홈페이지>프로그래밍 관련>기타 소스코드
다운로드

UACMe

  • 내장된 Windows AutoElevate 백도어를 악용하여 Windows 사용자 계정 컨트롤을 무력화합니다.

시스템 요구 사항

  • x86-32/x64 Windows 7/8/8.1/10/11(클라이언트, 그러나 일부 방법은 서버 버전에서도 작동함)
  • 기본 설정으로 UAC가 설정된 관리자 계정이 필요합니다.

용법

명령줄에서 실행 파일을 실행합니다: akagi32 [Key] [Param] 또는 akagi64 [Key] [Param]. 자세한 내용은 아래의 "예제 실행"을 참조하세요.

첫 번째 매개변수는 사용할 메소드 수이고, 두 번째 매개변수는 실행할 선택적 명령(전체 경로를 포함한 실행 파일 이름)입니다. 두 번째 매개변수는 비어 있을 수 있습니다. 이 경우 프로그램은 system32 폴더에서 상승된 cmd.exe를 실행합니다.

참고 : 3.5.0 버전부터 모든 "고정된" 메소드는 더 이상 사용되지 않는 것으로 간주되어 모든 지원 코드/유닛과 함께 완전히 제거되었습니다. 여전히 필요한 경우 v3.2.x 분기를 사용하세요.

