UACME

• Mengalahkan Kontrol Akun Pengguna Windows dengan menyalahgunakan pintu belakang Windows AutoElevate bawaan.

• x86-32/x64 Windows 7/8/8.1/10/11 (klien, namun beberapa metode juga berfungsi pada versi server).
• Diperlukan akun admin dengan UAC yang disetel pada pengaturan default.

Jalankan executable dari baris perintah: akagi32 [Key] [Param] atau akagi64 [Key] [Param]. Lihat "Menjalankan contoh" di bawah untuk informasi lebih lanjut.

Parameter pertama adalah jumlah metode yang akan digunakan, kedua adalah perintah opsional (nama file yang dapat dieksekusi termasuk path lengkap) untuk dijalankan. Parameter kedua boleh kosong - dalam hal ini program akan menjalankan cmd.exe yang ditinggikan dari folder system32.

Catatan : Sejak versi 3.5.0 semua metode "tetap" dianggap usang dan dihapus bersama semua kode/unit pendukung. Jika Anda masih membutuhkannya - gunakan cabang v3.2.x

Catatan:

• Metode (30) (63) dan yang lebih baru diimplementasikan hanya dalam versi x64;
• Metode (30) memerlukan x64 karena menyalahgunakan fitur subsistem WOW64;
• Metode (55) tidak terlalu dapat diandalkan (seperti peretasan GUI lainnya) dan disertakan hanya untuk bersenang-senang;
• Metode (78) mengharuskan kata sandi akun pengguna saat ini tidak boleh kosong.

Jalankan contoh:

• akagi32.exe 23
• akagi64.exe 61
• akagi32 23 c:windowssystem32calc.exe
• akagi64 61 c:windowssystem32charmap.exe

• Alat ini HANYA menunjukkan metode bypass UAC populer yang digunakan oleh malware, dan menerapkan kembali beberapa di antaranya dengan cara berbeda untuk meningkatkan konsep aslinya. Ada cara berbeda yang belum diketahui masyarakat umum. Waspadai hal ini;
• Alat ini tidak dimaksudkan untuk pengujian AV dan tidak diuji untuk bekerja di lingkungan AV yang agresif, jika Anda masih berencana menggunakannya dengan perangkat lunak AV bloatware yang terinstal - gunakan dengan risiko Anda sendiri;
• Beberapa AV mungkin menandai alat ini sebagai HackTool, MSE/WinDefender terus-menerus menandainya sebagai malware, tidak;
• Jika Anda menjalankan program ini di komputer sungguhan, ingatlah untuk menghapus semua sisa program setelah penggunaan, untuk informasi lebih lanjut tentang file, program ini akan dimasukkan ke folder sistem, lihat kode sumber;
• Sebagian besar metode dibuat untuk x64, tanpa mempertimbangkan dukungan x86-32. Saya tidak melihat ada gunanya mendukung Windows versi 32 bit atau wow64, namun dengan sedikit perubahan, sebagian besar dari mereka akan berjalan di bawah wow64 juga.

Jika Anda bertanya-tanya mengapa ini masih ada dan berfungsi - berikut penjelasannya - Microsoft WHITEFLAG resmi (termasuk pernyataan yang benar-benar tidak kompeten sebagai bonus) https://devblogs.microsoft.com/oldnewthing/20160816-00/?p=94105

• UACMe diuji hanya dengan varian LSTB/LTSC (1607/1809) dan versi RTM-1 Terakhir, misalnya jika versi saat ini adalah 2004 maka akan diuji pada 2004 (19041) dan versi sebelumnya 1909 (18363);
• Pembuatan orang dalam tidak didukung karena metode mungkin diperbaiki di sana.

• Akun tanpa hak administratif.

• Kami tidak bertanggung jawab atas penggunaan alat ini untuk tujuan jahat. Ini gratis, bersumber terbuka, dan disediakan apa adanya untuk semua orang.

