利用SSPI数据报上下文bypassUAC技术分析<\/h1>

0x00 前言<\/h2>
本文详细分析了一种基于SSPI数据报上下文的UAC绕过技术，该漏洞最初由splinter_code在2023年9月公布并提交至UACME项目。该技术在Windows 11、Windows 10及Windows 7的各个版本中均验证有效。<\/p>

0x01 前置知识<\/h2>

UAC机制概述<\/h3>

UAC(User Account Control)是Windows的用户账户控制机制，当系统更改需要管理员权限时，会通知用户进行审核。UAC使应用程序和任务始终在非管理员账户的安全上下文中运行，除非明确授权管理员权限。<\/p>

UAC提示界面有两种颜色：<\/p>

黄色：程序无数字签名<\/li>

蓝色：程序有数字签名<\/li> <\/ul>

带有黄蓝相间盾牌标志的程序表示需要较高权限，运行时需经过UAC确认。<\/p>

注意<\/strong>：bypassUAC并非真正的提权，而是绕过权限保护机制，最终效果类似提权。<\/p>

Windows令牌机制<\/h3>
Windows令牌分为两类：<\/p>

主令牌(Primary Token)<\/strong>：附加到进程，与交互式用户会话关联<\/li>
模拟令牌(Impersonation Token)<\/strong>：附加到线程，允许线程临时采用另一安全上下文<\/li> <\/ol>
管理员登录时会创建两个令牌：<\/p>

标准用户令牌：移除管理员特权和SID<\/li>
管理员令牌：完整权限<\/li> <\/ul>
explorer.exe使用标准令牌运行，所有用户启动的进程都继承此令牌。<\/p>
0x02 本地与网络身份验证差异<\/h2>
研究发现两种身份验证方式生成的令牌存在关键差异：<\/p>