키(확대/축소하려면 클릭)
  1. 저자: 레오 데이비슨
    • 유형: DLL 하이재킹
    • 메서드: IFileOperation
    • 대상: system32sysprepsysprep.exe
    • 구성 요소: cryptbase.dll
    • 구현: ucmStandardAutoElevation
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 8.1(9600)
      • 방법: sysprep.exe가 LoadFrom 매니페스트 요소를 강화했습니다.
    • 코드 상태: v3.5.0부터 제거됨 ?
  2. 저자: 레오 데이비슨 파생물
    • 유형: DLL 하이재킹
    • 메서드: IFileOperation
    • 대상: system32sysprepsysprep.exe
    • 구성 요소: ShCore.dll
    • 구현: ucmStandardAutoElevation
    • 작동: Windows 8.1(9600)
    • 수정 버전: Windows 10 TP(> 9600)
      • 방법: KnownDlls로 이동하는 ShCore.dll의 부작용
    • 코드 상태: v3.5.0부터 제거됨 ?
  3. 저자: WinNT/Pitou의 Leo Davidson 파생물
    • 유형: DLL 하이재킹
    • 메서드: IFileOperation
    • 대상: system32oobesetupsqm.exe
    • 구성 요소: WdsCore.dll
    • 구현: ucmStandardAutoElevation
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 TH2(10558)
      • 방법: OOBE 재설계의 부작용
    • 코드 상태: v3.5.0부터 제거됨 ?
  4. 작성자: Jon Ericson, WinNT/Gootkit, mzH
    • 유형: AppCompat
    • 방법: RedirectEXE 심
    • 대상: system32cliconfg.exe
    • 구성 요소: -
    • 구현: ucmShimRedirectEXE
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 TP(> 9600)
      • 방법: Sdbinst.exe 자동 상승 제거, 나머지 Windows 버전의 경우 KB3045645/KB3048097
    • 코드 상태: v3.5.0부터 제거됨 ?
  5. 작성자: WinNT/심다
    • 유형: 향상된 COM 인터페이스
    • 방법: ISecurityEditor
    • 대상: HKLM 레지스트리 키
    • 구성 요소: -
    • 구현: ucmSimdaTurnOffUac
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 TH1(10147)
      • 방법: ISecurityEditor 인터페이스 방법이 변경되었습니다.
    • 코드 상태: v3.5.0부터 제거됨 ?
  6. 작성자: Win32/Carberp
    • 유형: DLL 하이재킹
    • 방법: WUSA
    • 대상: ehomemcx2prov.exe, system32migwizmigwiz.exe
    • 구성 요소: WdsCore.dll, CryptBase.dll, CryptSP.dll
    • 구현: ucmWusaMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 TH1(10147)
      • 방법: WUSA /extract 옵션이 제거되었습니다.
    • 코드 상태: v3.5.0부터 제거됨 ?
  7. 작성자: Win32/Carberp 파생물
    • 유형: DLL 하이재킹
    • 방법: WUSA
    • 대상: system32cliconfg.exe
    • 구성요소: ntwdblib.dll
    • 구현: ucmWusaMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 TH1(10147)
      • 방법: WUSA /extract 옵션이 제거되었습니다.
    • 코드 상태: v3.5.0부터 제거됨 ?
  8. 저자: Win32/Tilon의 Leo Davidson 파생물
    • 유형: DLL 하이재킹
    • 메서드: IFileOperation
    • 대상: system32sysprepsysprep.exe
    • 구성 요소: Actionqueue.dll
    • 구현: ucmStandardAutoElevation
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 8.1(9600)
      • 방법: sysprep.exe가 LoadFrom 매니페스트를 강화했습니다.
    • 코드 상태: v3.5.0부터 제거됨 ?
  9. 저자: Leo Davidson, WinNT/Simda, Win32/Carberp 파생물
    • 유형: DLL 하이재킹
    • 메서드: IFileOperation, ISecurityEditor, WUSA
    • 대상: IFEO 레지스트리 키, system32cliconfg.exe
    • 구성 요소: 공격자가 정의한 Application Verifier Dll
    • 구현: ucmAvrfMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 TH1(10147)
      • 방법: WUSA /extract 옵션이 제거되고 ISecurityEditor 인터페이스 방법이 변경되었습니다.
    • 코드 상태: v3.5.0부터 제거됨 ?
  10. 작성자: WinNT/Pitou, Win32/Carberp 파생물
    • 유형: DLL 하이재킹
    • 메서드: IFileOperation, WUSA
    • 대상: system32{신규}또는{기존}{autoelevated}.exe, 예: Winsat.exe
    • 구성 요소: 공격자가 정의한 dll(예: PowProf.dll, DevObj.dll)
    • 구현: ucmWinSATMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 TH2(10548)
      • 방법: AppInfo의 향상된 애플리케이션 경로 제어 강화
    • 코드 상태: v3.5.0부터 제거됨 ?
  11. 작성자: Jon Ericson, WinNT/Gootkit, mzH
    • 유형: AppCompat
    • 방법: 심 메모리 패치
    • 대상: system32iscsicli.exe
    • 구성요소: 공격자가 준비한 쉘코드
    • 구현: ucmShimPatch
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 8.1(9600)
      • 방법: Sdbinst.exe 자동 상승 제거, 나머지 Windows 버전의 경우 KB3045645/KB3048097
    • 코드 상태: v3.5.0부터 제거됨 ?
  12. 저자: 레오 데이비슨 파생물
    • 유형: DLL 하이재킹
    • 메서드: IFileOperation
    • 대상: system32sysprepsysprep.exe
    • 구성 요소: dbgcore.dll
    • 구현: ucmStandardAutoElevation
    • 작동 제품: Windows 10 TH1(10240)
    • 수정 버전: Windows 10 TH2(10565)
      • 방법: sysprep.exe 매니페스트가 업데이트되었습니다.
    • 코드 상태: v3.5.0부터 제거됨 ?
  13. 저자: 레오 데이비슨 파생물
    • 유형: DLL 하이재킹
    • 메서드: IFileOperation
    • 대상: system32mmc.exe EventVwr.msc
    • 구성 요소: elseext.dll
    • 구현: ucmMCM방법
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 RS1(14316)
      • 방법: 누락된 종속성이 제거됨
    • 코드 상태: v3.5.0부터 제거됨 ?
  14. 저자: Leo Davidson, WinNT/Sirefef 파생물
    • 유형: DLL 하이재킹
    • 메서드: IFileOperation
    • 대상: systemcredwiz.exe, system32wbemoobe.exe
    • 구성 요소: netutils.dll
    • 구현: ucmSirefefMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 TH2(10548)
      • 방법: AppInfo의 향상된 애플리케이션 경로 제어 강화
    • 코드 상태: v3.5.0부터 제거됨 ?
  15. 작성자: Leo Davidson, Win32/Addrop, Metasploit 파생물
    • 유형: DLL 하이재킹
    • 메서드: IFileOperation
