UACME

• Обход контроля учетных записей Windows с помощью встроенного бэкдора Windows AutoElevate.

• x86-32/x64 Windows 7/8/8.1/10/11 (клиент, однако некоторые методы работают и на серверной версии).
• Требуется учетная запись администратора с UAC, установленным с настройками по умолчанию.

Запустите исполняемый файл из командной строки: akagi32 [Key] [Param] или akagi64 [Key] [Param]. Дополнительную информацию см. в разделе «Выполнение примеров» ниже.

Первый параметр — это номер используемого метода, второй — необязательная команда (имя исполняемого файла, включая полный путь) для запуска. Второй параметр может быть пустым — в этом случае программа выполнит cmd.exe с повышенными правами из папки system32.

Примечание . Начиная с версии 3.5.0 все «исправленные» методы считаются устаревшими и полностью удаляются вместе со всем поддерживающим кодом/юнитами. Если они вам еще нужны - используйте ветку v3.2.x

Примечание:

• Метод (30) (63) и более поздние реализованы только в версии x64;
• Для метода (30) требуется x64, поскольку он злоупотребляет функцией подсистемы WOW64;
• Метод (55) не очень надежен (как и любые хаки с графическим интерфейсом) и включен просто ради развлечения;
• Метод (78) требует, чтобы пароль текущей учетной записи пользователя не был пустым.

Запустите примеры:

• akagi32.exe 23
• akagi64.exe 61
• akagi32 23 c:windowssystem32calc.exe
• akagi64 61 c:windowssystem32charmap.exe

• Этот инструмент показывает ТОЛЬКО популярный метод обхода UAC, используемый вредоносными программами, а также повторно реализует некоторые из них, улучшая оригинальные концепции. Существуют разные, пока не известные широкой публике, методы. Помните об этом;
• Этот инструмент не предназначен для AV-тестов и не тестировался для работы в агрессивной AV-среде. Если вы все еще планируете использовать его с установленным вредоносным AV-программным обеспечением - используйте его на свой страх и риск;
• Некоторые антивирусы могут пометить этот инструмент как HackTool, MSE/WinDefender постоянно помечает его как вредоносное ПО, нет;
• Если вы запускаете эту программу на реальном компьютере, не забудьте удалить все остатки программы после использования. Дополнительную информацию о файлах, которые она помещает в системные папки, см. в исходном коде;
• Большинство методов созданы для x64, без поддержки x86-32. Я не вижу смысла поддерживать 32-битные версии Windows или wow64, однако с небольшими изменениями большинство из них будут работать и под wow64.

Если вам интересно, почему это все еще существует и работает — вот объяснение — официальный БЕЛЫЙ ФЛАГ Microsoft (включая совершенно некомпетентные заявления в качестве бонуса) https://devblogs.microsoft.com/oldnewthing/20160816-00/?p=94105

• UACMe протестирован только с вариантами LSTB/LTSC (1607/1809) и последними версиями RTM-1, например, если текущая версия — 2004, она будет протестирована в 2004 (19041) и предыдущей версии 1909 (18363);
• Инсайдерские сборки не поддерживаются, поскольку в них могут быть исправлены методы.

• Учетная запись без административных привилегий.

• Мы не несем никакой ответственности за использование этого инструмента в вредоносных целях. Он бесплатный, с открытым исходным кодом и предоставляется «КАК ЕСТЬ» для всех.

• В настоящее время используется в качестве «подписи» сканером «THOR APT» (мошенничество с сопоставлением шаблонов ручной работы из Германии). Мы не несем никакой ответственности за использование этого инструмента в мошеннических целях;
• Репозиторий https://github.com/hfiref0x/UACME и его содержимое являются единственным подлинным источником кода UACMe. Мы не имеем никакого отношения к внешним ссылкам на данный проект, упоминаниям где бы то ни было, а также к модификациям (форкам);
• В июле 2016 года так называемая «охранная компания» Cymmetria опубликовала отчет о пакете вредоносного ПО script-kiddie под названием «Patchwork» и ошибочно пометила его как APT. Они заявили, что использовали «метод UACME», который на самом деле представляет собой лишь слегка и непрофессионально модифицированную dll-инжектор из UACMe v1.9, и использовали гибридный метод Carberp/Pitou в самореализуемой вредоносной программе форме. Мы не несем никакой ответственности за использование UACMe в сомнительных рекламных кампаниях сторонних «охранных компаний».

