CVE-2019-1388 UAC提权 (nt authority\system)

2023-10-19 09:10
文章标签 2019 system cve 提权 uac nt authority 1388

本文主要是介绍CVE-2019-1388 UAC提权 (nt authority\system),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

CVE-2019-1388 UAC提权 (nt authority\system)

漏洞原理
此漏洞是因为 UAC(用户账户控制)机制的设定不严导致的。默认情况下, Windows 在称为「安全桌面」的单独桌面上显示所有 UAC 提示。提示本身是由名为 consent.exe 的可执行文件生成的,该可执行文件以 NT AUTHORITY\SYSTEM 身份运行并且有 System 的完整性水平。由于用户可以与此安全桌面的 UI 进行交互,因此有必要对 UI 进行严格限制。否则,低特权用户可能能够通过 UI 操作的路由回路以 SYSTEM 的身份执行操作。甚至看起来无害的单独 UI 功能也可能是导致任意控制的一系列操作的第一步。另一个需要了解的东西是 OID,如果在运行一个可执行文件的时候我们触发了 UAC,在点击「显示有关此发步者的证书的信息」这个链接之后:

image-20210719164147992

我们可以看到证书里的 Issued by(颁发者) 字段,这个字段对应的值就是 OID
当涉及证书对话框的UAC版本时,Microsoft没有禁用此超链接,这就给了我们提权的可能。当 OID 为超链接时,通过点击此链接会触发 consent.exeSYSTEM 权限打开浏览器访问此链接,然后此浏览器就会有 SYSTEM 权限。即使该浏览器是作为SYSTEM启动的,但是它仍显示在普通桌面而不是安全桌面上。因此,只有在用户退出所有UAC对话框后,它才变得可见。因此对于攻击者来说,这具有天然的隐藏优势。通过保存该浏览页面,会弹出微软的资源管理器,在资源管理器中邮件打开 cmd.exe 程序,就会继承浏览器的 SYSTEM 权限,由此就完成了由普通用户到 NT AUTHORITY\SYSTEM 用户的提权。
影响版本
SERVER
======Windows 2008r2	7601	** link OPENED AS SYSTEM **
Windows 2012r2	9600	** link OPENED AS SYSTEM **
Windows 2016	14393	** link OPENED AS SYSTEM **
Windows 2019	17763	link NOT openedWORKSTATION
===========Windows 7 SP1	7601	** link OPENED AS SYSTEM **
Windows 8		9200	** link OPENED AS SYSTEM **
Windows 8.1		9600	** link OPENED AS SYSTEM **
Windows 10 1511	10240	** link OPENED AS SYSTEM **
Windows 10 1607	14393	** link OPENED AS SYSTEM **
Windows 10 1703	15063	link NOT opened
Windows 10 1709	16299	link NOT opened
...
漏洞复现
实验环境 win7 sp1
CVE-2019-1388 /HHUPD.EXE下载地址
https://github.com/jas502n/CVE-2019-1388
1.查看当前用户权限

f38882a4c1a2ce5c2447037a4bdc77a

2.以管理员权限打开HHUPD.EXE,点击显示详细信息里显示的显示有关此发布者的证书的信息

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DAuMyQmx-1626685507658)(C:/Users/zcc/AppData/Local/Temp/WeChat%20Files/24ff460dcf5274d9f13963074ed84de.png)]

ba0f48ffb2640ef63c7622842105e02

3.点击颁发者:VeriSin Comercial Softwore Publi shersCA超链接,然后点击确定按钮再关掉用户账户控制窗口点击否按钮

image-20210719152206580

4.点击该链接之后,关闭上面这两个弹窗,会出现ie浏览器的页面

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DelwgsLb-1626685507660)(C:/Users/zcc/AppData/Roaming/Typora/typora-user-images/image-20210719152433748.png)]

5.IE浏览器访问链接后点击页面下拉菜单面里的另存为选项

6.弹出框点确定

image-20210719153216301

7.位置地方填入
 C:\Windows\System32\*.*

image-20210719153333171

8.选择cmd.exe右键打开,whoami即可看见为system最高权限

c1adccd981c91e85cab083a6fc6fc00

07a7f303b7463f5c31d6363fa4b4f9a

修复建议

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1388

文章结尾:感谢drunkmars师傅的指导~

这篇关于CVE-2019-1388 UAC提权 (nt authority\system)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/238821

相关文章

BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

目录   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 [web][HCTF 2018]admin 考点:弱密码字典爆破 四种方法:   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 访问环境 老规矩,我们先查看源代码
阅读更多...
Partical System