    • 대상: system32cliconfg.exe
    • 구성 요소: ntwdblib.dll
    • 구현: ucmGenericAutoelevation
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 RS1(14316)
      • 방법: Cliconfg.exe 자동 고도 제거
    • 코드 상태: v3.5.0부터 제거됨 ?
  16. 저자: 레오 데이비슨 파생물
    • 유형: DLL 하이재킹
    • 메서드: IFileOperation
    • 대상: system32GWXGWXUXWorker.exe, system32inetsrvinetmgr.exe
    • 구성 요소: SLC.dll
    • 구현: ucmGWX
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 RS1(14316)
      • 방법: AppInfo의 향상된 애플리케이션 경로 제어 및 inetmgr 실행 파일 강화
    • 코드 상태: v3.5.0부터 제거됨 ?
  17. 저자: 레오 데이비슨 파생물
    • 유형: Dll Hijack(가져오기 전달)
    • 메서드: IFileOperation
    • 대상: system32sysprepsysprep.exe
    • 구성 요소: unbcl.dll
    • 구현: ucmStandardAutoElevation2
    • 작동: Windows 8.1(9600)
    • 수정 버전: Windows 10 RS1(14371)
      • 방법: sysprep.exe 매니페스트가 업데이트되었습니다.
    • 코드 상태: v3.5.0부터 제거됨 ?
  18. 저자: 레오 데이비슨 파생물
    • 유형: Dll Hijack(매니페스트)
    • 메서드: IFileOperation
    • 대상: system32taskhost.exe, system32tzsync.exe(매니페스트가 없는 모든 ms exe)
    • 구성요소: 공격자가 정의됨
    • 구현: ucmAutoElevateManifest
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 RS1(14371)
      • 방법: 매니페스트 구문 분석 논리 검토
    • 코드 상태: v3.5.0부터 제거됨 ?
  19. 저자: 레오 데이비슨 파생물
    • 유형: Dll 하이재킹
    • 메서드: IFileOperation
    • 대상: system32inetsrvinetmgr.exe
    • 구성 요소: MsCoree.dll
    • 구현: ucmInetMgrMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 RS1(14376)
      • 방법: inetmgr.exe 실행 가능 매니페스트 강화, MitigationPolicy->ProcessImageLoadPolicy->PreferSystem32Images
    • 코드 상태: v3.5.0부터 제거됨 ?
  20. 저자: 레오 데이비슨 파생물
    • 유형: DLL 하이재킹
    • 메서드: IFileOperation
    • 대상: system32mmc.exe, Rsop.msc
    • 구성 요소: WbemComn.dll
    • 구현: ucmMCM방법
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 RS3(16232)
      • 방법: Target에서는 MS의 서명을 받으려면 wbemcomn.dll이 필요합니다.
    • 코드 상태: v3.5.0부터 제거됨 ?
  21. 저자: 레오 데이비슨 파생물
    • 유형: DLL 하이재킹
    • 메서드: IFileOperation, SxS DotLocal
    • 대상: system32sysprepsysprep.exe
    • 구성 요소: comctl32.dll
    • 구현: ucmSXSMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 RS3(16232)
      • 방법: MitigationPolicy->ProcessImageLoadPolicy->PreferSystem32Images
    • 코드 상태: v3.5.0부터 제거됨 ?
  22. 저자: 레오 데이비슨 파생물
    • 유형: DLL 하이재킹
    • 메서드: IFileOperation, SxS DotLocal
    • 대상: system32consent.exe
    • 구성 요소: comctl32.dll
    • 구현: ucmSXSMethod
    • 작동 대상: Windows 7(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v2.5.0에 추가됨
  23. 저자: 레오 데이비슨 파생물
    • 유형: DLL 하이재킹
    • 메서드: IFileOperation
    • 대상: system32pkgmgr.exe
    • 구성 요소: DismCore.dll
    • 구현: ucmDismMethod
    • 작동 대상: Windows 7(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v2.5.1에 ​​추가됨
  24. 작성자: BreakingMalware
    • 유형: 쉘 API
    • 방법: 환경 변수 확장
    • 대상: system32CompMgmtLauncher.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmCometMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 RS2(15031)
      • 방법: CompMgmtLauncher.exe 자동 고도 제거
    • 코드 상태: v3.5.0부터 제거됨 ?
  25. 저자: Enigma0x3
    • 유형: 쉘 API
    • 방법: 레지스트리 키 조작
    • 대상: system32EventVwr.exe, system32CompMgmtLauncher.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmHijackShellCommandMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 RS2(15031)
      • 방법: EventVwr.exe 재설계, CompMgmtLauncher.exe 자동 고도 제거
    • 코드 상태: v3.5.0부터 제거됨 ?
  26. 저자: Enigma0x3
    • 유형: 경쟁 조건
    • 방법: 파일 덮어쓰기
    • 대상: %temp%GUIDdismhost.exe
    • 구성 요소: LogProvider.dll
    • 구현: ucmDiskCleanupRaceCondition
    • 작동 제품: Windows 10 TH1(10240)
    • AlwaysNotify 호환
    • 수정 버전: Windows 10 RS2(15031)
      • 방법: 파일 보안 권한이 변경되었습니다.
    • 코드 상태: v3.5.0부터 제거됨 ?
  27. 작성자: ExpLife
    • 유형: 향상된 COM 인터페이스
    • 방법: IARPUninstallStringLauncher
    • 대상: 공격자가 정의됨
    • 구성요소: 공격자가 정의됨
    • 구현: ucmUninstallLauncherMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 RS3(16199)
      • 방법: COMAutoApprovalList에서 UninstallStringLauncher 인터페이스가 제거되었습니다.
    • 코드 상태: v3.5.0부터 제거됨 ?
  28. 작성자: 익스플로잇/샌드웜
    • 유형: 화이트리스트 구성요소
    • 메서드: InfDefaultInstall
    • 대상: 공격자가 정의됨
    • 구성요소: 공격자가 정의됨
    • 구현: ucmSandwormMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 8.1(9600)
      • 방법: InfDefaultInstall.exe가 g_lpAutoApproveEXEList에서 제거되었습니다(MS14-060).
    • 코드 상태: v3.5.0부터 제거됨 ?
  29. 저자: Enigma0x3
    • 유형: 쉘 API
    • 방법: 레지스트리 키 조작
    • 대상: system32sdclt.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmAppPathMethod
    • 작동 제품: Windows 10 TH1(10240)
    • 수정 버전: Windows 10 RS3(16215)
      • 방법: 셸 API 업데이트
    • 코드 상태: v3.5.0부터 제거됨 ?
  30. 저자: Leo Davidson 파생물, lhc645
    • 유형: DLL 하이재킹
    • 방법: WOW64 로거