• UACMe поставляется с полным исходным кодом, написанным на C;
• Для сборки из исходного кода вам понадобится Microsoft Visual Studio 2019 и более поздние версии.

• Они не предоставляются начиная с версии 2.8.9 и никогда не будут предоставляться в будущем. Причины (и почему вам тоже не следует предоставлять их широкой публике):
  • Если вы посмотрите на этот проект в двух словах, это HackTool, несмотря на первоначальную цель быть демонстратором. Конечно, некоторые антивирусы распознают его как HackTool (например, MS WD), однако большинство пациентов с VirusTotal распознают его как обычное «вредоносное ПО». Что, конечно, неверно, однако, к сожалению, некоторые ленивые авторы вредоносных программ слепо копируют и вставляют код в свои программы (или даже просто используют этот инструмент напрямую), поэтому некоторые AV создают подписи на основе частей кода проекта;
  • Предоставляя скомпилированные двоичные файлы всем, вы значительно облегчаете жизнь скрипт-кидди, потому что необходимость компилировать из исходного кода является идеальным барьером для исключительно тупых скрипт-кидди и «кликеров по кнопкам»;
  • Компиляция двоичных файлов в репозитории в конечном итоге приведет к тому, что страницы этого репозитория будут помечены как вредоносные (по вышеуказанным причинам) с помощью различных фильтров контента (SmartScreen, Google Safe Browsing и т. д.).
• Данное решение является окончательным и не будет изменено.

• Сначала выберите Platform ToolSet для проекта в решении, которое вы хотите создать (Проект->Свойства->Общие):

  • v142 для Visual Studio 2019;
  • v143 для Visual Studio 2022.

• Для версии 140 и выше установите версию целевой платформы (Проект->Свойства->Общие):

  • Если v140, то выберите 8.1 (обратите внимание, что должен быть установлен Windows 8.1 SDK);
  • Если версия 141 и выше, выберите 10.

• Для сборки двоичных файлов требуются следующие SDK:

  • Windows 8.1 или Windows 10 SDK (протестировано с версией 19041)
  • NET Framework SDK (протестировано с версией 4.8)

• Чтобы создать рабочий двоичный файл:

  • Компилировать единицы полезной нагрузки
  • Скомпилировать модуль Нака
  • Зашифруйте все блоки полезной нагрузки с помощью модуля Naka.
  • Сгенерируйте секретные объекты для этих юнитов с помощью модуля Naka.
  • Переместите скомпилированные модули и секретные объекты в каталог AkagiBin.
  • Восстановить Акаги