• Saat ini digunakan sebagai "tanda tangan" oleh pemindai "THOR APT" (penipuan pencocokan pola buatan tangan dari Jerman). Kami tidak bertanggung jawab atas penggunaan alat ini dalam perangkat lunak penipuan;
• Repositori https://github.com/hfiref0x/UACME dan isinya adalah satu-satunya sumber asli untuk kode UACMe. Kami tidak ada hubungannya dengan tautan eksternal ke proyek ini, menyebutkan di mana saja serta modifikasi (garpu);
• Pada bulan Juli 2016, apa yang disebut "perusahaan keamanan" Cymmetria merilis laporan tentang bundel malware script-kiddie yang disebut "Patchwork" dan salah menandainya sebagai APT. Mereka menyatakan itu menggunakan "metode UACME", yang sebenarnya hanya sedikit dan tidak profesional memodifikasi injector dll dari UACMe v1.9 dan menggunakan metode hybrid Carberp/Pitou dengan cara yang diimplementasikan sendiri oleh malware. Kami tidak bertanggung jawab atas penggunaan UACMe dalam kampanye iklan yang meragukan dari "perusahaan keamanan" pihak ketiga.

• UACMe hadir dengan kode sumber lengkap, ditulis dalam C;
• Untuk membangun dari sumber, Anda memerlukan Microsoft Visual Studio 2019 dan versi yang lebih baru.

• Mereka tidak disediakan sejak 2.8.9 dan tidak akan pernah disediakan di masa depan. Alasannya (dan mengapa Anda juga tidak boleh memberikannya kepada masyarakat umum):
  • Jika Anda melihat proyek ini secara singkat, ini adalah HackTool, meskipun tujuan awalnya adalah menjadi demonstran. Tentu saja beberapa AV mendeteksinya sebagai HackTool (misalnya MS WD), namun sebagian besar pasien VirusTotal mendeteksinya sebagai "malware" umum. Hal ini tentu saja tidak benar, namun sayangnya beberapa penulis malware yang malas secara membabi buta menyalin-menempelkan kode ke crapware mereka (atau bahkan menggunakan alat ini secara langsung) sehingga beberapa AV membuat tanda tangan berdasarkan bagian kode proyek;
  • Dengan memberikan binari yang dikompilasi kepada semua orang, Anda membuat kehidupan anak-anak skrip menjadi lebih mudah karena kebutuhan untuk mengkompilasi dari sumber berfungsi sebagai penghalang sempurna bagi anak-anak skrip yang sangat bodoh dan "pengklik tombol";
  • Mengkompilasi biner dalam repositori pada akhirnya akan menyebabkan halaman repositori ini ditandai sebagai berbahaya (karena alasan di atas) oleh berbagai filter konten (SmartScreen, Google Safe Browsing, dll).
• Keputusan ini bersifat final dan tidak akan diubah.

• Pilih Platform ToolSet terlebih dahulu untuk proyek dalam solusi yang ingin Anda bangun (Proyek->Properti->Umum):

  • v142 untuk Visual Studio 2019;
  • v143 untuk Visual Studio 2022.

• Untuk v140 dan yang lebih baru, tetapkan Versi Platform Target (Proyek->Properti->Umum):

  • Jika v140 maka pilih 8.1 (Perhatikan bahwa Windows 8.1 SDK harus diinstal);
  • Jika v141 ke atas maka pilih 10.

• SDK berikut diperlukan untuk membangun biner:

  • Windows 8.1 atau Windows 10 SDK (diuji dengan versi 19041)
  • .NET Framework SDK (diuji dengan versi 4.8)

• Untuk membangun biner yang berfungsi:

  • Kompilasi unit muatan
  • Kompilasi modul Naka
  • Enkripsi semua unit payload menggunakan modul Naka
  • Hasilkan gumpalan rahasia untuk unit ini menggunakan modul Naka
  • Pindahkan unit terkompilasi dan gumpalan rahasia ke direktori AkagiBin
  • Bangun kembali Akagi

