Windowsの正規機能を悪用した権限昇格のメモ。
- sethc.exeを用いた権限昇格
- utilman.exeを用いた権限昇格
- osk.exeを用いた権限昇格
- magnify.exeを用いた権限昇格
- narrator.exeを用いた権限昇格
- fodhelperを用いたUAC回避・権限昇格
- slui.exeを用いたUAC回避・権限昇格
- Debuggerレジストリキーを用いた権限昇格
sethc.exeを用いた権限昇格
sethc.exeはWindowsのSticky Keys(固定キー)機能に関するファイル。任意のファイルをsethc.exeという名前で保存した上で、Windowsのログイン画面でシフト・キーを5回押すと任意のプログラムを管理者権限で実行できる。例えばcmd.exeをsethc.exeという名前で保存して、再起動後にWindowsのログイン画面でシフト・キーを5回押すと、コマンドプロンプトが管理者権限で立ち上がる。
参考
utilman.exeを用いた権限昇格
utilman.exeはWindowsのアクセシビリティ機能の設定に関するファイル。任意のファイルをutilman.exeという名前で保存した上で、Windowsのログイン画面でWindowsキー + Uキーを押すと任意のプログラムを管理者権限で実行できる。例えばcmd.exeをutilman.exeという名前で保存して、再起動後にWindowsのログイン画面でWindowsキー + Uキーを押すと、コマンドプロンプトが管理者権限で立ち上がる。
参考
osk.exeを用いた権限昇格
osk.exeはWindowsのOn Screen Keyboard(スクリーンキーボード)に関するファイル。任意のファイルをosk.exeという名前で保存した上で、Windowsのログイン画面からOn Screen Keyboardを起動すると、任意のプログラムを管理者権限で実行できる。例えばcmd.exeをosk.exeという名前で保存して、再起動後にWindowsのログイン画面でEase of AccessオプションからOn Screen Keyboardを選択すると、コマンドプロンプトが管理者権限で立ち上がる。
参考
magnify.exeを用いた権限昇格
magnify.exeはWindowsのMagnifier(拡大鏡)に関するファイル。任意のファイルをmagnify.exeという名前で保存した上で、Windowsのログイン画面でWindowsキー + プラスキーを押すと、任意のプログラムを管理者権限で実行できる。例えばcmd.exeをmagnify.exeという名前で保存して、再起動後にWindowsのログイン画面でWindowsキー + プラスキーを押すと、コマンドプロンプトが管理者権限で立ち上がる。
参考
narrator.exeを用いた権限昇格
narrator.exeはWindowsのNarrator機能 (スクリーン上のテキストを読み上げる) に関するファイル。任意のファイルをnarrator.exeという名前で保存した上で、Windowsのログイン画面からControlキー + Windowsキー + Enterキーを押すと、任意のプログラムを管理者権限で実行できる。例えばcmd.exeをnarrator.exeという名前で保存して、再起動後にWindowsのログイン画面でControlキー + Windowsキー + Enterキーを押すと、コマンドプロンプトが管理者権限で立ち上がる。
fodhelperを用いたUAC回避・権限昇格
fodhelper.exeはWindows10より導入されたFeatures On Demand Helperに関するファイル。以下のレジストリキーを編集した上で、fodhelper.exeを起動すると、任意のプログラムやコマンドをUAC (User Account Contol)を回避した上で、管理者権限で実行できる。
HKCU:\Software\Classes\ms-settings\shell\open\commandHKCU:\Software\Classes\ms-settings\shell\open\command\DelegateExecuteHKCU:\Software\Classes\ms-settings\shell\open\command\(default)
参考
slui.exeを用いたUAC回避・権限昇格
slui.exeはWindowsのライセンス認証に関するファイル。以下のレジストリキーを編集した上で、slui.exeを起動すると、任意のプログラムやコマンドをUAC (User Account Contol)を回避した上で、管理者権限で実行できる。
HKCU:\Software\Classes\exefile\shell\open\command
Debuggerレジストリキーを用いた権限昇格
以下のDebuggerレジストリキーを編集することで、任意のプログラムやコマンドを管理者権限で実行できる。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<name of the executable>\Debugger
例えば、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe\Debuggerというエントリーを作成し、値としてcmd.exeを指定し、再起動後にWindowsのログイン画面でWindowsキー + Uキーを押すと、コマンドプロンプトが管理者権限で立ち上がる。
ここでまとめたテクニックはユーザーのパスワードを変更したいときの裏技として紹介されることも多い。また、いくつかの手法はWindows Defenderによって阻止される。
その他参考
https://attack.mitre.org/techniques/T1546/008/
