что такое bypass в читах
FPS Bypass
FPS Bypass — инструмент, созданный AbsoluteGamer’ом и mgostIH в декабре 2017 года. Предназначен для разблокировки встроенного ограничения FPS (привязанного к вашей частоте обновления, независимо от того, включена или выключена вертикальная синхронизация) в Geometry Dash. Этот инструмент широко используется в сообществе Geometry Dash многими известными игроками (например, Sunix и Skullo). С тех пор, как он стал стандартом, возникли серьёзные споры относительно того, следует ли разрешать использование этого инструмента в рамках сообщества. Создатели FPS Bypass заявили, что его следует рассматривать как хакерскую утилиту и ничто иное.
Первоначально инструмент просто позволял Geometry Dash воспроизводить столько кадров в секунду, сколько могла вывести система пользователя. Это приведёт к множеству ошибок игровой физики, делая многие уровни неиграбельными. В конце концов, инструмент был обновлён, чтобы включить ограничитель кадров, что позволило игрокам играть с выбранной частотой кадров. Выбранная частота кадров будет воспроизводить физику игровых процессов на частоте кадров даже на более низких частотах обновления дисплея, т. е. установка ограничения до 144 кадров в секунду на дисплее 60 Гц всё равно заставит игрока столкнуться со «144-герцовыми багами» на уровнях.
Контроверза
Возможность воспроизведения Geometry Dash с более высокой частотой кадров на мониторе с низкой частотой обновления имеет исключительное преимущество — меньшее время отклика. Hotball1 однажды играл на 60-герцовом мониторе и в течение некоторого времени использовал инструмент, чтобы играть со скоростью 120 кадров в секунду, прежде чем в конечном счёте приобрести 144-герцовый монитор. Sunix играет на дисплее 144 Гц, но использует байпасс для достижения 180 кадров в секунду. Тем не менее оба игрока были дисквалифицированы из демон-листа Geometry Dash. Модераторы списка обсуждали в подкасте, что правила, касающиеся обхода, скорее всего, останутся активными, а это означает, что игрокам, дисквалифицированным за использование инструмента, вероятно, больше никогда не позволят занимать позицию в списке. RobTop говорил об этом и говорит, что он будет встраивать FPS-байпасс в игру (в обновление 2.2, которое, возможно, удалит встроенное ограничение кадров), позволяющий мобильным игрокам также извлечь выгоду из лучшего времени отклика. SEA [1] и Kozoukom говорили на эту тему в своих видео, и оба встали на сторону, что байпасс не должен быть заблокирован. Однако, 25 мая 2020 года на сайте Pointercrate было принято решение снять запрет и засчитать все рекорды, поставленные во время запрета, но при этом всё равно не желательно ставить значение выше 300 FPS.
Байпас ИБП: принцип работы, функции и виды
ИБП для обеспечения автономной работы ответственных потребителей, должен иметь определённые опции, которые повышают надёжность всей системы электропитания. Одной из таких опций является байпас.
В нашей статье мы поговорим о нём подробнее и, в частности, рассмотрим принцип работы и назначение байпаса, а также основные виды байпаса и область их применения.
Содержание
Что такое байпас ИБП и для чего он нужен?
Байпас (англ. bypass – обход) является одним из режимов работы источника бесперебойного питания. Его особенность в том, что электроснабжение подключенных приборов выполняется в обход силовой части устройства, то есть напрямую от внешней электросети. Данный режим обеспечивается либо внутренним блоком ИБП, либо внешним модулем, который при подключении к «бесперебойнику» создаёт идущую мимо него цепь.
Основная функция байпаса – поддержание работоспособности нагрузки при нештатных ситуациях в работе ИБП (поломка, перегрев, перегрузка), а также при проведении его настройки, обслуживания или ремонта. Кроме того, в некоторых моделях ИБП с помощью байпаса можно экономить электроэнергию – в случае удовлетворительного качества входного напряжения нагрузка переводится на питание от внешней сети (по цепи байпаса), что снижает потери электроэнергии на компонентах силовой части. Такой режим называют «ECO» или «экономичный».