    • 대상: syswow64{모든 상승된 exe, 예: wusa.exe}
    • 구성 요소: wow64log.dll
    • 구현: ucmWow64LoggerMethod
    • 작동 대상: Windows 7(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v2.7.0에 추가됨
  31. 저자: Enigma0x3
    • 유형: 쉘 API
    • 방법: 레지스트리 키 조작
    • 대상: system32sdclt.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmSdcltIsolatedCommandMethod
    • 작동 제품: Windows 10 TH1(10240)
    • 수정 버전: Windows 10 RS4(17025)
      • 방법: Shell API/Windows 구성 요소 업데이트
    • 코드 상태: v3.5.0부터 제거됨 ?
  32. 저자: xi-tauw
    • 유형: DLL 하이재킹
    • 방법: uiAccess 애플리케이션을 사용한 UIPI 우회
    • 대상: Program FilesWindows Media Playerosk.exe, system32EventVwr.exe, system32mmc.exe
    • 구성 요소: duser.dll, osksupport.dll
    • 구현: ucmUiAccessMethod
    • 작동 대상: Windows 7(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v2.7.1에 추가됨
  33. 작성자: winscripting.blog
    • 유형: 쉘 API
    • 방법: 레지스트리 키 조작
    • 대상: system32fodhelper.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmShellRegModMethod
    • 작동 제품: Windows 10 TH1(10240)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v2.7.2에 추가됨
  34. 저자: 제임스 포쇼
    • 유형: 쉘 API
    • 방법: 환경 변수 확장
    • 대상: system32schtasks.exe를 통한 system32svchost.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmDiskCleanupEnvironmentVariable
    • 작동: Windows 8.1(9600)
    • AlwaysNotify 호환
    • 수정 버전: Windows 10(자동 닌자 패치, 2023년 5월 보안 게시판으로 추정)
      • 방법: Shell API/Windows 구성요소 업데이트
    • 코드 상태: v2.7.2에 추가됨
  35. 저자: CIA & 제임스 포쇼
    • 유형: 가장
    • 방법: 토큰 조작
    • 대상: 자동 승격된 애플리케이션
    • 구성요소: 공격자가 정의됨
    • 구현: ucmTokenModification
    • 작동 대상: Windows 7(7600)
    • AlwaysNotify 호환 가능, 참고 사항 참조
    • 수정 버전: Windows 10 RS5(17686)
      • 방법: ntoskrnl.exe->SeTokenCanImpersonate 추가 액세스 토큰 확인이 추가되었습니다.
    • 코드 상태: v3.5.0부터 제거됨 ?
  36. 저자: Thomas Vanhoutte(일명 SandboxEscaper)
    • 유형: 경쟁 조건
    • 방법: NTFS 재분석 지점 및 Dll 하이재킹
    • 대상: wusa.exe, pkgmgr.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmJunctionMethod
    • 작동 대상: Windows 7(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v2.7.4에 추가됨
  37. 저자: 에르네스토 페르난데스, 토마스 반호트
    • 유형: Dll 하이재킹
    • 방법: SxS DotLocal, NTFS 재분석 지점
    • 대상: system32dccw.exe
    • 구성 요소: GdiPlus.dll
    • 구현: ucmSXSDccwMethod
    • 작동 대상: Windows 7(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v2.7.5에 추가됨
  38. 저자: 클레망 루오
    • 유형: 화이트리스트 구성요소
    • 방법: APPINFO 명령줄 스푸핑
    • 대상: system32mmc.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmHakrilMethod
    • 작동 대상: Windows 7(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v2.7.6에 추가됨
  39. 저자: 스테판 칸탁
    • 유형: Dll 하이재킹
    • 방법: .NET 코드 프로파일러
    • 대상: system32mmc.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmCorProfilerMethod
    • 작동 대상: Windows 7(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v2.7.7에 추가됨
  40. 저자 : 루벤 부넨
    • 유형: COM 핸들러 하이재킹
    • 방법: 레지스트리 키 조작
    • 대상: system32mmc.exe, system32recdisc.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmCOMHandlersMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 19H1(18362)
      • 방법: Windows 변경의 부작용
    • 코드 상태: v3.5.0부터 제거됨 ?
  41. 저자: Oddvar Moe
    • 유형: 향상된 COM 인터페이스
    • 방법: ICMLuaUtil
    • 대상: 공격자가 정의됨
    • 구성요소: 공격자가 정의됨
    • 구현: ucmCMLuaUtilShellExecMethod
    • 작동 대상: Windows 7(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v2.7.9에 추가됨
  42. 작성자: BreakingMalware 및 Enigma0x3
    • 유형: 향상된 COM 인터페이스
    • 방법: IFwCplLua
    • 대상: 공격자가 정의됨
    • 구성요소: 공격자가 정의됨
    • 구현: ucmFwCplLuaMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 RS4(17134)
      • 방법: 셸 API 업데이트
    • 코드 상태: v3.5.0부터 제거됨 ?
  43. 저자: Oddvar Moe 파생물
    • 유형: 향상된 COM 인터페이스
    • 메서드: IColorDataProxy, ICMLuaUtil
    • 대상: 공격자가 정의됨
    • 구성요소: 공격자가 정의됨
    • 구현: ucmDccwCOMMethod
    • 작동 대상: Windows 7(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v2.8.3에 추가됨
  44. 작성자: bytecode77
    • 유형: 쉘 API
    • 방법: 환경 변수 확장
    • 대상: 여러 자동 승격 프로세스
    • 구성 요소: 대상별로 다양함
    • 구현: ucmVolatileEnvMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 RS3(16299)
      • 방법: 프로세스 생성 중에 현재 사용자 시스템 디렉터리 변수가 무시됩니다.
    • 코드 상태: v3.5.0부터 제거됨 ?
  45. 작성자: bytecode77
    • 유형: 쉘 API
    • 방법: 레지스트리 키 조작
    • 대상: system32slui.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmSluiHijackMethod
    • 작동: Windows 8.1(9600)
    • 수정 버전: Windows 10 20H1(19041)
      • 방법: Windows 변경의 부작용
    • 코드 상태: v3.5.0부터 제거됨 ?
  46. 작성자: 익명
    • 유형: 경쟁 조건
    • 방법: 레지스트리 키 조작
    • 대상: system32BitlockerWizardElev.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmBitlockerRCMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 RS4(>16299)
