Muy buenas,

llevo mucho tiempo sumergiendome en el mundo de la escalación de privilegios. He publicado hace tiempo por el foro varias formas caseras de escalación de privilegios sin embargo hoy vengo a preguntar una cuestión en concreto.

Muchos habreis llegado a la conclusion de que para esquivar (bypass) UAC es necesario tocar el registro (HKLM), crear tareas que ejecuten nuestro software bajo SYSTEM o admin o bien tirar de ingeniería social (para que el user ejecute el software en modo admin.. propiedad asInvoker en los manifest).

Todos sabemos que el Administrador de tareas permite mostrar todos los procesos del sistema, por lo que necesita de los máximos privilegios del usuario en cuestión.

La pregunta es la siguiente: ¿Qué ocurre cuando pulsamos dicho botón?

Este proceso no alerta al usuario de que la aplicación necesita de privilegios. ¿Cómo lo hace?

Un saludo!

Utiliza un objeto COM.
Fijate en este código:
http://sinowal.com/UAC.cpp
Una vez que ya sepas cómo funciona puedes reducir los requerimientos necesarios.

Muchas gracias a los dos por contestar y por aportar este material tan valioso, os lo agradezco.

Hace tiempo que llevo experimentando en VMs el como ganar privilegios de forma casera, es decir, utilizando las propias herramientas del OS. Encontré varias cosillas que me permitían lidiar con toda la seguridad el sistema, eran indirectas, dependían del usuario, pero al final lograba mi cometido (SYSTEM).

Esto sinceramente es la bomba, sin problemas el código se entiende de maravilla. Lo más apropiado seria DLL Hijacking alterando el árbol de búsqueda de dependencias o bien reemplazando la DLL, como comentas Karcrack, así nos aseguramos de que siempre se ejecuta nuestro código aunque existen varias contramedidas fáciles de implementar contra este tipo de situaciones.

Supongo que inyectarias código en un proceso que se auto eleve para sobreescribir la DLL de OTRO proceso  no iniciado en este instante (ya que las DLL del servicio actual estarían en uso). Y acto seguido iniciarias el servicio en el cual sustituiste la dependencia. ¿Qué tal lo ves?

Se me ocurre otra: ¿Podría reiniciar el proceso  y dormir sus subprocesos/hilos en el arranque? ¿De esa forma podrías sobreescribir la DLL?

Sólo falta decir que con schtask te elevas a SYSTEM teniendo privilegios de Admin, por lo que alguno se iria al kernel land  

Gracias amigos por vuestra ayuda,

Saludos!