Partical System

创建"粒子系统物体"(点击菜单GameObject -> Create Other -> Particle System) 添加"粒子系统组件"(点击Component -> Effects  ->Particle System) 粒子系统检视面板  点击粒子系统检视面板的右上角的"+"来增加新的模块。(Show All Modules:显示全部) 初始化模块: •
阅读更多...
小技巧绕过Sina Visitor System(新浪访客系统)

小技巧绕过Sina Visitor System(新浪访客系统)

0x00 前言 一直以来,爬虫与反爬虫技术都时刻进行着博弈,而新浪微博作为一个数据大户更是在反爬虫上不遗余力。常规手段如验证码、封IP等等相信很多人都见识过…… 当然确实有需要的话可以通过新浪开放平台提供的API进行数据采集,但是普通开发者的权限比较低,限制也比较多。所以如果只是做一些简单的功能还是爬虫比较方便~ 应该是今年的早些时候,新浪引入了一个Sina Visitor Syst
阅读更多...
System.getProperties().

System.getProperties().

Java.version Java 运行时环境版本 java.vendor Java 运行时环境供应商 java.vendor.url Java 供应商的 URL java.home Java 安装目录 java.vm.specification.version Java 虚拟机规范版本 java.vm.specification.vendor
阅读更多...
12C 新特性,MOVE DATAFILE 在线移动 包括system, 附带改名 NID ,cdb_data_files视图坏了

12C 新特性,MOVE DATAFILE 在线移动 包括system, 附带改名 NID ,cdb_data_files视图坏了

ALTER DATABASE MOVE DATAFILE  可以改名 可以move file,全部一个命令。 resue 可以重用,keep好像不生效!!! system照移动不误-------- SQL> select file_name, status, online_status from dba_data_files where tablespace_name='SYSTEM'
阅读更多...
linux 内核提权总结(demo+exp分析) -- 任意读写(四)

linux 内核提权总结(demo+exp分析) -- 任意读写(四)

hijack_modprobe_path篇 本文转自网络文章,内容均为非盈利,版权归原作者所有。 转载此文章仅为个人收藏,分享知识,如有侵权,马上删除。 原文作者:jmpcall 专栏地址:https://zhuanlan.kanxue.com/user-815036.htm     原理同hijack_prctl, 当用户执行错误格式的elf文件时内核调用call_usermod
阅读更多...
linux 内核提权总结(demo+exp分析) -- 任意读写(三)

linux 内核提权总结(demo+exp分析) -- 任意读写(三)

hijack_prctl篇 本文转自网络文章,内容均为非盈利,版权归原作者所有。 转载此文章仅为个人收藏,分享知识,如有侵权,马上删除。 原文作者:jmpcall 专栏地址:https://zhuanlan.kanxue.com/user-815036.htm   prctl函数: 用户态函数,可用于定制进程参数,非常适合和内核进行交互 用户态执行prctl函数后触发prctl系统
阅读更多...
linux 内核提权总结(demo+exp分析) -- 任意读写(二)

linux 内核提权总结(demo+exp分析) -- 任意读写(二)

hijack_vdso篇 本文转自网络文章,内容均为非盈利,版权归原作者所有。 转载此文章仅为个人收藏,分享知识,如有侵权,马上删除。 原文作者:jmpcall 专栏地址:https://zhuanlan.kanxue.com/user-815036.htm     vdso: 内核实现的一个动态库,存在于内核,然后映射到用户态空间,可由用户态直接调用 内核中的vdso如果被修改
阅读更多...
linux 内核提权总结(demo+exp分析) -- 任意读写(一)

linux 内核提权总结(demo+exp分析) -- 任意读写(一)

cred篇 本文转自网络文章,内容均为非盈利,版权归原作者所有。 转载此文章仅为个人收藏,分享知识,如有侵权,马上删除。 原文作者:jmpcall 专栏地址:https://zhuanlan.kanxue.com/user-815036.htm   每个线程在内核中都对应一个线程结构块thread_infothread_info中存在task_struct类型结构体 struct t
阅读更多...
linux 内核提权总结(demo+exp分析) -- ROP(二)

linux 内核提权总结(demo+exp分析) -- ROP(二)

ret2usr CR4篇 本文转自网络文章,内容均为非盈利,版权归原作者所有。 转载此文章仅为个人收藏,分享知识,如有侵权,马上删除。 原文作者:jmpcall 专栏地址:https://zhuanlan.kanxue.com/user-815036.htm   smep: smep是内核的一种保护措施, 使得内核不可执行用户态代码 内核通过CR4寄存器的第20位来控制smep,
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2