Виды байпаса ИБП
У большинства ИБП малой и средней мощности байпас является внутренним блоком. Аналогичный блок присутствует и у более мощных моделей, которые также поддерживают подключение внешних шкафов или модулей байпаса. Отметим, что внутренний блок позволяет пустить напряжение только в обход силовой части ИБП, а внешний шкаф или модуль способен полностью обесточить устройство, в том числе снять напряжение с его входных и выходных клемм (электроснабжение нагрузки при этом не будет прервано).
Кроме исполнения (внутреннее и внешнее), байпасы различаются способами коммутации и назначением:
| Вид байпаса | Описание |
| Механический | Активация обходной цепи ИБП выполняется за счет рубильника, переключателя, контактора или других механических элементов. Как правило, механический способ предполагает ручной перевод ИБП в режим байпас. |
|---|---|
| Электронный или статический | Переключение на обходную цепь ИБП осуществляется с помощью электронных ключей. Их коммутация может выполняться как автоматически устройством (в случае нештатной ситуации), так и пользователем (локально через панель управления или удаленно через соответствующие интерфейсы). |
Байпас в разных типах ИБП
Рассмотрим, какую специфику работы имеет режим «байпас» в разных типах ИБП:
| Тип ИБП | Описание |
| Резервные ИБП (off-line) | Байпас не используется из-за того, что при нахождении входного напряжения в допустимых пределах устройства и так питают нагрузку напрямую от сети, не осуществляя какой-либо коррекции её параметров (переход на аккумуляторы происходит при выходе напряжения из допустимых пределов). |
|---|---|
| Линейно-интерактивные ИБП (line-interactive) | Бюджетные модели не имеют байпаса, так как работают по схожему с off-line ИБП принципу: допустимое сетевое напряжение передается на нагрузку (тут правда возможна его небольшая коррекция), недопустимое – вызывает переход на батареи. Рассчитанные на использование в корпоративном секторе более дорогие модели могут комплектоваться ручным байпасом. |
| ИБП двойного преобразования (on-line) | Электронный автоматический байпас является обязательным внутренним блоком. Это объясняется тем, что перегрузка или неисправность преобразователей силовой схемы не должна приводить к обесточиванию нагрузки. Некоторые модели обеспечены комбинированной электронно-механической схемой, состоящей из автоматического и ручного байпаса. |
Байпас в моделях ИБП производства ГК «Штиль»
Модели ИБП производства ГК «Штиль» способны обеспечить бесперебойным питанием, а также защитить от нестабильного сетевого напряжения любую нагрузку, в том числе и критически важную.
Автоматический и ручной байпас ИБП
Во все однофазные модели ИБП производства ГК «Штиль» встроен электронный автоматический байпас. Он служит для безразрывного перевода электроснабжения нагрузки с ИБП на входную сеть и срабатывает в случае поломки силовой части либо при перегрузке/перегреве устройства. Отметим, что после автоматического перехода на байпас ИБП продолжит контролировать сеть и будет обесточивать нагрузку при выходе питающего напряжения из определенных границ.
Возможен и принудительный перевод на байпас, выполняемый либо с помощью клавиатуры и меню ЖК-дисплея, либо через ПО удаленного мониторинга.
В трехфазных ИБП «Штиль» кроме автоматического электронного байпаса присутствует и ручной байпас. Он позволяет переключать нагрузку на сеть на время сервисного обслуживания «бесперебойника», проводить которое можно без перерыва в электропитании потребителей.
ECO-режим ИБП
Во всех ИБП «Штиль» доступен режим ECO, позволяющий экономить электроэнергию в условиях нормального электроснабжения. После его активации устройство питает нагрузку через цепь электронного байпаса и при этом осуществляет постоянный контроль параметров входной сети. В случае их выхода за установленный диапазон (настраивается в пределах ± 5-25% от номинальных 220/230 В), ИБП моментально переходит на работу через силовую часть и начинает стабилизировать напряжение.
Внешний байпас ИБП
ГК «Штиль» выпускает широкую линейку модулей и шкафов внешнего байпаса, рассчитанных на совместное использование с однофазными и трехфазными ИБП. Данное оборудование позволяет вручную безразрывно переключать электроприборы с выхода ИБП на входную сеть и выполнять настройки, сервисное обслуживание или полную замену «бесперебойника» без прекращения питания потребителей.
