PCFreak Logo (c) Der PCFreak

Archive for the 'Exploits' Category


ShellShock – some CGI entry points Kommentare deaktiviert für ShellShock – some CGI entry points

Posted Oktober 13, 2014

Just for documentation, here is a list of CGI-Scripts that may allow the execution of bash and so will allow to exploit the ShellShock bug in Bash.

/_mt/mt.cgi
/admin.cgi
/administrator.cgi
/agora.cgi
/aktivate/cgi-bin/catgy.cgi
/analyse.cgi
/apps/web/vs_diag.cgi
/axis-cgi/buffer/command.cgi
/bandwidth/index.cgi
/bigconf.cgi
/cart.cgi
/cartcart.cgi
/ccbill/whereami.cgi
/cgi-bin/status
/cgi-bin-sdb/printenv
/cgi-bin/.cobalt/alert/service.cgi
/cgi-bin/.cobalt/message/message.cgi
/cgi-bin/.cobalt/siteUserMod/siteUserMod.cgi
/cgi-bin/.namazu.cgi
/cgi-bin/14all-1.1.cgi
/cgi-bin/14all.cgi
/cgi-bin/a1disp3.cgi
/cgi-bin/a1stats/a1disp3.cgi
/cgi-bin/a1stats/a1disp4.cgi
/cgi-bin/add_ftp.cgi
/cgi-bin/addbanner.cgi
/cgi-bin/adduser.cgi
/cgi-bin/admin.cgi
/cgi-bin/admin.pl
/cgi-bin/admin/admin.cgi
/cgi-bin/admin/setup.cgi
/cgi-bin/adminhot.cgi
/cgi-bin/adminwww.cgi
/cgi-bin/af.cgi
/cgi-bin/aglimpse.cgi
/cgi-bin/alienform.cgi
/cgi-bin/AnyBoard.cgi
/cgi-bin/architext_query.cgi
/cgi-bin/astrocam.cgi
/cgi-bin/AT-admin.cgi
/cgi-bin/AT-generate.cgi
/cgi-bin/auction/auction.cgi
/cgi-bin/auktion.cgi
/cgi-bin/ax-admin.cgi
/cgi-bin/ax.cgi
/cgi-bin/axs.cgi
/cgi-bin/badmin.cgi
/cgi-bin/banner.cgi
/cgi-bin/bannereditor.cgi
/cgi-bin/bb-ack.sh
/cgi-bin/bb-hist.sh
/cgi-bin/bb-histlog.sh
/cgi-bin/bb-hostsvc.sh
/cgi-bin/bb-rep.sh
/cgi-bin/bb-replog.sh
/cgi-bin/bbs_forum.cgi
/cgi-bin/bigconf.cgi
/cgi-bin/bizdb1-search.cgi
/cgi-bin/blog/mt-check.cgi
/cgi-bin/blog/mt-load.cgi
/cgi-bin/bnbform.cgi
/cgi-bin/book.cgi
/cgi-bin/boozt/admin/index.cgi
/cgi-bin/bsguest.cgi
/cgi-bin/bslist.cgi
/cgi-bin/build.cgi
/cgi-bin/bulk/bulk.cgi
/cgi-bin/c_download.cgi
/cgi-bin/cached_feed.cgi
/cgi-bin/cachemgr.cgi
/cgi-bin/calendar/index.cgi
/cgi-bin/cartmanager.cgi
/cgi-bin/cbmc/forums.cgi
/cgi-bin/ccvsblame.cgi
/cgi-bin/cgforum.cgi
/cgi-bin/cgi_process
/cgi-bin/classified.cgi
/cgi-bin/classifieds.cgi
/cgi-bin/classifieds/classifieds.cgi
/cgi-bin/classifieds/index.cgi
/cgi-bin/commandit.cgi
/cgi-bin/commerce.cgi
/cgi-bin/common/listrec.pl
/cgi-bin/compatible.cgi
/cgi-bin/Count.cgi
/cgi-bin/csChatRBox.cgi
/cgi-bin/csGuestBook.cgi
/cgi-bin/csLiveSupport.cgi
/cgi-bin/CSMailto.cgi
/cgi-bin/CSMailto/CSMailto.cgi
/cgi-bin/csNews.cgi
/cgi-bin/csNewsPro.cgi
/cgi-bin/csPassword.cgi
/cgi-bin/csPassword/csPassword.cgi
/cgi-bin/csSearch.cgi
/cgi-bin/csv_db.cgi
/cgi-bin/cvsblame.cgi
/cgi-bin/cvslog.cgi
/cgi-bin/cvsquery.cgi
/cgi-bin/cvsqueryform.cgi
/cgi-bin/day5datacopier.cgi
/cgi-bin/day5datanotifier.cgi
/cgi-bin/db_manager.cgi
/cgi-bin/dbman/db.cgi
/cgi-bin/dcforum.cgi
/cgi-bin/dfire.cgi
/cgi-bin/diagnose.cgi
/cgi-bin/dig.cgi
/cgi-bin/directorypro.cgi
