ANTICHAT - Получение System Privelegies используя Eventvwr Registry Key Exploit

Привет форумчанам и гостям форума. В этой статье мы рассмотрим способ получения системных привилегий на целевом хосте.

Для начала нам потребуется активная сессия meterpreter на целевой машине. Как ее получить, я в этой статье рассказывать не буду, на форуме достаточно материала на эту тему. Я провожу эксперимент в пределах своей локальной сети, и для получения сессии буду пользовать старый как мир, способ – SMB Delivery Exploit.

https://forum.antichat.xyz/attachmen...fc51840a43.png

https://forum.antichat.xyz/attachmen...80be2f5e17.png

Получив активную сессию meterprereter, можно действовать дальше:

https://forum.antichat.xyz/attachmen...067dbc4619.png

И ввод команды:

> getprivs

https://forum.antichat.xyz/attachmen...25723642f0.png

Укажет нам на то, что наши привилегии в целевой машине далеко не системные.

Немного о том, что мы будем использовать:

· Используемый нами модуль находится в Metasploit Framework. Он позволит обойти Windows UAC путем захвата ключа в реестре, под текущим пользователем, затем происходит инжект команды, которая вызывается, когда Windows Event Viewer будет вновь запущен. Этот процесс порождает вторую сессию, в которой UAC будет отключен. Этот модуль изменяет ключ реестра, но очищает ключ, как только полезная нагрузка была вызвана. Модуль не требует архитектуры полезной нагрузки в соответствии с ОС. При указании EXE :: - Пользовательские библиотеки DLL должны вызывать ExitProcess () после старта вашей полезной нагрузки в отдельном процессе.

Закончим с теорией и перейдем к практике, используем:

> use exploit/windows/local/bypassuac_eventvwr

Затем выберем активную сессиюmeterpreter:

> set session 1

> exploit

https://forum.antichat.xyz/attachmen...819cc4daa8.png

В случае успешной отработки эксплойта, привилегии на целевом хосте будут повышены до системных.