      • 방법: 셸 API 업데이트
    • 코드 상태: v3.5.0부터 제거됨 ?
  47. 저자: clavoillotte & 3gstudent
    • 유형: COM 핸들러 하이재킹
    • 방법: 레지스트리 키 조작
    • 대상: system32mmc.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmCOMHandlersMethod2
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 19H1(18362)
      • 방법: Windows 변경의 부작용
    • 코드 상태: v3.5.0부터 제거됨 ?
  48. 작가: 데로코
    • 유형: 향상된 COM 인터페이스
    • 메소드: ISPPLUAObject
    • 대상: 공격자가 정의됨
    • 구성요소: 공격자가 정의됨
    • 구현: ucmSPPLUAObjectMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 RS5(17763)
      • 방법: ISPPLUAObject 인터페이스 메소드가 변경되었습니다.
    • 코드 상태: v3.5.0부터 제거됨 ?
  49. 작가: RinN
    • 유형: 향상된 COM 인터페이스
    • 메서드: ICreateNewLink
    • 대상: system32TpmInit.exe
    • 구성 요소: WbemComn.dll
    • 구현: ucmCreateNewLinkMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 RS1(14393)
      • 방법: 동의.exe COMAutoApprovalList 도입의 부작용
    • 코드 상태: v3.5.0부터 제거됨 ?
  50. 작성자: 익명
    • 유형: 향상된 COM 인터페이스
    • 메서드: IDateTimeStateWrite, ISPPLUAObject
    • 대상: w32time 서비스
    • 구성 요소: w32time.dll
    • 구현: ucmDateTimeStateWriterMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 RS5(17763)
      • 방법: ISPPLUAObject 인터페이스 변경의 부작용
    • 코드 상태: v3.5.0부터 제거됨 ?
  51. 저자: bytecode77 파생물
    • 유형: 향상된 COM 인터페이스
    • 메서드: IAccessibilityCplAdmin
    • 대상: system32rstrui.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmAcCplAdminMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 RS4(17134)
      • 방법: 셸 API 업데이트
    • 코드 상태: v3.5.0부터 제거됨 ?
  52. 저자: 데이비드 웰스
    • 유형: 화이트리스트 구성요소
    • 방법: AipNormalizePath 구문 분석 남용
    • 대상: 공격자가 정의됨
    • 구성요소: 공격자가 정의됨
    • 구현: ucmDirectoryMockMethod
    • 작동 대상: Windows 7(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.0.4에 추가됨
  53. 저자: 에메릭 나시
    • 유형: 쉘 API
    • 방법: 레지스트리 키 조작
    • 대상: system32sdclt.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmShellRegModMethod
    • 작동 대상: Windows 10(14393)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.1.3에 추가됨
  54. 작가: egre55
    • 유형: DLL 하이재킹
    • 방법: DLL 경로 검색 남용
    • 대상: syswow64SystemPropertiesAdvanced.exe 및 기타 SystemProperties*.exe
    • 구성 요소: AppDataLocalMicrosoftWindowsAppssrrstr.dll
    • 구현: ucmEgre55Method
    • 작동 대상: Windows 10(14393)
    • 수정 버전: Windows 10 19H1(18362)
      • 방법: 보안 로드 라이브러리 호출을 위해 SysDm.cpl!_CreateSystemRestorePage가 업데이트되었습니다.
    • 코드 상태: v3.5.0부터 제거됨 ?
  55. 저자: 제임스 포쇼
    • 유형: GUI 해킹
    • 방법: 토큰 수정을 통한 UIPI 우회
    • 대상: system32osk.exe, system32msconfig.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmTokenModUIAccessMethod
    • 작동 대상: Windows 7(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.1.5에 추가됨
  56. 저자 : 하심 자와드
    • 유형: 쉘 API
    • 방법: 레지스트리 키 조작
    • 대상: system32WSReset.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmShellRegModMethod2
    • 작동 대상: Windows 10(17134)
    • 수정 버전: Windows 11(22000)
      • 방법: Windows 구성 요소 재설계
    • 코드 상태: v3.5.7부터 제거됨?
  57. 저자: Win32/Gapz의 Leo Davidson 파생물
    • 유형: DLL 하이재킹
    • 메서드: IFileOperation
    • 대상: system32sysprepsysprep.exe
    • 구성 요소: unattend.dll
    • 구현: ucmStandardAutoElevation
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 8.1(9600)
      • 방법: sysprep.exe가 LoadFrom 매니페스트 요소를 강화했습니다.
    • 코드 상태: v3.5.0부터 제거됨 ?
  58. 작가: RinN
    • 유형: 향상된 COM 인터페이스
    • 메서드: IEditionUpgradeManager
    • 대상: system32clipup.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmEditionUpgradeManagerMethod
    • 작동 대상: Windows 10(14393)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.2.0에 추가됨
  59. 저자: 제임스 포쇼
    • 유형: AppInfo ALPC
    • 방법: RAiLaunchAdminProcess 및 DebugObject
    • 대상: 공격자가 정의됨
    • 구성요소: 공격자가 정의됨
    • 구현: ucmDebugObjectMethod
    • 작동 대상: Windows 7(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.2.3에 추가됨
  60. 저자: WinNT/Glupteba의 Enigma0x3 파생물
    • 유형: 쉘 API
    • 방법: 레지스트리 키 조작
    • 대상: system32CompMgmtLauncher.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmGluptebaMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 10 RS2(15063)
      • 방법: CompMgmtLauncher.exe 자동 고도 제거
    • 코드 상태: v3.5.0부터 제거됨 ?
  61. 저자: Nassim Asrir의 Enigma0x3/bytecode77 파생물
    • 유형: 쉘 API
    • 방법: 레지스트리 키 조작
    • 대상: system32slui.exe, system32changepk.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmShellRegModMethod
    • 작동 대상: Windows 10(14393)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.2.5에 추가됨
  62. 작성자: winscripting.blog
    • 유형: 쉘 API
    • 방법: 레지스트리 키 조작