/cgi-bin/download.cgi
/cgi-bin/emu/html/emumail.cgi
/cgi-bin/emumail.cgi
/cgi-bin/emumail/emumail.cgi
/cgi-bin/enter.cgi
/cgi-bin/environ.cgi
/cgi-bin/ezadmin.cgi
/cgi-bin/ezboard.cgi
/cgi-bin/ezman.cgi
/cgi-bin/ezshopper/loadpage.cgi
  bug[120] = „GET/cgi-bin/ezshopper/search.cgi
/cgi-bin/ezshopper2/loadpage.cgi
/cgi-bin/ezshopper3/loadpage.cgi
/cgi-bin/faqmanager.cgi
/cgi-bin/FileSeek.cgi
/cgi-bin/FileSeek2.cgi
/cgi-bin/finger.cgi
/cgi-bin/flexform.cgi
/cgi-bin/fom.cgi
/cgi-bin/fom/fom.cgi
/cgi-bin/FormHandler.cgi
/cgi-bin/FormMail.cgi
/cgi-bin/gbadmin.cgi
/cgi-bin/gbook/gbook.cgi
/cgi-bin/generate.cgi
/cgi-bin/getdoc.cgi
/cgi-bin/gH.cgi
/cgi-bin/gm-authors.cgi
/cgi-bin/gm-cplog.cgi
/cgi-bin/gm.cgi
/cgi-bin/guestbook.cgi
/cgi-bin/handler
/cgi-bin/handler.cgi
/cgi-bin/handler/netsonar
/cgi-bin/hitview.cgi
/cgi-bin/hsx.cgi
/cgi-bin/html2chtml.cgi
/cgi-bin/html2wml.cgi
/cgi-bin/htsearch.cgi
/cgi-bin/icat
/cgi-bin/if/admin/nph-build.cgi
/cgi-bin/ikonboard/help.cgi
/cgi-bin/imageFolio.cgi
/cgi-bin/ImageFolio/admin/admin.cgi
/cgi-bin/infosrch.cgi
/cgi-bin/jammail.pl
/cgi-bin/journal.cgi
/cgi-bin/lastlines.cgi
/cgi-bin/loadpage.cgi
/cgi-bin/log-reader.cgi
/cgi-bin/login.cgi
/cgi-bin/logit.cgi
/cgi-bin/lookwho.cgi
/cgi-bin/lwgate.cgi
/cgi-bin/MachineInfo
/cgi-bin/magiccard.cgi
/cgi-bin/mail/emumail.cgi
/cgi-bin/mail/nph-mr.cgi
/cgi-bin/maillist.cgi
/cgi-bin/mailnews.cgi
/cgi-bin/main.cgi
/cgi-bin/main_menu.pl
/cgi-bin/man.sh
/cgi-bin/mini_logger.cgi
/cgi-bin/mmstdod.cgi
/cgi-bin/moin.cgi
/cgi-bin/mojo/mojo.cgi
/cgi-bin/mrtg.cgi
/cgi-bin/mt-static/mt-check.cgi
/cgi-bin/mt-static/mt-load.cgi
/cgi-bin/mt/mt-check.cgi
/cgi-bin/mt/mt-load.cgi
/cgi-bin/musicqueue.cgi
/cgi-bin/myguestbook.cgi
/cgi-bin/netauth.cgi
/cgi-bin/netpad.cgi
/cgi-bin/newsdesk.cgi
/cgi-bin/nlog-smb.cgi
/cgi-bin/nph-emumail.cgi
/cgi-bin/nph-exploitscanget.cgi
/cgi-bin/nph-publish.cgi
/cgi-bin/nph-test.cgi
/cgi-bin/pagelog.cgi
/cgi-bin/pbcgi.cgi
/cgi-bin/perlshop.cgi
/cgi-bin/pfdispaly.cgi
/cgi-bin/pfdisplay.cgi
/cgi-bin/phf.cgi
/cgi-bin/photo/manage.cgi
/cgi-bin/photo/protected/manage.cgi
/cgi-bin/php.cgi
/cgi-bin/pollit/Poll_It_SSI_v2.0.cgi
/cgi-bin/pollssi.cgi
/cgi-bin/postcards.cgi
/cgi-bin/powerup/r.cgi
/cgi-bin/printenv
/cgi-bin/probecontrol.cgi
/cgi-bin/profile.cgi
/cgi-bin/publisher/search.cgi
/cgi-bin/quickstore.cgi
/cgi-bin/quizme.cgi
/cgi-bin/r.cgi
/cgi-bin/ratlog.cgi
/cgi-bin/register.cgi
/cgi-bin/replicator/webpage.cgi/
/cgi-bin/responder.cgi
/cgi-bin/robadmin.cgi
/cgi-bin/robpoll.cgi
/cgi-bin/sbcgi/sitebuilder.cgi
/cgi-bin/scoadminreg.cgi
/cgi-bin/search
/cgi-bin/search.cgi
/cgi-bin/search/search.cgi
/cgi-bin/sendform.cgi
/cgi-bin/shop.cgi
/cgi-bin/shopper.cgi
/cgi-bin/shopplus.cgi
/cgi-bin/showcheckins.cgi
/cgi-bin/simplestguest.cgi
/cgi-bin/simplestmail.cgi
/cgi-bin/smartsearch.cgi
