操作：令牌模拟/盗窃：T1134.001
• 访问令牌操作：使用令牌创建进程：T1134.002
• 访问令牌操作：制作和模拟令牌：T1134.003

工具演示了 UAC 绕过的强大功能和 Windows 的内置功能。该实用程序自动定位winlogon.exe、窃取和模拟它的进程令牌，并使用被盗令牌生成一个新的系统级进程。结合来自 hfiref0x 的 UACME 实用程序的 UAC 绕过方法 #41（ICMLuaUtil UAC 绕过），此实用程序可以自动将低权限的管理帐户提升到 NT AUTHORITY\SYSTEM。

下图演示了在 Windows 10 21H1 上使用 UACME 和 Auto-Elevate 从低权限管理员帐户转到 NT AUTHORITY\SYSTEM。

下图演示了在没有绕过 UAC 的情况下从高权限管理员帐户升级到 SYSTEM

技术说明

Auto-Elevate 执行以下步骤以从低权限管理员升级到 SYSTEM：

提升

1. 通过使用 CreateToolhelp32Snapshot、Process32First 和 Process32Next 枚举系统运行进程来定位 winlogon.exe 进程
2. 通过调用 AdjustTokenPrivileges 为当前进程启用 SeDebugPrivilege，因为它需要打开 winlogon.exe 的 HANDLE
3. winlogon.exe 进程的句柄是通过调用 OpenProcess 打开的，因为这个调用使用了 PROCESS_ALL_ACCESS（但是，它是多余的）
4. 通过调用 OpenProcessToken 并结合先前获得的进程句柄来检索 winlogon 的进程令牌的句柄
5. 通过调用 ImpersonateLoggedOnUser 来模拟 winlogon 的用户（SYSTEM）
6. 通过使用 SecurityImpersonation 调用 DuplicateTokenEx 来复制模拟令牌句柄，这将创建一个我们可以使用的复制令牌
7. 使用复制的模拟令牌，通过调用 CreateProcessWithTokenW 生成一个新的 CMD 实例