Что такое и какую роль выполняет байпас в электрической цепи
Отправим материал на почту
Байпас в электрике обозначает созданную обходную сеть, позволяющую обесточить определённый участок от всей цепи. Наиболее популярным примером является его подключение со стабилизатором напряжения. Устройство может быть с ручным или автоматическим режимом управления, а также встроенным или, более распространённым, внешним. Рассмотрим данный вопрос более подробно.
Что такое байпас
Аналогичный механизм присутствует в большинстве современных электрических приборов, работающих на средней, либо высокой мощности и использующихся с целью сглаживания отклонений значения входного напряжения электроэнергии для однофазной или трёхфазной сети.
Байпас в электрике имеет и другое название – «Транзит». Фактически это практичный и функциональный приём, дополнительно использующийся в устройствах, работающих по стабилизирующему принципу. Ручное включение байпаса осуществляется тумблером, рубильником, кнопкой, реле или иными устройствами аналогичного типа.
Напряжение, подающееся на реле, моментально выполняет переходной цикл режима энергообеспечения всей подключенной электросети непосредственно через потребителя. Проще говоря, в момент его включения, пониженное или повышенное напряжение не выравнивается.
Интересно! Bypass (англ. яз.) – обход, транзит.
Для чего он нужен
Если вопрос, что такое байпас в стабилизаторе напряжения ясен, то в отдельных случаях может возникнуть другой: какова его функция? При необходимости подключения энергопотребителей устройство позволяет пользователю не искать клеммы и дополнительный кабель. Достаточно включения устройства и подача электрического тока начнёт протекать мимо прибора, по обходной цепи.
Варианты, когда использование байпаса/транзита в стабилизаторе напряжения выступает прямой необходимостью, могут быть следующими:
Принципы работы
Байпас в электрике классифицируется по нескольким признакам. В первую очередь это происходит по принципу его работы:
Важно! Активация режима «ручной байпас» происходит непосредственно после отключения энергопитания от стабилизатора. Выполняется это одним движением. Будьте внимательны с работающими в это время электроприборами. На долю секунды ваш дом окажется без электричества.
Преимущество электронного байпаса над ручным заключается в следующих качествах:
Расположение и схемы
Другая классификация связана с расположением устройства. Байпас может устанавливаться на стабилизаторе или внутри него. Так внутренние (встроенные) построены по принципу схемы обхода, реализованной непосредственно внутри корпуса.
Важно! В большей степени стабилизаторы, предназначенные для бытовых нужд, редки. Преимущественно в продаже представлены модели, подключающиеся отдельно, внешние.
Внешние байпасы
Устройство электрического внешнего байпаса построено на том, что устройство подключается отдельно, вокруг стабилизатора. Причём характеристики последнего (мощность и количество фаз) роли не играют, возможна адаптация с любыми моделями.
Однофазный
В первую очередь байпас в стабилизаторе напряжения должен выполнять мгновенное отключение фазных проводников от входного и выходного контакта прибора. «Ноль» в этом случае не размыкается и может проходить напрямую. Однако в последующей эксплуатации это может привести в ряду затруднений.
Полезно! Оптимальным выбором в данной ситуации станет трёхполосный кулачковый переключатель серии 4G по схеме 56 с двойным положением.
В качестве примера присоединения рассмотрим схему, представленную далее.
Если установлен стабилизатор с большим номиналом мощности, меняются требования и к переключателям. Принцип подключения выполняется по аналогичному принципу.
Трёхфазный байпас
Для подключения трёхфазной модели понадобится коммутирование не только 3 фазовых жил, но и «земли». Поэтому принцип действия аналогичен, но будет в 4 раза больше. Для удобства соединения цепи можно воспользоваться специальными «байпасными» переключателями, которые не только объединят все контакты в единый корпус, но и снабжены всеми внутренними соединениями. В этом случае вам только останется правильно скоммутировать оба устройства.
В качестве примера рассмотрим двухпозиционный четырёхполосный переключатель ABB OL80PW48RB. Он предназначен для коммутационной мощности 22,5 кВт (380 В), номинальное напряжение 80 А, но в течение 3 сек. способен выдержать скачок до критических 1 280 А. Представленная ниже схема показывает, что приспособление реализуется с уже соединёнными между собой контактами. Поэтому он легко может устанавливаться в цепи «байпас – стабилизатор напряжения» и в иных участках трёхфазный сетей.
