[提权]Windows UAC 提权(CVE-2019-1388)

0x00 UAC简介

首先来理解一下什么是 UAC ：

用户账户控制UAC：UAC 是 win10 操作系统中非常重要的安全功能，它起源于 windows vista 操作系统，流行于 windows7、windows8 。各种功能策略得到了完善的修订和开发，应用在 win10 操作系统中，目的是减少恶意软件对系统的侵害。

操作系统默认情况下是启用UAC，当用户运行软件就会触发UAC规则。执行的时候就需要权限，否则是不会运行的。

不涉及到更改计算机操作的项目是不会触发UAC规则的，能够触发UAC规则的常用操作包括以下内容：

运行应用程序
修改注册表文件
安装或者卸载程序
安装设备驱动程序
增加或者删除用户账户
复制文件到windows目录

用户操作以上内容时就会触发UAC规则，系统会弹出提示对话框。简单来说，弹出对话框操作就是临时提升用户权限，允许程序运行。

控制 UAC 的4种级别:

1、始终通知（最高级别）
在最高级别中，用户安装和卸载应用程序、更改系统设置等操作时，都会触发UAC并弹出提示框。此级别是系统的最高安全级别，禁止用户随意更改设置和卸载应用程序等操作。

2、仅在程序尝试对我的计算机进行更改时通知我（默认级别）
在这个级别下，只有应用程序操作时会触发UAC规则，用户对电脑的其它设置操作不会触发UAC。所以，在此规则下既不影响用户的正常操作，又可以防止恶意软件对电脑的更改。

3、仅当程序尝试更改计算机时通知我
默认情况下，如果用户需要对操作系统进行更改设置，触发了UAC也不会对系统造成问题。但是，当你没有运行任何程序的时候，电脑提示触发UAC的提示框，说明某些恶意程序正在对电脑进行更改操作。我们应该立刻阻止操作。

4、从不通知（最低级别）
运行在最低级别时，当使用管理员用户或者普通用户操作系统时，所有的操作都会默认执行，电脑不会有任何的提示。在此模式下工作，电脑系统处于不安全的状态。木马程序可以随意更改电脑内部的数据，也可以在用户不只知道的情况下对电脑做出更改。

0x01 漏洞简介

该漏洞位于Windows的UAC（User Account Control，用户帐户控制）机制中。默认情况下，Windows会在一个单独的桌面上显示所有的UAC提示 Secure Desktop。

这些提示是由名为 consent.exe 的可执行文件产生的，该可执行文件以NT AUTHORITY\SYSTEM权限运行，完整性级别为System。

因为用户可以与该UI交互，因此对UI来说：限制是必须的，否则，低权限的用户可能可以通过UI操作的循环路由以SYSTEM权限执行操作，即使隔离状态的看似无害的UI特征都可能会成为引发任意控制的动作链的第一步。

事实上，UAC会话中本应该尽可能含有少些点击操作选项，倘若利用该漏洞，是很容易就可以提升权限到SYSTEM。

0x02 影响范围

#SERVER  
Windows   2008r2    7601        **  link OPENED AS SYSTEM  ** 
Windows   2012r2    9600        **  link OPENED AS SYSTEM  ** 
Windows   2016      14393       **  link OPENED AS SYSTEM  ** 
Windows   2019      17763        link NOT opened

#WORKSTATION  
Windows   7  SP1     7601        **  link OPENED AS SYSTEM  ** 
Windows   8          9200        **  link OPENED AS SYSTEM  ** 
Windows   8.1        9600        **  link OPENED AS SYSTEM  ** 
Windows   10   1511      10240    **  link OPENED AS SYSTEM  ** 
Windows   10   1607      14393    **  link OPENED AS SYSTEM  ** 
Windows   10   1703      15063    link NOT opened 
Windows   10   1709      16299    link NOT opened