• Daftar putih UAC Windows 7, http://www.pretentiousname.com/misc/win7_uac_whitelist2.html
• Shims Kompatibilitas Aplikasi Berbahaya, https://www.blackhat.com/docs/eu-15/materials/eu-15-Pierce-Defending-Against-Malicious-Application-Compatibility-Shims-wp.pdf
• Junfeng Zhang dari blog tim pengembang WinSxS, https://blogs.msdn.microsoft.com/junfeng/
• Selain kunci Run yang bagus, rangkaian artikel, http://www.hexacorn.com/blog
• KernelMode.Info Utas UACMe, https://www.kernelmode.info/forum/viewtopicf985.html?f=11&t=3643
• Injeksi/Elevasi Perintah - Variabel Lingkungan Ditinjau Kembali, https://breakingmalware.com/vulnerabilities/command-injection-and-elevation-environment-variables-revisited
• Bypass UAC "Tanpa File" Menggunakan eventvwr.exe dan Pembajakan Registri, https://enigma0x3.net/2016/08/15/fileless-uac-bypass-using-eventvwr-exe-and-registry-hijacking/
• Melewati UAC di Windows 10 menggunakan Disk Cleanup, https://enigma0x3.net/2016/07/22/bypassing-uac-on-windows-10-using-disk-cleanup/
• Menggunakan antarmuka com iarpuninstallStringlauncher ke bypass uac, http://www.freebuf.com/articles/system/116611.html
• Melewati UAC menggunakan jalur aplikasi, https://enigma0x3.net/2017/03/14/bypassing-uac-using-app-paths/
• "Fileless" UAC Bypass menggunakan sdclt.exe, https://enigma0x3.net/2017/03/17/fileless-uac-bypass-using-sdclt-exe/
• UAC Bypass atau cerita tentang tiga eskalasi, https://habrahabr.ru/company/pm/blog/328008/
• Mengeksploitasi variabel lingkungan dalam tugas yang dijadwalkan untuk bypass uac, https://tyranidslair.blogspot.ru/2017/05/exploiting-environment-variables-in.html
• Entri Pertama: Selamat Datang dan File Bypass, https://winscripting.blog/2017/05/12/first-entry-welcome-and-uac-bypass/
• Membaca jalan Anda di sekitar UAC dalam 3 bagian:
  1. https://tyranidslair.blogspot.ru/2017/05/reading-your-way-around-uac-part-1.html
  2. https://tyranidslair.blogspot.ru/2017/05/reading-yway-way-uac-uac-part-2.html
  3. https://tyranidslair.blogspot.ru/2017/05/reading-your-way-Around-uac-part-3.html
• Penelitian tentang cmstp.exe, https://msitpros.com/?p=3960
• UAC Bypass melalui Aplikasi .NET yang ditinggikan, https://offsec.provadys.com/uac-bypass-dotnet.html
• UAC Bypass dengan mengejek direktori tepercaya, https://medium.com/tenable-techblog/uac-bypass-by-mocking-trusted-directories-24a96675f6e
• Bypass sdclt uac lainnya, http://blog.sevagas.com/?yet-another-sdclt-uac-bypass
• UAC Bypass melalui SystemPropertiesAdvanced.exe dan DLL Pembajakan, https://egre55.github.io/system-propersies-uac-bypass/
• Mengakses Token Akses untuk Uiaccess, https://tyranidslair.blogspot.com/2019/02/accessing-access-tokens-for-uiaccess.html
• Bypass UAC Fileless di Windows Store Binary, https://www.activecyber.us/1/post/2019/03/windows-uac-bypass.html
• Memanggil server RPC Windows lokal dari .net, https://goOgleprojectzero.blogspot.com/2019/12/calling-local-windows-rpc-servers-from.html
• Microsoft Windows 10 UAC Bypass Privilege Lokal Espalation Exploit, https://packetstormsecurity.com/files/155927/microsoft-windows-10-local-privilege-escalation.html
• UACME 3.5, WD dan cara mitigasi, https://swapcontext.blogspot.com/2020/10/uacme-35-wd-and-ways-of-mitigation.html
• UAC Bypasses dari ComAutoApprovallist, https://swapcontext.blogspot.com/2020/11/uac-bypasses-from-comautoapprovallist.html
• Memanfaatkan Pengidentifikasi Programatik (Progids) untuk Bypass UAC, https://v3ded.github.io/redteam
• Msdt dl HIJACK UAC BYPASS, https://blog.sevagas.com/?msdt-dll-hijack-uac-bypass
• UAC Bypass melalui .NET Deserialization Kerentanan di EventVwr.exe, https://twitter.com/ORange_8361/Status/15189702598686626944
• Playbook Penjadwal Tugas Windows Tingkat Lanjut - Bagian.2 Dari COM ke UAC Bypass dan Dapatkan Sistem secara langsung, http://www.zcgonvh.com/post/advanced_windows_task_scheduler_playbook-part.2_from_to_uac_bypass_and_get_system_dirte.dircr
• Melewati UAC dengan konteks datagram sspi, https://splintercod3.blogspot.com/p/bypassing-uac-with-spi-datagram.html
• Mengurangi beberapa eksploitasi untuk Windows'® UAC, https://skanthak.hier-im-netz.de/uacamole.html

(c) 2014 - 2024 Proyek UACME