    • 대상: system32computerdefaults.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmShellRegModMethod
    • 작동 대상: Windows 10 RS4(17134)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.2.6에 추가됨
  63. 저자: 아루쉬 아가람푸르
    • 유형: DLL 하이재킹
    • 방법: ISecurityEditor
    • 대상: 네이티브 이미지 캐시 요소
    • 구성요소: 공격자가 정의됨
    • 구현: ucmNICPoisonMethod
    • 작동 대상: Windows 7(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.2.7에 추가됨
  64. 저자: 아루쉬 아가람푸르
    • 유형: 향상된 COM 인터페이스
    • 방법: IIEAxiAdminInstaller, IIEAxiInstaller2, IFileOperation
    • 대상: IE 추가 기능 설치 캐시
    • 구성요소: 공격자가 정의됨
    • 구현: ucmIeAddOnInstallMethod
    • 작동 대상: Windows 7(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.5.1에 ​​추가됨
  65. 저자: 아루쉬 아가람푸르
    • 유형: 향상된 COM 인터페이스
    • 방법: IWscAdmin
    • 대상: 쉘 프로토콜 하이재킹
    • 구성요소: 공격자가 정의됨
    • 구현: ucmWscActionProtocolMethod
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 11 24H2(26100)
      • 방법: Windows 변경의 부작용
    • 코드 상태: v3.5.2에 추가됨
  66. 저자: 아루쉬 아가람푸르
    • 유형: 향상된 COM 인터페이스
    • 방법: IFwCplLua, 쉘 프로토콜 하이재킹
    • 대상: 쉘 프로토콜 레지스트리 항목 및 환경 변수
    • 구성요소: 공격자가 정의됨
    • 구현: ucmFwCplLuaMethod2
    • 작동 대상: Windows 7(7600)
    • 수정 버전: Windows 11 24H2(26100)
      • 방법: Windows 변경의 부작용
    • 코드 상태: v3.5.3에 추가됨
  67. 저자: 아루쉬 아가람푸르
    • 유형: 쉘 API
    • 방법: 쉘 프로토콜 하이재킹
    • 대상: system32fodhelper.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmMsSettingsProtocolMethod
    • 작동 제품: Windows 10 TH1(10240)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.5.4에 추가됨
  68. 저자: 아루쉬 아가람푸르
    • 유형: 쉘 API
    • 방법: 쉘 프로토콜 하이재킹
    • 대상: system32wsreset.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmMsStoreProtocolMethod
    • 작동 제품: Windows 10 RS5(17763)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.5.5에 추가됨
  69. 저자: 아루쉬 아가람푸르
    • 유형: 쉘 API
    • 방법: 환경변수 확장, Dll Hijack
    • 대상: system32taskhostw.exe
    • 구성 요소: pcadm.dll
    • 구현: ucmPcaMethod
    • 작동 대상: Windows 7(7600)
    • AlwaysNotify 호환
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.5.6에 추가됨
  70. 작성자: V3ded
    • 유형: 쉘 API
    • 방법: 레지스트리 키 조작
    • 대상: system32fodhelper.exe, system32computerdefaults.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmShellRegModMethod3
    • 작동 대상: Windows 10(10240)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.5.7에 추가됨
  71. 저자: 아루쉬 아가람푸르
    • 유형: DLL 하이재킹
    • 방법: ISecurityEditor
    • 대상: 네이티브 이미지 캐시 요소
    • 구성요소: 공격자가 정의됨
    • 구현: ucmNICPoisonMethod2
    • 작동 대상: Windows 7 RTM(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.5.8에 추가됨
  72. 저자: 에메릭 나시
    • 유형: DLL 하이재킹
    • 방법: DLL 경로 검색 남용
    • 대상: syswow64msdt.exe, system32sdiagnhost.exe
    • 구성 요소: BluetoothDiagnosticUtil.dll
    • 구현: ucmMsdtMethod
    • 작동 대상: Windows 10(10240)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.5.9에 추가됨
  73. 작성자: orange_8361 및 antonioCoco
    • 유형: 쉘 API
    • 방법: .NET 역직렬화
    • 대상: system32mmc.exe EventVwr.msc
    • 구성요소: 공격자가 정의됨
    • 구현: ucmDotNetSerialMethod
    • 작동: Windows 7 RTM(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.6.0에 추가됨
  74. 작가: zcgonvh
    • 유형: 향상된 COM 인터페이스
    • 메서드: IElevatedFactoryServer
    • 대상: 공격자가 정의됨
    • 구성요소: 공격자가 정의됨
    • 구현: ucmVFServerTaskSchedMethod
    • 작동: Windows 8.1(9600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.6.1에 추가됨
  75. 저자: Wh04m1001의 zcgonvh 파생물
    • 유형: 향상된 COM 인터페이스
    • 방법: IDiagnosticProfile
    • 대상: 공격자가 정의됨
    • 구성요소: 공격자가 정의됨
    • 구현: ucmVFServerDiagProfileMethod
    • 작동 대상: Windows 7 RTM(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.6.2에 추가됨
  76. 저자: 해커하우스
    • 유형: Dll 하이잭
    • 방법: DLL 경로 검색 남용, 레지스트리 키 조작
    • 대상: syswow64iscsicpl.exe
    • 구성 요소: iscsiexe.dll
    • 구현: ucmIscsiCplMethod
    • 작동: Windows 7 RTM(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.6.3에 추가됨
  77. 저자: 아루쉬 아가람푸르
    • 유형: Dll 하이재킹
    • 메서드: IFileOperation
    • 대상: system32mmc.exe
    • 구성 요소: atl.dll
    • 구현: ucmAtlHijackMethod
    • 작동 대상: Windows 7 RTM(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.6.4에 추가됨
  78. 저자: 안토니오코코
    • 유형: 가장
    • 방법: SSPI 데이터그램
    • 대상: 공격자가 정의됨
    • 구성요소: 공격자가 정의됨
    • 구현: ucmSspiDatagramMethod
    • 작동: Windows 7 RTM(7600)
    • AlwaysNotify 호환
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.6.5에 추가됨
  79. 저자: 제임스 포쇼(James Forshaw), 스테판 칸탁(Stefan Kanthak)
    • 유형: GUI 해킹
    • 방법: 토큰 수정을 통한 UIPI 우회
    • 대상: system32osk.exe, system32mmc.exe
    • 구성요소: 공격자가 정의됨
    • 구현: ucmTokenModUIAccessMethod2
    • 작동 대상: Windows 7(7600)
    • 고정됨: 고정되지 않음?
      • 어떻게: -
    • 코드 상태: v3.6.6에 추가됨