Заключение
Мы разобрались, что такое байпас в стабилизаторе напряжения, для чего он нужен и как должен подключаться. Решение, устанавливать его в своём доме или нет, принимается индивидуально. Но, исходя из того, что схема присоединения достаточно проста, а положительные стороны его присутствия очевидны, думаем вы отдадите предпочтение в его пользу.
MadLoader + VAC-ByPass (v3.6.1) Для CS:GO
Описание MadLoader + VAC-ByPass (v3.6.1) Для CS:GO
Я рад представить вам чит MadLoader. Он предлагает множество встроенных читов, необнаруженный встроенный инжектор и предлагает множество новых функций, таких как интегрированное средство обновления программного обеспечения, пользовательский инжектор, готовые конфигурации и метод восстановления файлов на случай, если антивирус снова подаст ложную тревогу.
CS: GO Madloader имеет гораздо лучшую оптимизацию, чем другие загрузчики. Причем не только в оптимизации. У него намного лучший дизайн и множество функций и читов. Некоторые из этих функций приведены ниже, но я рекомендую вам скачать их, чтобы изучить все функции :).
Поскольку Madloader – это установочный файл, вы можете выбирать предлагаемые вам варианты по своему усмотрению. Вы можете в любой момент удалить его с панели управления. Таким образом, вам не нужно бояться блокировки Vac при переходе на основную учетную запись в csgo. Говоря о VAC, с опцией Vac bypass loader в madloader, вы никогда не получите бан на Vac из игры, даже если вы воспользуетесь любыми читами, которые захотите.
В этом установщике читов нет ненужных кнопок или глупых изображений. Он создает для вас красивый вид с очень стильной темой. Более того, madloader использует очень мало процессора, оперативной памяти и диска. Следовательно, вам будет намного лучше использовать madloader на слабых системах. Благодаря такому небольшому количеству ресурсов (ЦП, оперативная память, диск) вы также можете понять, что в нем нет вирусов.
UAC Bypass или история о трех эскалациях
На работе я исследую безопасность ОС или программ. Ниже я расскажу об одном из таких исследований, результатом которого стал полнофункциональный эксплоит типа UAC bypass (да-да, с source-code и гифками).
История
GUI UAC bypass
Наверняка существует множество способов найти уязвимость. Один из самых простых — это воспроизведение уже существующей атаки, выбрав другую цель. Так и я решил поставить опыт — через меню выбора файла (для сохранения или открытия) запустить какое-нибудь приложение.
Гифка показывает, как такая атака выглядела в Windows 98. Атакующий хитрыми манипуляциями вызывает окно открытия файла и через него запускает explorer.
Сначала проведем простой тест, чтобы посмотреть, что происходит — запускаем блокнот. Выбираем в меню пункт «Открыть», а в появившемся окне переходим в папку C:\Windows\system32\. В окне отображаются только файлы txt и папки. Это легко поправить — достаточно вместо имени файла написать *.* и будут отображены все файлы (в случае блокнота можно проще — выбрать фильтр «Все файлы», но такой фильтр будет доступен не всегда, а звездочки будет работать всегда). Находим notepad.exe и запускаем его через контекстное меню.
Process Explorer показывает вполне ожидаемую картину:
Один процесс стартовал другой. Чаще всего при таком наследовании дочерний процесс имеет тот же уровень привилегий, что и родительский. Значит, если мы хотим запустить процесс с высокими привилегиями, то и воспользоваться нужно процессом, у которого уже есть эти привилегии.
Тут я вспомнил о приложениях с автоматически поднимаемыми привилегиями. Речь идет о программах, у которых в манифесте прописано поднятие привилегий без запроса UAC (элемент autoElevate). Для первого эксперимента я выбрал многострадальный eventwvr.exe (он уже пару раз засветился в обходах UAC).
Все оказалось очень просто, в меню «Действие» есть пункт «Открыть сохраненный журнал…» — этот пункт выводит окно открытия файла, что мы и хотим получить.
После запуска мы увидим такую ситуацию:
Мы запустили консоль с правами администратора без появления окна UAC.
