从项目中看BypassUAC和BypassAMSI

123456865

一、概述
在日常渗透过程中，无论执行exe程序还是执行ps1脚本，都可能会遇到UAC或AMSI的阻挠。本文将联合UACME和Dount项目先容BypassUAC与BypassAMSI的方法。如有不敷之处，请大家指出。


二、BypassUAC

BypassUAC自然绕不开UACME这个项目https://github.com/hfiref0x/UACME，项目里包含了很多不同种类的方法，其中Dll Hijack 、Registry key manipulation、Elevated COM interface这三种方法是项目中出现的较多且好用的，对应23、33、41这三个方法号，下面就动态调试下UACME项目中的这几个方法，有坑的地方会加以说明：
调试前要修改两步：
第一步：增长方法号参数：


2.1调试Dll Hijack

可见23这个方法从Win7到win10各版本都还没修复：

然后进行历程伪装，就是根据PEB中的ProcessParameters来获取自己历程信息并修改为系统可信历程：

接着调用MethodsManagerCall()方法，该方法为主要功能调用的方法，参数为对应的方法号：

元素结构体的定义，第一个为调用方法函数指针和第三个为所需资源号：

加载的dll内容：

接着根据UCM_API_DISPATCH_ENTRY结构体里的函数指针调用相应方法：

继承跟入ucmDismMethod()，先进行版本判定后，再跟入ucmxGenericAutoelevation()函数，在该方法中主要实现对FUBUKI64 dll的移动和改名：

跟入ucmxDisemer()，函数中拼接好C:\Windows\system32\pkgmgr.exe要执行的程序和/ip /m:pe386 /quiet参数，传入supRunProcess2()调用:

背面会执行些清理方法，至此23号Dll Hijack方法分析结束。

2.2调试Registry key manipulation
可见33这个方法只支持win10，必要在win7使用可用用25方法号，方式是一样的。




构造SHELLEXECUTEINFO结构体，传入ShellExecute()启动fodhelper.exe：

背面清理相应的注册表键值。

2.3COM接口提升Elevated COM interface

41号方法根本覆盖全版本windows系统:

先初始化COM情况：

调用CMLuaUtil对象虚表中的ShellExec函数启动相应的历程：

然后使用OleView .Net工具根据CLSID检察找到的接口信息：

41号这个方法挺好使的，用来做C2的launch来部署情况个人觉得很恰当。  

三、BypassAMSI：
3.1AMSI简介
AMSI（Antimalware Scan Interface）， 即反恶意软件扫描接口，在Windows Server 2016和Win10上默认安装并启用，但安装有些杀软会被关掉，可通过接口来扫描文件，内存、数据，常用于检测ps脚本。
3.2BypassAMSI方式
网上看到现在能BypassAMSI主要有三种方法：
[size=10.5000pt]1、 修改相应的注册表。将HKCU\Software\Microsoft\Windows Script\Settings\AmsiEnable的表项值置为0。关闭Windows Defender使系统自带的AMSI检测无效化。[size=10.5000pt]

[size=10.5000pt]2、 Dll劫持powershell程序在powershell.exe执行目录放置一个伪造AMSI.dll，从而实现DLL劫持。
[size=10.5000pt]3、 InlineHook AMSI.dllDount是一个基于.Net的免杀肴杂组件，
这里根据Dount项目介紹下三种方式来BypassAMSI，项目地址：https://github.com/TheWover/donut
[size=10.5000pt]1、 把原来amsi.dll中的AmsiScanString()和AmsiScanBuffer()扫描函数更换，让其返回S_OK:更换成自己的函数AmsiScanStringStub()：

改变内存属性，把AmsiScanStringStub()覆盖到AmsiScanString():
  
但如今一旦出现AmsiScanBuffer()该字符串都有可能被Windows Defender查杀，所以就Egg Hunter这种方法，也是先加载别的不相关的函数，如DllCanUnloadNow()：



完，谢谢大家观看。



参考链接：
https://modexp.wordpress.com/2019/06/03/disable-amsi-wldp-dotnet/
https://www.contextis.com/en/blog/amsi-bypass
来源：http://www.12558.net
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！