메모:

  • 방법 (30)(63) 이상은 x64 버전에서만 구현됩니다.
  • 방법 (30)은 WOW64 하위 시스템 기능을 남용하므로 x64가 필요합니다.
  • 방법 (55)는 (GUI 해킹처럼) 실제로 신뢰할 수 없으며 단지 재미를 위해 포함되었습니다.
  • 방법(78)에서는 현재 사용자 계정 비밀번호가 비어 있지 않아야 합니다.

예제 실행:

  • akagi32.exe 23
  • akagi64.exe 61
  • akagi32 23 c:windowssystem32calc.exe
  • akagi64 61 c:windowssystem32charmap.exe

경고

  • 이 도구는 악성코드가 사용하는 널리 사용되는 UAC 우회 방법만을 보여주며, 일부는 원래 개념을 개선하여 다른 방식으로 다시 구현합니다. 아직 일반 대중에게 알려지지 않은 다양한 방법이 있습니다. 이 점에 유의하십시오.
  • 이 도구는 AV 테스트용이 아니며 공격적인 AV 환경에서 작동하도록 테스트되지 않았습니다. 설치된 bloatware AV 소프트웨어와 함께 사용할 계획이라면 사용자 책임하에 사용하십시오.
  • 일부 AV는 이 도구를 HackTool로 표시할 수 있으며 MSE/WinDefender는 이를 지속적으로 맬웨어로 표시합니다.
  • 이 프로그램을 실제 컴퓨터에서 실행하는 경우 사용 후 남은 프로그램을 모두 제거해야 합니다. 시스템 폴더에 저장되는 파일에 대한 자세한 내용은 소스 코드를 참조하세요.
  • 대부분의 메서드는 x86-32 지원을 염두에 두지 않고 x64용으로 생성되었습니다. 32비트 버전의 Windows 또는 wow64를 지원하는 것은 의미가 없지만 약간만 수정하면 대부분 wow64에서도 실행됩니다.

이것이 여전히 존재하고 작동하는 이유가 궁금하다면 여기에 설명이 있습니다. 공식 Microsoft WHITEFLAG(보너스로 완전히 무능한 진술 포함) https://devblogs.microsoft.com/oldnewthing/20160816-00/?p=94105

Windows 10 지원 및 테스트 정책

  • UACMe는 LSTB/LTSC 변형(1607/1809) 및 마지막 RTM-1 버전으로만 테스트되었습니다. 예를 들어 현재 버전이 2004인 경우 2004(19041) 및 이전 버전 1909(18363)에서 테스트됩니다.
  • 내부자 빌드는 메서드가 수정될 수 있으므로 지원되지 않습니다.

보호

  • 관리 권한이 없는 계정입니다.

악성 코드 사용

  • 우리는 악의적인 목적으로 이 도구를 사용하는 것에 대해 어떠한 책임도 지지 않습니다. 무료이며 오픈 소스이며 모든 사람에게 있는 그대로 제공됩니다.

기타 사용법

  • 현재 "THOR APT" 스캐너(독일의 수제 패턴 매칭 사기웨어)에서 "서명"으로 사용되고 있습니다. 우리는 사기 소프트웨어에서 이 도구를 사용하는 것에 대해 어떠한 책임도 지지 않습니다.
  • 저장소 https://github.com/hfiref0x/UACME 및 해당 내용은 UACMe 코드의 유일한 정품 소스입니다. 우리는 이 프로젝트에 대한 외부 링크와 아무 관련이 없으며 수정(포크)뿐만 아니라 어디든 언급합니다.
  • 2016년 7월 소위 "보안 회사"인 Cymmetria는 "Patchwork"라는 스크립트 키디 악성 코드 번들에 대한 보고서를 발표하고 이를 APT로 허위 표시했습니다. 그들은 "UACME 방법"을 사용하고 있다고 밝혔습니다. 이는 실제로 UACMe v1.9의 인젝터 dll을 약간 비전문적으로 수정한 것이며 악성 코드 자체 구현 방식으로 Carberp/Pitou 하이브리드 방법을 사용하고 있었습니다. 당사는 제3자 "보안 회사"의 모호한 광고 캠페인에서 UACMe 사용에 대해 어떠한 책임도 지지 않습니다.

짓다

  • UACMe에는 C로 작성된 전체 소스 코드가 함께 제공됩니다.
  • 소스에서 빌드하려면 Microsoft Visual Studio 2019 이상 버전이 필요합니다.

컴파일된 바이너리

  • 2.8.9 이후에는 제공되지 않으며 앞으로도 제공되지 않습니다. 이유(그리고 귀하도 이를 일반 대중에게 제공하면 안 되는 이유):
    • 이 프로젝트를 간단히 살펴보면 초기 목표는 시연자임에도 불구하고 HackTool입니다. 물론 여러 AV에서는 이를 HackTool(예: MS WD)로 감지하지만 대부분의 VirusTotal 환자는 이를 일반 "악성 프로그램"으로 감지합니다. 물론 틀린 말이지만 불행하게도 일부 게으른 맬웨어 작성자는 코드를 맹목적으로 자신의 크랩웨어에 복사하여 붙여넣기 때문에(또는 이 도구를 직접 사용하기도 함) 일부 AV는 프로젝트 코드 부분을 기반으로 서명을 생성했습니다.
    • 컴파일된 바이너리를 모든 사람에게 제공하면 스크립트 키디의 생활이 훨씬 쉬워집니다. 왜냐하면 소스에서 컴파일해야 하는 것은 예외적으로 멍청한 스크립트 키디와 "버튼 클릭자"에 대한 완벽한 장벽으로 작용하기 때문입니다.
    • 저장소에서 바이너리를 컴파일하면 궁극적으로 다양한 콘텐츠 필터(SmartScreen, Google 세이프 브라우징 등)에 의해 이 저장소 페이지가 악성(위의 이유로 인해)으로 표시됩니다.
  • 이 결정은 최종 결정이며 변경되지 않습니다.

지침

  • 빌드하려는 솔루션의 프로젝트에 대해 먼저 플랫폼 도구 세트를 선택합니다(프로젝트->속성->일반).

    • Visual Studio 2019용 v142;
    • Visual Studio 2022용 v143.

  • v140 이상의 경우 대상 플랫폼 버전을 설정합니다(프로젝트->속성->일반):

    • v140인 경우 8.1을 선택합니다(Windows 8.1 SDK가 설치되어 있어야 함).
    • v141 이상인 경우 10을 선택합니다.

  • 바이너리를 빌드하려면 다음 SDK가 필요합니다.