/cgi-bin/smartsearch/smartsearch.cgi
/cgi-bin/snorkerz.bat
/cgi-bin/snorkerz.cmd
/cgi-bin/sojourn.cgi
/cgi-bin/spin_client.cgi
/cgi-bin/start.cgi
/cgi-bin/store.cgi
/cgi-bin/store/agora.cgi
/cgi-bin/store/index.cgi
/cgi-bin/survey.cgi
/cgi-bin/talkback.cgi
/cgi-bin/technote/main.cgi
/cgi-bin/test-cgi
/cgi-bin/test.cgi
/cgi-bin/test/test.cgi
/cgi-bin/test2.pl
/cgi-bin/testing_whatever
/cgi-bin/tidfinder.cgi
/cgi-bin/tigvote.cgi
/cgi-bin/title.cgi
/cgi-bin/traffic.cgi
/cgi-bin/troops.cgi
/cgi-bin/ttawebtop.cgi/
/cgi-bin/ultraboard.cgi
/cgi-bin/upload.cgi
/cgi-bin/urlcount.cgi
/cgi-bin/viewcvs.cgi
/cgi-bin/viralator.cgi
/cgi-bin/virgil.cgi
/cgi-bin/vote.cgi
/cgi-bin/vpasswd.cgi
/cgi-bin/way-board.cgi
/cgi-bin/way-board/way-board.cgi
/cgi-bin/webbbs.cgi
/cgi-bin/webcart/webcart.cgi
/cgi-bin/webdist.cgi
/cgi-bin/webif.cgi
/cgi-bin/webmail/html/emumail.cgi
/cgi-bin/webmap.cgi
/cgi-bin/webspirs.cgi
/cgi-bin/whois.cgi
/cgi-bin/whois/whois.cgi
/cgi-bin/whois_raw.cgi
/cgi-bin/wrap
/cgi-bin/wrap.cgi
/cgi-bin/wwwboard.cgi.cgi
/cgi-bin/YaBB/YaBB.cgi
/cgi-bin/zml.cgi
/cgi-sys/addalink.cgi
/cgi-sys/defaultwebpage.cgi
/cgi-sys/domainredirect.cgi
/cgi-sys/entropybanner.cgi
/cgi-sys/entropysearch.cgi
/cgi-sys/FormMail-clone.cgi
/cgi-sys/helpdesk.cgi
/cgi-sys/mchat.cgi
/cgi-sys/randhtml.cgi
/cgi-sys/realhelpdesk.cgi
/cgi-sys/realsignup.cgi
/cgi-sys/signup.cgi
/cgis/wwwboard/wwwboard.cgi
/connector.cgi
/cp/rac/nsManager.cgi
/create_release.sh
/CSNews.cgi
/csPassword.cgi
/dcadmin.cgi
/dcboard.cgi
/dcforum.cgi
/dcforum/dcforum.cgi
/debug.cgi
/details.cgi
/edittag/edittag.cgi
/emumail.cgi
/enter_bug.cgi
/ez2000/ezadmin.cgi
/ez2000/ezboard.cgi
/ez2000/ezman.cgi
/fcgi-bin/echo
/fcgi-bin/echo2
/Gozila.cgi
/hitmatic/analyse.cgi
/html/cgi-bin/cgicso
/index.cgi
/info.cgi
/infosrch.cgi
/login.cgi
/mailview.cgi
/main.cgi
/megabook/admin.cgi
/ministats/admin.cgi
/mods/apage/apage.cgi
/musicqueue.cgi
/ncbook.cgi
/newpro.cgi
/newsletter.sh
/oem_webstage/cgi-bin/oemapp_cgi
/page.cgi
/parse_xml.cgi
/photo/manage.cgi
/photodata/manage.cgi
/print.cgi
/process_bug.cgi
/pub/english.cgi
/quikmail/nph-emumail.cgi
/quikstore.cgi
/reviews/newpro.cgi
/ROADS/cgi-bin/search.pl
/sample01.cgi
/sample02.cgi
/sample03.cgi
/sample04.cgi
/sampleposteddata.cgi
/scancfg.cgi
/servers/link.cgi
/setpasswd.cgi
/SetSecurity.shm
/shop/member_html.cgi
/shop/normal_html.cgi
/site_searcher.cgi
/siteUserMod.cgi
/submit.cgi
/technote/print.cgi
/template.cgi
/test.cgi
/upload.cgi
/userreg.cgi
/users/scripts/submit.cgi
/Web_Store/web_store.cgi
/webtools/bonsai/ccvsblame.cgi
/webtools/bonsai/cvsblame.cgi
/webtools/bonsai/cvslog.cgi
/webtools/bonsai/cvsquery.cgi
/webtools/bonsai/cvsqueryform.cgi
/webtools/bonsai/showcheckins.cgi
/wwwadmin.cgi
/wwwboard.cgi
/cgi-sys/entropysearch.cgi
/cgi-sys/FormMail-clone.cgi
/wwwboard/wwwsboard.cgi

