白名单绕过UAC方法原理介绍

UAC(User AccountControl)是从Windows Vista开始出现的安全技术，它通过限制应用程序的执行权限来达到提升操作系统安全性的目的。在开启UAC的前提下，即使用户使用的是管理员账户登录，默认也只能获取标准权限，当用户某些动作可能会影响系统的安全及稳定性时，UAC便会弹出提示框请求管理员权限，提醒用户该操作属于敏感操作。然而UAC并不是万能的，否则病毒、木马就不会肆意传播感染了，它们经常利用一些UAC技术上的“漏洞”来实现绕过UAC提示，达到悄悄提权的目的。

对此，天融信阿尔法实验室研究员针对UAC绕过的方法进行了研究和整理，网上有很多关于UAC绕过的技术讨论，hfiref0x在github上整理了各种UAC绕过技术的实现：https://github.com/hfiref0x/UACME，到目前为止，其整理的技术共有48种，还未修复的有17种。

其中大多都是利用白名单程序绕过UAC。网上也有这方便介绍的帖子，像：

COM接口利用的：

.NET程序绕过： https://offsec.provadys.com/UAC-bypass-dotnet.html

他们介绍了白名单程序的利用方式，有一定技术功底的可以明白其原理并做到按图索骥的利用，但基础不好的可能要多做几次实验。本文可以看作是上述利用方式的实验记录，详细介绍了几种白名单程序绕过UAC利用的原理、记录其手工实现过程和自动化实现方法。掌握这些，就相当于掌握了”心法”，”招式”就可以随意使用了。

Win7 旗舰版 x32 7601

Procmon、WinDbg、IDA、VS2015

https://github.com/alphaSeclab/bypass-uac

在所有的提权请求中，有一些程序的提权请求不会触发UAC弹框提示，而是默认允许提权执行，我们称这些程序为微软的白名单程序，这些程序是哪些呢？

控制面板中的管理程序绝大部分都是默认提权运行的，而这些程序中有些并不是可执行文件，而是类似mmc程序的插件文件，找到这些程序的原始位置，发现它们都是以msc为后缀的文件：

双击任一msc文件，通过Procmon监控发现最终运行的都是mmc.exe文件

在这些msc中，其中有些执行时需要依赖CLR支持，像事件查看器、任务计划程序等。CLR是什么呢？CLR(Common Language Runtime)，是微软为他们的.NET的虚拟机所选用的名称，.NET程序的运行依赖CLR的支持，就像JAVA的虚拟机。

而CLR有一个Profiling机制(https://docs.microsoft.com/en-us/dotnet/framework/unmanaged-api/profiling/profiling-overview)。

简单来说，就是我们提供一个DLL，当任何高权限的.NET运行时，CLR会主动加载该DLL和运行的程序交互，程序的运行情况都会发送给该DLL，类似于OD调试程序。所以当这些默认提权的管理程序运行时就会被CLR加载我们的提供的DLL，在该DLL中创建的进程、执行的行为也是高权限的行为，从而达到绕过UAC的目的。

那么CLR如何知道怎么加载哪个DLL呢？微软官方文档有介绍: https://docs.microsoft.com/en-us/dotnet/framework/unmanaged-api/profiling/setting-up-a-profiling-environment。

首先，我们添加以下环境变量：

COR_ENABLE_PROFILING = 1

COR_PROFILER={CLSIDor ProgID}

CLR会先检查环境变量中COR_ENABLE_PROFILING是否为1，若检查通过，则根据.NET版本不同，查找DLL位置的方法也不同，对于低于4.0的则去注册表中查找CLSID或ProgID项，找到其指定的dll文件路径。从.NET4.0版本开始则先查找环境变量COR_PROFILER_PATH是否指定dll文件路径，没有再去注册表中查找对应的CLSID项。所以这里我们就不设置COR_PROFILER_PATH了，这样不管是.NET X都让CLR去注册表中找我们的dll。

虽然帮助文档说环境变量COR_PROFILER的值可以是CLSID也可以是任意名称的ProgID,但实际使用时发现只有CLSID测试正常。

添加环境变量的方法即可以通过系统高级设置添加，也可以通过注册表添加：