Windowsの正規機能を悪用した権限昇格のメモ

Windowsの正規機能を悪用した権限昇格のメモ。

• sethc.exeを用いた権限昇格
• utilman.exeを用いた権限昇格
• osk.exeを用いた権限昇格
• magnify.exeを用いた権限昇格
• narrator.exeを用いた権限昇格
• fodhelperを用いたUAC回避・権限昇格
• slui.exeを用いたUAC回避・権限昇格
• Debuggerレジストリキーを用いた権限昇格

sethc.exeを用いた権限昇格

sethc.exeはWindowsのSticky Keys（固定キー）機能に関するファイル。任意のファイルをsethc.exeという名前で保存した上で、Windowsのログイン画面でシフト・キーを５回押すと任意のプログラムを管理者権限で実行できる。例えばcmd.exeをsethc.exeという名前で保存して、再起動後にWindowsのログイン画面でシフト・キーを５回押すと、コマンドプロンプトが管理者権限で立ち上がる。
参考

utilman.exeを用いた権限昇格

utilman.exeはWindowsのアクセシビリティ機能の設定に関するファイル。任意のファイルをutilman.exeという名前で保存した上で、Windowsのログイン画面でWindowsキー + Uキーを押すと任意のプログラムを管理者権限で実行できる。例えばcmd.exeをutilman.exeという名前で保存して、再起動後にWindowsのログイン画面でWindowsキー + Uキーを押すと、コマンドプロンプトが管理者権限で立ち上がる。
参考

osk.exeを用いた権限昇格

osk.exeはWindowsのOn Screen Keyboard（スクリーンキーボード）に関するファイル。任意のファイルをosk.exeという名前で保存した上で、Windowsのログイン画面からOn Screen Keyboardを起動すると、任意のプログラムを管理者権限で実行できる。例えばcmd.exeをosk.exeという名前で保存して、再起動後にWindowsのログイン画面でEase of AccessオプションからOn Screen Keyboardを選択すると、コマンドプロンプトが管理者権限で立ち上がる。
参考

magnify.exeを用いた権限昇格

magnify.exeはWindowsのMagnifier（拡大鏡）に関するファイル。任意のファイルをmagnify.exeという名前で保存した上で、Windowsのログイン画面でWindowsキー + プラスキーを押すと、任意のプログラムを管理者権限で実行できる。例えばcmd.exeをmagnify.exeという名前で保存して、再起動後にWindowsのログイン画面でWindowsキー + プラスキーを押すと、コマンドプロンプトが管理者権限で立ち上がる。
参考

narrator.exeを用いた権限昇格

narrator.exeはWindowsのNarrator機能 (スクリーン上のテキストを読み上げる) に関するファイル。任意のファイルをnarrator.exeという名前で保存した上で、Windowsのログイン画面からControlキー + Windowsキー + Enterキーを押すと、任意のプログラムを管理者権限で実行できる。例えばcmd.exeをnarrator.exeという名前で保存して、再起動後にWindowsのログイン画面でControlキー + Windowsキー + Enterキーを押すと、コマンドプロンプトが管理者権限で立ち上がる。

fodhelperを用いたUAC回避・権限昇格

fodhelper.exeはWindows10より導入されたFeatures On Demand Helperに関するファイル。以下のレジストリキーを編集した上で、fodhelper.exeを起動すると、任意のプログラムやコマンドをUAC (User Account Contol)を回避した上で、管理者権限で実行できる。

HKCU:\Software\Classes\ms-settings\shell\open\command
HKCU:\Software\Classes\ms-settings\shell\open\command\DelegateExecute
HKCU:\Software\Classes\ms-settings\shell\open\command\(default)
参考

slui.exeを用いたUAC回避・権限昇格

slui.exeはWindowsのライセンス認証に関するファイル。以下のレジストリキーを編集した上で、slui.exeを起動すると、任意のプログラムやコマンドをUAC (User Account Contol)を回避した上で、管理者権限で実行できる。

HKCU:\Software\Classes\exefile\shell\open\command

参考１
参考２

Debuggerレジストリキーを用いた権限昇格

以下のDebuggerレジストリキーを編集することで、任意のプログラムやコマンドを管理者権限で実行できる。

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<name of the executable>\Debugger

例えば、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe\Debuggerというエントリーを作成し、値としてcmd.exeを指定し、再起動後にWindowsのログイン画面でWindowsキー + Uキーを押すと、コマンドプロンプトが管理者権限で立ち上がる。

参考１
参考２

ここでまとめたテクニックはユーザーのパスワードを変更したいときの裏技として紹介されることも多い。また、いくつかの手法はWindows Defenderによって阻止される。

その他参考
https://attack.mitre.org/techniques/T1546/008/