Windows 7 SP1 Lokaler Zugriff als Systembenutzer Kommentare deaktiviert für Windows 7 SP1 Lokaler Zugriff als Systembenutzer

Posted Juli 1, 2013

Für den Exploit benötigen wir:

  1. Windows 7 SP1
  2. Arbeitsstation mit BIOS, welches Boot von CD verbietet
  3. Arbeitssation, die in einem Active-Directory ist.

Man muss den Rechner dazubringen „abnormal“ herunterzufahren, indem man entweder während des Bootvorgangs Ctrl+Alt+Entf drückt oder ihn einfach durch langes Drücken auf den Power Button ausschaltet.

Beim nächsten Reboot bootet Windows automatisch in die Fehlerdiagnose (das kann natürlich auch durch entsprechendes Drücken von F8 beim Booten eingeleitet werden). Im folgenden Dialog werden wir gefragt, ob wir eine „Startreparatur“ durchführen wollen oder „Windows normal starten“ wollen.

Wir wählen „Startreparatur“.

Nun bootet ein Notfallsystem und wir erreichen die „Startreparatur“. Möglicherweise werden wir gefragt, ob wir den Computer auf einen früheren Zeitpunkt wiederherstellen wollen – wir verneinen, falls wir gefragt werden.

Kurz darauf erscheint eine Frage, ob wir die „Informationen zum Problem an Microsoft schicken (empfohlen)“ oder die „Informationen nicht senden“ wollen.

Ganz unten ist ein Link sichtbar, mit dem wir die Problemdetails anzeigen können. Dieser Link zeigt auf

X:\windows\system32\en-US\erofflps.txt

Wenn wir den Link klicken, wird notepad.exe geöffnet, welches im Moment als „NT Authority/System“ läuft. Über den Dialog „Datei öffnen“ können wir nun mit Systemrechten jedes beliebige Programm starten!

Obige Vorgehensweise macht es extrem leicht, sich in Kiosk Rechner von Internet-Cafe’s usw. einzuhacken. Die Grenze ist Eure Fantasie!