• Белый список UAC Windows 7, http://www.pretentiousname.com/misc/win7_uac_whitelist2.html
• Прокладки совместимости с вредоносными приложениями, https://www.blackhat.com/docs/eu-15/materials/eu-15-Pierce-Defending-Against-Malicious-Application-Compatibility-Shims-wp.pdf
• Цзюньфэн Чжан из блога команды разработчиков WinSxS, https://blogs.msdn.microsoft.com/junfeng/
• За пределами старого доброго ключа Run, серия статей, http://www.execorn.com/blog
• KernelMode.Info Тема UACMe, https://www.kernelmode.info/forum/viewtopicf985.html?f=11&t=3643
• Внедрение команд/повышение прав — новый взгляд на переменные среды, https://breakingmalware.com/vulnerabilities/command-injection-and-elevation-environment-variables-revisited
• «Безфайловый» обход UAC с использованием eventvwr.exe и захвата реестра, https://enigma0x3.net/2016/08/15/fileless-uac-bypass-using-eventvwr-exe-and-registry-hijacking/
• Обход UAC в Windows 10 с помощью очистки диска, https://enigma0x3.net/2016/07/22/bypassing-uac-on-windows-10-using-disk-cleanup/
• Используя интерфейс yarpuninstallstringlauncher com для обхода UAC, http://www.freebuf.com/articles/system/116611.html
• Обход UAC с использованием путей APP, https://enigma0x3.net/2017/03/14/bypassing-uac-using-app-paths/
• «Безливее» UAC обход UAC с использованием sdclt.exe, https://enigma0x3.net/2017/03/17/fileless-uac-bypass-using-sdclt-exe/
• UAC обход или история о трех эскалациях, https://habrahabr.ru/company/pm/blog/328008/
• Использование переменных среды в запланированных задачах для обхода UAC, https://tyranidslair.blogspot.ru/2017/05/exploiting-environment-variables-in.html
• Первая запись: Добро пожаловать и безмоливным обход UAC, https://winscripting.blog/2017/05/12/first-entry-welcome-and-uac-bypass/
• Читаясь по пути UAC в 3 частях:
  1. https://tyranidslair.blogspot.ru/2017/05/reading-your-way-around-uac-part-1.html
  2. https://tyranidslair.blogspot.ru/2017/05/reading-your-way-around-uac-part-2.html
  3. https://tyranidslair.blogspot.ru/2017/05/reading-your-way-around-uac-part-3.html
• Исследование на cmstp.exe, https://msitpros.com/?p=3960
• Обход UAC через повышенные приложения .NET, https://offsec.provadys.com/uac-bypass-dotnet.html
• Обход UAC изделиями доверенных каталогов, https://medium.com/tenable-techblog/uac-bypass-by-mocking-rusted-directories-24a96675f6e
• Еще один обход SDCLT UAC, http://blog.sevagas.com/?yet-another-sdclt-uac-bypass
• Обход UAC через SystemPropertiesAdvanced.exe и Dll Khjacking, https://egre55.github.io/system-properties-uac-bypass/
• Доступ к Токенам доступа для UIACCESS, https://tyranidslair.blogspot.com/2019/02/accessing-access-tokens-for-uiaccess.html
• Бесплатный обход UAC в Windows Store Binary, https://www.activecyber.us/1/post/2019/03/windows-uac-bypass.html
• Вызов локальных серверов Windows RPC с .net, https://googleprojectzero.blogspot.com/2019/12/calling-local-windows-rpc-servers-from.html
• Microsoft Windows 10 UAC Обходная локальная привилегия Escalation Exploit, https://packetstormsecurity.com/files/155927/microsoft-windows-10-local-privilege-escalation.html
• UACME 3.5, WD и способы смягчения, https://swapcontext.blogspot.com/2020/10/uacme-35-wd-and-ways-of-tigation.html
• UAC обходит от ComautoProvallist, https://swapcontext.blogspot.com/2020/11/uac-bypasses-from-comautoprovalist.html
• Использование программных идентификаторов (прогидов) для обходных переходов UAC, https://v3ded.github.io/redteam/utilizing-programmatic-identifiers-progids-for-uac-bypasseses
• MSDT DLL KHICCH UC SOIPPASS, https://blog.sevagas.com/?msdt-dll-hijack-uac-bypass
• UAC обходит через уязвимость Deserialization .NET в Eventvwr.exe, https://twitter.com/orange_8361/status/15189702598686269444
• Advanced Windows Task Playbook - Part.2 от com до uac unwpass and get system напрямую, http://www.zcgonvh.com/post/advanced_windows_task_scheduler_playbook-part.
• Обход UAC с контекстами DATAGRAM SSPI, https://splintercod3.blogspot.com/p/bypassing-uac-with-sspi-datagram.html
• Смягчить некоторые эксплойты для Windows'® UAC, https://skanthak.hier-im-netz.de/uacamole.html

(c) 2014 - 2024 проект UACME