Такой вид уязвимостей называется UAC bypass (обход запроса UAC). Важно отметить существенное ограничение — автоматическое поднятие прав работает, только если пользователь входит в группу администраторов. Поэтому с помощью такой уязвимости нельзя поднять права с уровня пользователя. Но все же уязвимость довольно опасна — очень много пользователей Windows использует аккаунт администратора для повседневной работы. Вредоносная программа, которую запустит пользователь такого аккаунта, без внешних проявлений получит сначала административные привилегии, а затем, если ей надо, то может получить хоть NT AUTHORITY\SYSTEM. С привилегиями администратора это очень легко.
На гитхабе есть отличный проект https://github.com/hfiref0x/UACME, где собраны, наверное, все имеющиеся в открытом доступе уязвимости такого рода, причем с указанием с какой версии Windows уязвимость начала работать, и в какой ее поправили, если поправили.
Я далеко не первый, кто подумал об уязвимости такого плана. Ниже я прикладываю два анимационных изображения, которые наглядно показывают обход UAC еще двумя способами.
Я прошелся по разным приложениям и ниже прикладываю еще 18 способов реализации такого обхода.
Внимание! Возможно, в разных версиях и редакциях некоторые приложения не будут иметь автоматическое поднятие привилегий — их список периодически меняется.
Кроме того, если у вас установлен принтер, то с большой вероятностью в окошках, связанных с печатью, вы найдете много дополнительных способов вызвать окно выбора файла.
cliconfg.exe
1) Кнопка «Справка», в появившемся окне справки вызвать контекстное меню в рабочей области, выбрать «Просмотр HTML-кода», в появившемся окне Блокнота выбрать в меню «Файл», пункт «Открыть».
2) Кнопка «Справка», в появившемся окне справки вызвать контекстное меню в рабочей области, выбрать «Печать», в появившемся окне «Найти принтер…», в окне поиска выбрать меню «Файл», пункт «Сохранить условия поиска».
compMgmtLauncher.exe
3) Меню «Действие», пункт «Экспортировать список…».
4) Меню «Справка», пункт «Вызов справки», в появившемся окне справки вызвать контекстное меню в рабочей области, выбрать «Просмотр HTML-кода», в появившемся окне Блокнота выбрать в меню «Файл», пункт «Открыть».
5) Меню «Справка», пункт «Вызов справки», в появившемся окне справки вызвать контекстное меню в рабочей области, выбрать «Печать», в появившемся окне «Найти принтер…», в окне поиска выбрать меню «Файл», пункт «Сохранить условия поиска».
dcomcnfg.exe
6) В списке слева выбрать «Службы (локальные)», в контекстном меню выбрать пункт «Экспортировать список…».
eudcedit.exe
7) После старта, программа предложит выбрать код. Выбираем любой и нажимаем ОК; В меню «Файл» выбираем пункт «Связи шрифтов…», в появившемся окне отмечаем «Установить связь с выбранными шрифтами», это разблокирует кнопку «Сохранить как…».
eventvwr.exe
8) Меню «Действие», пункт «Открыть сохраненный журнал…».
9) Меню «Справка», пункт «Вызов справки», в появившемся окне справки вызвать контекстное меню в рабочей области, выбрать «Просмотр HTML-кода», в появившемся окне Блокнота выбрать в меню «Файл», пункт «Открыть».
10) Меню «Справка», пункт «Вызов справки», в появившемся окне справки вызвать контекстное меню в рабочей области, выбрать «Печать», в появившемся окне «Найти принтер…», в окне поиска выбрать меню «Файл», пункт «Сохранить условия поиска».
netplwiz.exe
11) Выбрать вкладку «Дополнительно», в группе «Дополнительное управление пользователями» нажать кнопку «Дополнительно». Будет запущена оснастка lusrmgr.msc. Меню «Действие», пункт «Экспортировать список…».
odbcad32.exe
12) Кнопка «Справка», в появившемся окне справки вызвать контекстное меню в рабочей области, выбрать «Просмотр HTML-кода», в появившемся окне Блокнота выбрать в меню «Файл», пункт «Открыть».
13) Кнопка «Справка», в появившемся окне справки вызвать контекстное меню в рабочей области, выбрать «Печать», в появившемся окне «Найти принтер…», в окне поиска выбрать меню «Файл», пункт «Сохранить условия поиска».