特征<\/th> 本地身份验证<\/th> 网络身份验证<\/th> <\/tr> <\/thead>

日志类型<\/td> LogonType 2<\/td> LogonType 3<\/td> <\/tr>
UAC限制<\/td> 受限(IL=Medium)<\/td> 不受限(IL=High)<\/td> <\/tr>
管理员SID<\/td> 禁用<\/td> 启用<\/td> <\/tr> <\/tbody> <\/table>
关键发现<\/strong>：网络身份验证生成的令牌不受UAC限制。<\/p>
0x03 伪造网络身份验证<\/h2>
数据报上下文验证<\/h3>
Windows使用LsaLogonUser<\/code> API进行身份验证，默认通过MSV1_0验证包工作。通过设置NTLMSSP_NEGOTIATE_DATAGRAM<\/code>标志(在InitializeSecurityContext<\/code>中设置ISC_REQ_DATAGRAM<\/code>)，可以伪造数据报式网络验证。<\/p>
验证流程：<\/p>
客户端调用AcquireCredentialsHandle<\/code>获取凭据句柄<\/li> 调用InitializeSecurityContext<\/code>设置ISC_REQ_DATAGRAM<\/code>标志<\/li> 服务端调用AcceptSecurityContext<\/code>处理验证<\/li> <\/ol> Lsass令牌保存问题<\/h3> Lsass在创建新登录会话时会：<\/p> 先生成一个不受限的高权限令牌<\/li> 然后生成一个受限令牌<\/li> 将两者关联<\/li> <\/ol> 关键漏洞<\/strong>：Lsass会存储登录会话中生成的第一个令牌(高权限令牌)，而后续操作可能使用此令牌而非预期的受限令牌。<\/p> 0x04 利用技术实现<\/h2> 利用条件<\/h3> 需要TCB(Trusted Computing Base)特权<\/li> 通过命名管道获取网络验证令牌<\/li> 利用SMB服务的内核模式运行特性<\/li> <\/ol> 具体步骤<\/h3> 获取Network Service权限的PowerShell环境：<\/li> <\/ol> # 安装并导入NtObjectManager<\/span> <\/span><\/span>Save-Module -Name NtObjectManager -Path C:\ <\/span><\/span>Import-Module C:\NtObjectManager <\/span><\/span> <\/span><\/span># 开启System权限PowerShell<\/span> <\/span><\/span>$p = Start-Win32ChildProcess PowerShell <\/span><\/span> <\/span><\/span># 创建Network Service令牌并启动PowerShell<\/span> <\/span><\/span>$sess = Get-NtToken -Session <\/span><\/span>$token = Get-NtToken -Service NetworkService -AdditionalGroups $sess.LogonSid.Sid <\/span><\/span>New-Win32Process PowerShell -Token $token -CreationFlags NewConsole <\/span><\/span><\/code><\/pre> 创建命名管道并模拟身份：<\/li> <\/ol> $pipe = New-NtNamedPipeFile \\.\pipe\AAA2 -Win32Path <\/span><\/span>$job = Start-Job {$pipe.Listen()} <\/span><\/span>$file = Get-NtFile \\127.0.0.1\pipe\AAA2 -Win32Path <\/span><\/span>Wait-Job $Job | Out-Null <\/span><\/span> <\/span><\/span># 模拟命名管道访问Rpcss服务<\/span> <\/span><\/span>$p = Use-NtObject($pipe.Impersonate()){ Get-NtProcess -ProcessId <Rpcss_PID>} <\/span><\/span>$p.GrantedAccess <\/span><\/span><\/code><\/pre> 验证获取的令牌权限：<\/li> <\/ol> $token = Use-NtObject($pipe.Impersonate()){ Get-NtToken -Impersonation} <\/span><\/span>$token.Groups | ? Name -Match<\/span> Rpcss <\/span><\/span><\/code><\/pre>0x05 漏洞验证与利用<\/h2> 验证方法<\/h3> 使用模拟的受限令牌通过环回接口进行认证，观察实际使用的令牌权限级别。<\/p> 实现命令执行<\/h3> 由于标准RPC函数(如RegConnectRegistryW<\/code>)无法正确设置pvLogonID<\/code>，需要：<\/p> 使用CreateFileW<\/code>的自定义RPC客户端实现<\/li> 通过SMB重定向驱动(mrxsmb20.sys)在内核模式进行身份验证<\/li> <\/ol> 利用效果<\/strong>：<\/p> 添加系统用户<\/li> 以SYSTEM权限执行命令并写入系统目录<\/li> <\/ul> 0x06 防御建议<\/h2> 限制Network Service账户权限<\/li> 监控异常命名管道活动<\/li> 更新Lsass相关安全补丁<\/li> 审计高权限令牌使用情况<\/li> <\/ol> 0x07 参考链接<\/h2> splinter_code的原始分析<\/a><\/li> Windows登录会话共享分析<\/a><\/li> 获取交互式服务账户<\/a><\/li> <\/ol>

利用SSPI数据报上下文bypassUAC技术分析<\/h1>

0x00 前言<\/h2> 本文详细分析了一种基于SSPI数据报上下文的UAC绕过技术，该漏洞最初由splinter_code在2023年9月公布并提交至UACME项目。该技术在Windows 11、Windows 10及Windows 7的各个版本中均验证有效。<\/p>

0x01 前置知识<\/h2>

0x05 漏洞验证与利用<\/h2>

验证方法<\/h3> 使用模拟的受限令牌通过环回接口进行认证，观察实际使用的令牌权限级别。<\/p>

0x07 参考链接<\/h2> splinter_code的原始分析<\/a><\/li> Windows登录会话共享分析<\/a><\/li> 获取交互式服务账户<\/a><\/li> <\/ol>

0x00 前言<\/h2>
本文详细分析了一种基于SSPI数据报上下文的UAC绕过技术，该漏洞最初由splinter_code在2023年9月公布并提交至UACME项目。该技术在Windows 11、Windows 10及Windows 7的各个版本中均验证有效。<\/p>

验证方法<\/h3>
使用模拟的受限令牌通过环回接口进行认证，观察实际使用的令牌权限级别。<\/p>

0x07 参考链接<\/h2>

splinter_code的原始分析<\/a><\/li>
Windows登录会话共享分析<\/a><\/li>
获取交互式服务账户<\/a><\/li> <\/ol>