    • Windows 8.1 또는 Windows 10 SDK(19041 버전으로 테스트됨)
    • NET Framework SDK(4.8 버전에서 테스트됨)

  • 작동하는 바이너리를 빌드하려면:

    • 페이로드 단위 컴파일
    • Naka 모듈 컴파일
    • Naka 모듈을 사용하여 모든 페이로드 단위를 암호화합니다.
    • Naka 모듈을 사용하여 이러한 유닛에 대한 비밀 blob을 생성합니다.
    • 컴파일된 유닛과 비밀 blob을 AkagiBin 디렉터리로 이동합니다.
    • 아카기 재건

참고자료

  • Windows 7 UAC 허용 목록, http://www.pretentiousname.com/misc/win7_uac_whitelist2.html
  • 악성 애플리케이션 호환성 Shims, https://www.blackhat.com/docs/eu-15/materials/eu-15-Pierce-Defending-Against-Malicious-Application-Compatibility-Shims-wp.pdf
  • WinSxS 개발팀 블로그(https://blogs.msdn.microsoft.com/junfeng/)의 Junfeng Zhang
  • 좋은 Run Key를 넘어서, 일련의 기사, http://www.헥사콘.com/blog
  • KernelMode.Info UACMe 스레드, https://www.kernelmode.info/forum/viewtopicf985.html?f=11&t=3643
  • 명령 주입/승격 - 환경 변수 재검토, https://breakingmalware.com/vulnerabilities/command-injection-and-elevation-environment-variables-revisited
  • eventvwr.exe 및 레지스트리 하이재킹을 사용한 "파일 없는" UAC 우회, https://enigma0x3.net/2016/08/15/fileless-uac-bypass-using-eventvwr-exe-and-registry-hijacking/
  • 디스크 정리를 사용하여 Windows 10에서 UAC 우회(https://enigma0x3.net/2016/07/22/bypassing-uac-on-windows-10-using-disk-cleanup/)
  • IARPUNINSTALLSTRINGLAUNCER COM 인터페이스 사용 UAC를 우회하여 http://www.freebuf.com/articles/system/116611.html
  • 앱 경로를 사용하여 UAC를 우회, https://enigma0x3.net/2017/03/14/bypassing-uac-using-app-paths/
  • "Fileless"UAC 바이 패스 SDCLT.EXE, https://enigma0x3.net/2017/03/17/fileless-uac-bypass-using-sdclt-exe/
  • UAC 바이 패스 또는 세 가지 에스컬레이션에 대한 이야기, https://habrahabr.ru/company/pm/blog/328008/
  • UAC 바이 패스에 대한 예정된 작업에서 환경 변수 악용, https://tyranidslair.blogspot.ru/2017/05/exploiting-environment-variables-in.html
  • 첫 번째 항목 : 환영 및 파일리스 UAC 바이 패스, https://winscripting.blog/2017/05/12/first-entry-welcome-and-uac-bypass/
  • 3 부분으로 UAC 주변의 길을 읽으십시오 :
    1. https://tyranidslair.blogspot.ru/2017/05/reading-your-way-around-uac-part-1.html
    2. https://tyranidslair.blogspot.ru/2017/05/reading-your-way-around-uac-part-2.html
    3. https://tyranidslair.blogspot.ru/2017/05/reading-your-way-around-uac-3.html
  • cmstp.exe에 대한 연구, https://msitpros.com/?p=3960
  • 높은 .NET 응용 프로그램을 통한 UAC 바이 패스, https://offsec.provadys.com/uac-bypass-dotnet.html
  • 신뢰할 수있는 디렉토리를 조롱하여 UAC 바이 패스, https://medium.com/table-techblog/uac-bypass-by-mocking-trusted-directories-24a96675f6e
  • 또 다른 SDCLT UAC 우회, http://blog.sevagas.com/?yet-another-sdclt-uac-bypass
  • SystemPropertiesAdvanced.exe 및 DLL 하이재킹을 통한 UAC 바이 패스, https://egre55.github.io/system-properties-uac-bypass/
  • uiaccess에 대한 액세스 토큰 액세스, https://tyranidslair.blogspot.com/2019/02/accessing-access-ccess-tokens-for-uiaccess.html
  • Windows Store Binary, https://www.activecyber.us/1/post/2019/03/windows-uac-bypass.html의 파일리스 UAC 바이 패스
  • .NET, https://googleprojectzero.blogspot.com/2019/12/calling-local-windows-rpc-servers-from.html에서 로컬 Windows RPC 서버 호출
  • Microsoft Windows 10 UAC 바이 패스 로컬 권한 에스컬레이션 익스플로잇, https://packetstormsecurity.com/files/155927/microsoft-windows-10-local-privilege-escalation.html
  • UACME 3.5, WD 및 완화 방법, https://swapcontext.blogspot.com/2020/10/uacme-35-wd-and-ways-of-mitigation.html
  • UAC는 ComautoApprovallist, https://swapcontext.blogspot.com/2020/11/uac-bypasses-from-comautoplovallist.html에서 우회합니다
  • UAC 바이 패스에 대한 프로그램 식별자 (progids) 사용
  • MSDT DLL Hijack UAC Bypass, https://blog.sevagas.com/?msdt-dll-hijack-uac-bypass
  • eventvwr.exe, https://twitter.com/orange_8361/status/15189702598626944에서 .NET 사산화 취약성을 통한 UAC 우회
  • 고급 Windows 작업 스케줄러 플레이 북 -COM에서 UAC 바이 패스까지 2 부, 시스템을 직접 가져 와서 직접 가져 오기
  • SSPI 데이터 그램 컨텍스트로 UAC를 우회하는 https://splintercod3.blogspot.com/p/bypassing-uac-with-sspi-datagram.html
  • Windows'® UAC, https://skanthak.hier-im-netz.de/uacamole.html에 대한 악용을 완화하십시오

저자

(c) 2014-2024 UACME 프로젝트

확장하다
추가 정보
관련 애플리케이션
추천
관련 정보 전체