Mehr dazu unter: http://packetstormsecurity.com/files/122214/win7.ownage.from.recovery.txt

Ein digitales Leben in einer Minute zerstört Kommentare deaktiviert für Ein digitales Leben in einer Minute zerstört

Posted August 13, 2012

Freitag, 03. August 2012
2 Hacker wurden auf ein sehr interessantes Twitter-Handle (@mat) aufmerksam und dachten sich: „3 Buchstaben, wie nett, den Account möchte wir haben“.
Sie fanden heraus, dass der Twitter-Account zu mhonan@gmail.com gehört. Ihr Hauptziel war also, diese E-Mail-Adresse zu kapern um dann den Twitter Account übernehmen zu können.

Also die ganze Motivation für den nun beschriebenen Hack war nur die Kontrolle über diesen sehr kurzen (3 Buchstaben) Twitter Account zu erlangen.

17.00 Uhr
Am Freitag, den 03. August spielt Mat Honan mit seiner Tochter, als plötzlich sein iPhone herunterfährt. Er steckt das Telefon ans Ladegerät, es bootet neu und ist auf Werkszustand. Mat vermutet ein Softwareproblem und möchte das Telefon per iCloud restoren. Seine Apple-ID wird nicht akzeptiert.

… einige Stunden vorher …
Hacker googlen nach „Mat Honan“ und finden das, was sie suchen per WHOIS.

person: Mathew Honan
email: mhonan@gmail.com
address: 1559B Sloat Blvd
address: #308
city: San Francisco
state: CA
postal-code: 94132
country: US
phone: +1.4158940373

GOOGLE 1
Die Hacker versuchen ein Password-Reset bei Google. Dort sehen sie, dass die hinterlegte 2. E-Mail-Adresse wie folgt lautet:

m••••n@me.com

Es lässt sich sehr leicht nachvollziehen, dass die Adresse vermutlich

mhonan@me.com

ist. Um also den Twitter-Account zu übernehmen müssen die Hacker den Gmail Account übernehmen. Um den Gmail-Account zu übernehmen müssen sie den Account bei Apple (@me.com) übernehmen.

KEINE UNLÖSBARE AUFGABE, WIE WIR GLEICH ERFAHREN WERDEN.

AMAZON 1
Die Hacker generieren sich eine Kreditkartennummer, die einer Syntax-Prüfung standhält und rufen bei Amazon an. Sie geben sich als Mathew Honan aus und fügen die Kreditkartennummer zum Account hinzu.
Um sich zu legitimieren benötigen sie lediglich die korrekte Rechnungsadresse:

Mathew Honan
1559B Sloat Blvd
94132 San Francisco CA

Danach legten sie auf.

AMAZON 2
1 Minute später rufen die Hacker erneut bei Amazon an, diesmal ist natürlich ein anderer Mitarbeiter dran. Diesem Mitarbeiter erzählt der Hacker (der sich wieder als Mathew Honan ausgibt), dass er das Passwort für die hinterlegte E-Mail-Adresse nicht mehr wisse und sein Amazon-Passwort vergessen hat.

Das Problem ist einfach zu lösen, indem ein anderer E-Mail-Account zum Amazon-Konto hinzugefügt wird. Zur Legitimation verlangt Amazon lediglich die Rechnungsadresse und die letzten 4 Stellen einer der hinterlegten Kreditkarten.

Da die Hacker zu diesem Zeitpunkt sowohl die Rechnungsadresse kennen und die letzten 4 Stellen der vorher selbst hinterlegten Kreditkarte, ist es kein Problem jetzt auch noch einen E-Mail-Account zu hinterlegen, der den Hackern gehört. Nachdem sie nun Zugriff auf den Amazon Account haben, sehen sie auch die letzten 4 Ziffern der tatsächliche Kreditkartennummer von Mathew Honan. Diese werden sie noch brauchen (bei Apple.)

APPLE 1 16:33 Uhr
Die Hacker rufen bei der Applecare Hotline an und geben sich als Mathew Honan aus. Sie kennen weder irgendeine hinterlegte Sicherheitsfrage, noch die dazugehörigen Antworten. Die letzte Möglichkeit an ein temporäres Passwort zu kommen ist, die korrekte Anschrift und die letzten 4 Stellen der Kreditkarte (vorher bei Amazon ausgelesen) anzugeben. Voila! – Diese Information haben die Hacker und sie erhalten Zugriff auf mhonan@me.com. Natürlich wird sofort ein neues Passwort gesetzt.