14) Выбрать вкладку «Трассировка», кнопка «Обор…»
15) Выбрать вкладку «Трассировка», кнопка «Выбор DLL…»
perfmon.exe
16) В списке слева выбрать группу «Отчеты», в ней «Особые», в контекстном меню выбрать пункт «Экспортировать список…».
17) Меню «Справка», пункт «Вызов справки», в появившемся окне справки вызвать контекстное меню в рабочей области, выбрать «Просмотр HTML-кода», в появившемся окне Блокнота выбрать в меню «Файл», пункт «Открыть».
18) Меню «Справка», пункт «Вызов справки», в появившемся окне справки вызвать контекстное меню в рабочей области, выбрать «Печать», в появившемся окне «Найти принтер…», в окне поиска выбрать меню «Файл», пункт «Сохранить условия поиска».
Хоть мы и получили консоль администратора с правами администратора, но назвать это уязвимостью или эксплоитом сложно — нужны осознанные действия пользователя. Чтобы данную уязвимость считать практической, а не теоретической — нужно автоматизировать действия.
UIPI bypass
Автоматизация? Да легко! Берем AutoIt и быстро клепаем приложение, которое эмулирует нажатие клавиатуры.
Все оказывается довольно просто — Майкрософт использует технологию UIPI (User Interface Privilege Isolation). Если коротко, то многие интерфейсные взаимодействия блокируются, если Integrity Level (IL) инициатора ниже, чем у целевого приложения. Процессы с привилегиями администратора имеют High IL и выше, а приложение, запускаемое пользователем без поднятия привилегий, имеет Medium IL. Нельзя слать большинство сообщений, эмулировать мышь, клавиатуру.
Как же обойти UIPI? Майкрософт указывает, что есть еще один интересный параметр, который можно указать в манифесте — UIAccess. При выполнении ряда суровых условий приложение получит возможность взаимодействовать с интерфейсом других программ. Собственно, сами условия:
Появляется идея попробовать скопировать Osk.exe куда-то, где он все еще будет считаться расположенным по «безопасному» пути. Тогда мы сможем контролировать это приложение, но все равно выполнять условия для обхода UIPI.
Я написал простой поисковик по директориям C:\Windows, C:\Program Files, C:\Program Files (x86), который бы искал места, куда можно копировать без прав администратора. На удивление, таких директорий нашлось немало. К сожалению, большая часть из них либо входит в исключения C:\Windows, либо является директориями, куда можно писать, но откуда нельзя запускать приложения. И все равно, нашлось две подходящих папки:
А вот вторая папка уже лучше — за исключением того, что она появляется при установке Microsoft Visual Studio (2017 в данном случае, у других студий будут другие числа вместо 130, например 120 у MSVS 2015).
Копируем osk.exe в папку C:\Program Files\Microsoft SQL Server\130\Shared\ErrorDumps. Смотрим таблицу импорта приложения. Среди библиотек в импорте я выбрал osksupport.dll — это библиотека, экспортирующая всего 2 функции, поэтому можно быстро сделать поддельную.
Собираем dll и копируем по тому же пути — будет dll-инъекция. Запускаем, проверяем — скопированный osk.exe запускается с High IL, код из dll исполняется.
Дописываем в dll автоматизацию клавиатурных нажатий (уже не AutoIt, а быстро все перекинутое на плюсовый код keybd_event). Убеждаемся, что все работает. Теперь у нас уже почти готов эксплоит. Надо провести чистый тест.
Подготавливается виртуальная машина, куда установлена только Visual Studio и пишется простая программа — она копирует osk.exe и библиотеку с полезной нагрузкой. Все отлично работает. Запускаем бинарный файл и спустя мгновение на экране творится магия автоматизации.
Вот это уже можно назвать эксплоитом — все-таки программа без участия пользователя обходит UAC. Пользователь, конечно, все это видит, но не беда — это мелочи.
Это была первая версия эксплоита — две эскалации (autoElevate и UIAccess), но пользователь видит, что происходит что-то не то.
