#Fodhelper for #UAC_Bypass
در سیستم عامل ویندوز ۱۰ امکان داره مکانیزم UACجلوی پیاده سازی برخی کارهای شمارو در فریمورک Metasploit بگیره, که مثلا شما قادر به انجام Migrate Process نباشید, که یکی از رایج ترین روش ها برای باز کردن Privilege سطح ادمین برای Thread دسترسی هستش,
برای دور زدن مکانیزم UAC همیشه راه هایی در سطح اینترنت ارائه میشه, که %90 اونها با استفاده از فعال کردن یک Service در خود سیستم عامل هستش که سطح دسترسی Administator رو از سیستم میگیره, خب اینبار این سرویس ما فایلی با نام fodhelper هستش که به گفته محقق مربوطه دارای سطح ادمین در مواقعی هستش که کاربر فعال ادمین هستش و مکانیزم UAC هم فعاله, اینجا محقق اشاره داره که این سرویس در آنالیزی که روی عملکردش شده با استفاده از ابزار ProcMon متوجه ReqQuery هایی شده که با Value که در تصویر میبینید زده, منظورم قسمت Open\command هستش,خب همین مورد بسیار مناسب برای اشاره به خط فرمان سیستمی یعنی
https://github.com/winscripting/UAC-bypass/blob/master/FodhelperBypass.ps1
@Unk9vvN
در سیستم عامل ویندوز ۱۰ امکان داره مکانیزم UACجلوی پیاده سازی برخی کارهای شمارو در فریمورک Metasploit بگیره, که مثلا شما قادر به انجام Migrate Process نباشید, که یکی از رایج ترین روش ها برای باز کردن Privilege سطح ادمین برای Thread دسترسی هستش,
برای دور زدن مکانیزم UAC همیشه راه هایی در سطح اینترنت ارائه میشه, که %90 اونها با استفاده از فعال کردن یک Service در خود سیستم عامل هستش که سطح دسترسی Administator رو از سیستم میگیره, خب اینبار این سرویس ما فایلی با نام fodhelper هستش که به گفته محقق مربوطه دارای سطح ادمین در مواقعی هستش که کاربر فعال ادمین هستش و مکانیزم UAC هم فعاله, اینجا محقق اشاره داره که این سرویس در آنالیزی که روی عملکردش شده با استفاده از ابزار ProcMon متوجه ReqQuery هایی شده که با Value که در تصویر میبینید زده, منظورم قسمت Open\command هستش,خب همین مورد بسیار مناسب برای اشاره به خط فرمان سیستمی یعنی
System32\cmd.exe
هستش که سرویس ما اون رو با سطح ادمین یاز خواهد کرد.https://github.com/winscripting/UAC-bypass/blob/master/FodhelperBypass.ps1
@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#Enumerating Vulnerable #DCOM Applications #DCOMrade
با استفاده از DCOMrade شما میتونید از راه دور به دیوایس ویندوزی خود وصل شده و یک سرشماری بر روی AppID ها انجام داده تا CLSID هایی که پرمیژن LaunchPermission باز دارند رو پیدا کنید, تا از آن که البته بصورت پیشفرض وجود داره و این موضوع دو امکان رو به هکر میتونه بده,
یک اینکه شما میتونید برای Lateral Movement انجام دادن استفاده کنید که میتونه باعث دور زدن رفتار شناسی پایلودها به وسیله #EDR ها و غیره است, دوم اینکه میتوان با استفاده از این پرمیژن مکانیزم هایی مانند #UAC و برای #Privilege_Escalation انجام داد, حتی در مواقعی میتوان از این Security Misconfiguration در سرورهای آسیب پذیر میتوان برای Pivot زدن در شبکه هم استفاده کرد,روش استخراج اطلاعات
unk9vvn@avi:~$
https://github.com/sud0woodo/DCOMrade
@Unk9vvN
با استفاده از DCOMrade شما میتونید از راه دور به دیوایس ویندوزی خود وصل شده و یک سرشماری بر روی AppID ها انجام داده تا CLSID هایی که پرمیژن LaunchPermission باز دارند رو پیدا کنید, تا از آن که البته بصورت پیشفرض وجود داره و این موضوع دو امکان رو به هکر میتونه بده,
یک اینکه شما میتونید برای Lateral Movement انجام دادن استفاده کنید که میتونه باعث دور زدن رفتار شناسی پایلودها به وسیله #EDR ها و غیره است, دوم اینکه میتوان با استفاده از این پرمیژن مکانیزم هایی مانند #UAC و برای #Privilege_Escalation انجام داد, حتی در مواقعی میتوان از این Security Misconfiguration در سرورهای آسیب پذیر میتوان برای Pivot زدن در شبکه هم استفاده کرد,روش استخراج اطلاعات
unk9vvn@avi:~$
pwsh
PS /home/unk9vvn> $com = [Type]::GetTypeFromCLSID('9BA05972-F6A8-11CF-A442-00A0C90A8F39', "192.168.99.13")
PS /home/unk9vvn> $obj = [System.Activator]::CreateInstance($com)
PS /home/unk9vvn> $item = $obj.Item()
PS /home/unk9vvn> $item
... ...https://github.com/sud0woodo/DCOMrade
@Unk9vvN