16:50 Uhr DIE HACKER KONTROLLIEREN NUN DIE APPLE-ID VON MATHEW HONAN!

GOOGLE 2 16:50 Uhr
Da die Hacker nun mhonan@me.com kontrollieren, fordern sie bei GMAIL nun erneut einen Passwort-Reset per Webseite an. Der Link zum Rücksetzen des Passworts wird an mhonan@me.com verschickt und die Hacker übernehmen das GMAIL-Konto.

16:52 Uhr DIE HACKER KONTROLLIEREN NUN MHONAN@GMAIL.COM.

APPLE 2 17:00 Uhr
Die Hacker loggen sich in den iCloud Account mhonan@me.com ein und benutzen „Finde mein iPhone“ um Mathews iPhone remote zu löschen. Um 17:01 Uhr löschen sie Mathews iPad.

TWITTER 1 17:02 Uhr
Die Hacker übernehmen den Twitter Account von Mathew und ändern sein Passwort.

APPLE 3 17:05 Uhr
Um 17:05 Uhr löschen sie Mathews MacBook – Danke iCloud!

MATHEW IST NUN OFFLINE!

GOOGLE 3 17:06
Die Hacker löschen Mathews Google Account. (mhonan@gmail.com)

TWITTER 2 17:12 Uhr
Die Hacker posten eine Nachricht mit Mathews Account bei Twitter

Clan Vv3 and Phobia hacked this twitter

Das ist nur die Kurzzusammenfassung. Ich empfehle auch die lange Version hier zu lesen oder in gut aufbereiteter Form bei Steve Gibson.

Obige Methoden wurden von mehreren Reportern verifiziert und haben auch bei ihnen funktioniert. Amazon hat mittlerweile bestätigt, dass das Hinzufügen von Kreditkarten so einfach nicht mehr funktionieren wird und hat seine Sicherheitsrichtlinien geändert. Apple hat zumindest temporär reagiert, hier habe ich noch keine detailierteren Informationen.

Überlegen sie selbst, wie „verzahnt“ ihre Accounts sind und ob es wirklich notwendig ist, alle Informationen über sich im Internet verfügbar zu machen.

Links: How Apple and Amazon Security Flaws Led to My Epic Hacking

Most sophisticated utilman exploit for Teensy and other HID emulators 2

Posted Februar 8, 2012

These days it is very cheap and easy to to build your own „evil“ USB-dongle that emulates a USB HID (Human Interface Device) and sends keystrokes. You could use the very easy to program „USB Rubber Ducky“ or the cheaper „Teensy USB Development Board„. So you now have a very nice „Phantom Keystroker“ that you can use for pen testing.

You could find many payloads for the „Ducky“ and also for the „Teensy“ on the internet. For me, the most interesting payload was the „Utilman exploit“ for Windows 7, but I was not comfortable with the way it worked.

  • take ownership fo utilman.exe
  • change permissons of utilman.exe
  • replace utilman.exe with something else (cmd.exe)

A sample payload, that does exactly this can be found here: Utilman Exploiter by Xcellerator for the „Ducky“

This is a huge change to the operating system and you leave your marks on the target system. So how could we do the same without going to deep into the target system? ….. I remembered a registry key that could exactly do that!!!

If you want to run CMD.EXE everytime the system tries to execute UTILMAN.EXE just add the following registry key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Utilman.exe
REG_SZ: Debugger VALUE: cmd.exe

Now every try to execute UTILMAN.EXE will result in opening CMD.EXE instead. It even works if you type UTILMAN (without the extension).

Based on this knowledge, it is now very easy to write a payload for our „Phantom Keystroker“, that:

  • Press WIN key
  • Enter „cmd.exe“
  • Press „APP“ key
  • press „a“ (will do Run as Administrator)
  • press „LEFT“ (brings cursor on YES on UAC prompt)
  • press „ENTER“ (to open the administrative CMD.EXE)
  • enter a command that sets the registry key
  • enter EXIT to close the command prompt

This was very easy to accomplish by using the Teensy 2.0.

Here you can download the working exploit for Teensy 2.0 here: Most_Sophisticated_Utilman_Exploit.zip

 

Here a post in the hak5-Forum with a working exploit for the USB Ruberducky.

The following video will show you how to run CMD.EXE instead of UTILMAN.EXE just by adding a registry key!

Video of a possible attack.

Links
Inside ‚Image File Execution Options‘ debugging
Launching the debugger automatically