Windowsの正規機能を悪用した権限昇格のメモ

Windowsの正規機能を悪用した権限昇格のメモ。

sethc.exeを用いた権限昇格

sethc.exeはWindowsのSticky Keys(固定キー)機能に関するファイル。任意のファイルをsethc.exeという名前で保存した上で、Windowsのログイン画面でシフト・キーを5回押すと任意のプログラムを管理者権限で実行できる。例えばcmd.exesethc.exeという名前で保存して、再起動後にWindowsのログイン画面でシフト・キーを5回押すと、コマンドプロンプトが管理者権限で立ち上がる。
参考

utilman.exeを用いた権限昇格

utilman.exeはWindowsのアクセシビリティ機能の設定に関するファイル。任意のファイルをutilman.exeという名前で保存した上で、Windowsのログイン画面でWindowsキー + Uキーを押すと任意のプログラムを管理者権限で実行できる。例えばcmd.exeutilman.exeという名前で保存して、再起動後にWindowsのログイン画面でWindowsキー + Uキーを押すと、コマンドプロンプトが管理者権限で立ち上がる。
参考

osk.exeを用いた権限昇格

osk.exeはWindowsのOn Screen Keyboard(スクリーンキーボード)に関するファイル。任意のファイルをosk.exeという名前で保存した上で、Windowsのログイン画面からOn Screen Keyboardを起動すると、任意のプログラムを管理者権限で実行できる。例えばcmd.exeosk.exeという名前で保存して、再起動後にWindowsのログイン画面でEase of AccessオプションからOn Screen Keyboardを選択すると、コマンドプロンプトが管理者権限で立ち上がる。
参考

magnify.exeを用いた権限昇格

magnify.exeはWindowsのMagnifier(拡大鏡)に関するファイル。任意のファイルをmagnify.exeという名前で保存した上で、Windowsのログイン画面でWindowsキー + プラスキーを押すと、任意のプログラムを管理者権限で実行できる。例えばcmd.exemagnify.exeという名前で保存して、再起動後にWindowsのログイン画面でWindowsキー + プラスキーを押すと、コマンドプロンプトが管理者権限で立ち上がる。
参考

narrator.exeを用いた権限昇格

narrator.exeはWindowsのNarrator機能 (スクリーン上のテキストを読み上げる) に関するファイル。任意のファイルをnarrator.exeという名前で保存した上で、Windowsのログイン画面からControlキー + Windowsキー + Enterキーを押すと、任意のプログラムを管理者権限で実行できる。例えばcmd.exenarrator.exeという名前で保存して、再起動後にWindowsのログイン画面でControlキー + Windowsキー + Enterキーを押すと、コマンドプロンプトが管理者権限で立ち上がる。

fodhelperを用いたUAC回避・権限昇格

fodhelper.exeはWindows10より導入されたFeatures On Demand Helperに関するファイル。以下のレジストリキーを編集した上で、fodhelper.exeを起動すると、任意のプログラムやコマンドをUAC (User Account Contol)を回避した上で、管理者権限で実行できる。

HKCU:\Software\Classes\ms-settings\shell\open\command
HKCU:\Software\Classes\ms-settings\shell\open\command\DelegateExecute
HKCU:\Software\Classes\ms-settings\shell\open\command\(default)
参考

slui.exeを用いたUAC回避・権限昇格

slui.exeはWindowsのライセンス認証に関するファイル。以下のレジストリキーを編集した上で、slui.exeを起動すると、任意のプログラムやコマンドをUAC (User Account Contol)を回避した上で、管理者権限で実行できる。

HKCU:\Software\Classes\exefile\shell\open\command

参考1
参考2

Debuggerレジストリキーを用いた権限昇格

以下のDebuggerレジストリキーを編集することで、任意のプログラムやコマンドを管理者権限で実行できる。

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<name of the executable>\Debugger

例えば、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe\Debuggerというエントリーを作成し、値としてcmd.exeを指定し、再起動後にWindowsのログイン画面でWindowsキー + Uキーを押すと、コマンドプロンプトが管理者権限で立ち上がる。

参考1
参考2

ここでまとめたテクニックはユーザーのパスワードを変更したいときの裏技として紹介されることも多い。また、いくつかの手法はWindows Defenderによって阻止される

その他参考
https://attack.mitre.org/techniques/T1546/008/

Leave a Reply

Your email address will not be published.