Я отправился перечитывать Windows Internals Руссиновича в тех главах, где упоминается UIAccess и UIPI. Внезапно, русским по белому там было написано, что UIPI предотвращает использование SetWindowsHookEx. Но я как раз обошел UIPI, а значит мог использовать эту функцию — так стало еще лучше! Я смог провести инъекцию кода, вместо отправки клавиатурных нажатий. Вот и вторая версия эксплоита — те же эскалации, но теперь без заметных действий на экране. Почти сразу после запуска эксплоита запускалась привилегированная консоль.
Directory bypass
На этом этапе я написал письмо с описанием уязвимости, кодом эксплоита и пошаговым объяснением в Майкрософт. Реакция саппорта немного удивила — они спрашивали: «Получается, что для запуска вашего эксплоита нужны права администратора?». Попытка объяснить, что это не эскалация привилегий с пользователя до администратора, а обход UAC, успехом не увенчалась.
Последнее, что можно было улучшить — убрать требование директории, доступной на запись. Для начала я решил попробовать старый способ с WUSA.
Сначала я попробовал «распаковать» произвольный файл в C:\windows\system32. Получил ошибку отказа в доступе. Логично, я давно читал, что вроде бы этот способ убрали. Но на всякий случай решил проверить с путем в Program Files. Утилита отработала, файл скопировался. Вот теперь запахло жареным — необходимость папки с правами на запись в Program Files постепенно пропадала.
Но от способа с WUSA я решил отказаться. В Windows 10 (10147) у приложения убрали опцию /extract. Тем не менее я не унывал. На примере WUSA я понял, что не всегда защита C:\Windows означает защиту C:\Program Files. Кроме WUSA был еще способ копировать файлы без запроса UAC — интерфейс IFileOperation.
Дальше было несложно. Я написал код, использующий этот метод (вот она, третья автоматическая эскалация), и он отлично отработал. Для надежности я взял чистую виртуальную машину с максимальным количеством установленных обновлений последней версии Windows 10 (RS2, 15063). Это было особенно важно, поскольку RS2 как раз исправлял часть обходов UAC. И вся моя цепочка прекрасно отработала на этой версии. Это и есть третья версия эксплоита, с 3 эскалациями, без каких-либо специальных требований.
Техническое описание
Работоспособность эксплоита тестировалась на Windows 8, Windows 8.1 и Windows 10 (RS2, 15063) — техника работает. С вероятностью в 99% будет работать и в младших версиях, начиная с Windows Vista, но потребуются правки (другое имя и таблица экспорта для dll на 2 и 3 шагах). Настройки UAC должны быть выставлены по-умолчанию, и пользователь, от которого происходит запуск инициирующей программы, должен входить в группу администраторов ПК.
Шаг 1. Программа запускается без запроса предоставления привилегий. IL программы Medium, что позволяет сделать инъекцию кода в процесс explorer.exe (например, через SetWindowsHookEx).
Шаг 2. Код, работающий в контексте explorer.exe, инициирует файловую операцию копирования через IFileOperation. Происходит первая автоматическая эскалация привилегий — explorer.exe считается доверенным процессом, поэтому ему позволяется копировать файлы в Program Files без запроса подтверждения UAC. В любую папку в Program Files копируется системный файл osk.exe, изначально расположенный C:\Windows\system32\osk.exe. Рядом копируется библиотека с полезной нагрузкой под именем osksupport.dll.
Шаг 3. Запускается только что скопированный osk.exe. Поскольку выполняются все требования для предоставления UIAccess, то файл имеет High IL — происходит вторая автоматическая эскалация привилегий (поднят только IL, но прав администратора все еще нет). Сразу после старта срабатывается Dll-инъекция и в контексте данного процесса исполняется код из osksupport.dll. Полезная нагрузка этой библиотеки ожидает старта привилегированного процесса, чтобы провести инъекцию кода в него.
Шаг 4. Запускается любой процесс, который автоматически поднимается в правах до администратора (например, многострадальный eventvwr.exe, это третья эскалация). В него происходит инъекция кода. В данный момент код будет исполняться с привилегиями администратора.
Proof of Concept
PoC состоит из двух частей — dll (написана на c++) и exe (написан на c#). Сначала необходимо собрать dll и подключить эту библиотеку как ресурс для кода приложения. Обязательно обратите внимание на комментарии в коде.
Готовый к эксплуатации бинарный файл не выкладывается осознанно. Не менее осознанно исходные коды не выкладываются на гитхаб.