{"id":1019,"date":"2013-08-15T13:37:26","date_gmt":"2013-08-15T11:37:26","guid":{"rendered":"https:\/\/www.asafety.fr\/?p=1019"},"modified":"2016-07-25T00:41:10","modified_gmt":"2016-07-24T22:41:10","slug":"windows-vista7-escalade-de-privilege-via-at-et-bypass-uac","status":"publish","type":"post","link":"https:\/\/www.asafety.fr\/en\/vuln-exploit-poc\/windows-vista7-escalade-de-privilege-via-at-et-bypass-uac\/","title":{"rendered":"[Windows Vista,7] Escalade de privil\u00e8ge via AT et bypass UAC"},"content":{"rendered":"

Pour faire suite \u00e0 un pr\u00e9c\u00e9dent article sur l‘escalade de privil\u00e8ge via la commande des t\u00e2ches planifi\u00e9es AT<\/a>, une variante de cette m\u00e9thode est pleinement fonctionnelle sous les versions de Windows plus r\u00e9centes.<\/p>\n

En effet, du temps de Windows XP les t\u00e2ches planifi\u00e9es se g\u00e9raient exclusivement via cette commande AT. Depuis Windows Vista et 7, cette commande est tomb\u00e9e en d\u00e9su\u00e9tude au d\u00e9pend de “schtasks”. Toutefois, Microsoft n’a pas \u00e9radiqu\u00e9 ce binaire “AT” de ses syst\u00e8me en guise de r\u00e9tro-compatibilit\u00e9.<\/p>\n

L’utilisation de cette ancienne commande n\u00e9cessite d’avoir un shell privil\u00e9gi\u00e9, lanc\u00e9 en tant qu’administrateur. :<\/p>\n

\"Commande<\/a>

Commande AT restreinte<\/p><\/div>\n

La raison de cette bride de la commande AT pour un shell simple est bien \u00e9videmment l’UAC (User Account Control<\/em><\/a>). Ce m\u00e9canisme introduit depuis Windows Vista questionne l’utilisateur de la machine pour chaque action d’administration qu’il tente d’effectuer :<\/p>\n

\"UAC<\/a>

UAC pour cmd.exe<\/p><\/div>\n

Diverses techniques existent et sont largement utilis\u00e9es pour du pentest, afin de bypasser ces restrictions dues \u00e0 l’UAC. Le projet Metasploit\/Meterpreter int\u00e8gre nativement des m\u00e9thodes de bypass. Un des projets permettant cela se nomme “bypassuac<\/a>” et est compatible avec les architectures 32 et 64 bits de Windows 7. Cet utilitaire binaire standalone permet de contourner cette protection pour ex\u00e9cuter des commandes “en tant qu’administrateur” :<\/p>\n

\"Bypass<\/a>

Bypass UAC pour AT<\/p><\/div>\n

Une autre \u00e9volution de la commande “AT” sur les nouveaux syst\u00e8mes, est que le mode “interactif” qui fonctionnait pleinement sous Windows XP ne semble plus d’actualit\u00e9. Ce mode permettait par exemple d’ajouter une t\u00e2che planifi\u00e9e de “cmd.exe” \u00e0 une heure pr\u00e9cise en mode interactif, et que lorsque cette heure \u00e9tait atteinte, la commande s’ouvrait d’elle-m\u00eame de mani\u00e8re interactive bien qu’elle \u00e9tait ex\u00e9cut\u00e9e sous un utilisateur diff\u00e9rent (SYSTEM) par rapport \u00e0 la session courante.<\/p>\n

A pr\u00e9sent, ce m\u00e9canisme semble \u00e9galement brid\u00e9, et la commande n\u2019appara\u00eet plus. N\u00e9anmoins il est tout \u00e0 fait possible de r\u00e9cup\u00e9rer un shell SYSTEM sans interactivit\u00e9. L’id\u00e9e est d’utiliser le binaire “remote.exe” (ou “remotex64.exe”) disponible dans les “Windows debugger Tools<\/a>“. Ces binaires, standalone, permettent de r\u00e9aliser un tunnel (pipe) client\/serveur sur une m\u00eame machine Windows. L’avantage est que ces binaires sont propres \u00e0 Microsoft et sont donc l\u00e9gitimes (non jug\u00e9s dangereux par un quelconque antivirus, id\u00e9al pour le pentesting). Pour r\u00e9cup\u00e9rer ces binaires, t\u00e9l\u00e9charger l’archive jointe \u00e0 cet article ou installer les Windows Debugger Tools et r\u00e9cup\u00e9rez les dans le r\u00e9pertoire d’installation.<\/p>\n

Le fonctionnement de ces binaires “remote.exe” et “remotex64.exe” est tr\u00e8s simple.<\/p>\n

Partie serveur :<\/strong><\/p>\n

[bash]remote.exe \/s cmd SYSCMD[\/bash]<\/p>\n

Le “\/s” pour activer le serveur en mettant \u00e0 disposition la ressource “cmd” avec les privil\u00e8ges “SYSCMD”.<\/p>\n

Partie cliente :<\/strong><\/p>\n

[bash]remote.exe \/c %COMPUTERNAME% SYSCMD[\/bash]<\/p>\n

Le “\/c” pour activer le mode “client” \u00e0 destination de la machine du nom Netbios %COMPUTERNAME% avec des privil\u00e8ges identiques.<\/p>\n

L’obtention d’un shell NT AUTHORITY\/SYSTEM sous un environnement Windows 7 avec bypass de l’UAC et via l’ancienne commande AT s’effectue donc via l’encha\u00eenement de ces op\u00e9rations dans un fichier Batch .bat :<\/p>\n

\"atuac.bat<\/a>

atuac.bat content<\/p><\/div>\n