如何利用sdclt磁碟備份工具繞過UAC
*本文原創作者:c0debreak,屬Freebuf原創獎勵計劃,未經許可禁止轉載
簡介
sdclt 是微軟提供的命令行磁碟備份工具,從 Vista 時代引入
在 Windows 10 開始,sdclt 加入了自動提升許可權的能力,requestedExecutionLevel 由 asInvoker 變為 requireAdministrator
(命令
sigcheck -m %systemroot%system32sdclt.exe
的結果)當不帶任何參數啟動 sdclt 時,sdclt 會打開控制面板
控制面板的主程序為 control.exe,那麼 sdclt 是如何找到 control.exe 完整路徑的呢?
通過 process monitor 的分析 (過濾掉不相干進程,再用 CTRL + F 搜索 control.exe),sdclt 似乎是從註冊表讀取到了 control.exe 的路徑,
按照這個原理,我們寫一個簡單的 PoC 測試下
reg add "HKCUSoftwareMicrosoftWindowsCurrentVersionApp Pathscontrol.exe" /t REG_SZ /d %COMSPEC% /f
sdclt
在 cmd 中執行一下試試
可以看到,控制面板沒有啟動,而是彈出了一個 cmd,我們也獲得了管理員許可權
當然,提升許可權後還要清理下痕迹,具體代碼請看完整PoC,點閱讀原文下載
寫在最後
其實可以把 HKCU 整個導出來看一下,目前我還沒有發現其它類似的案例,有興趣的同學可以研究下~最後發個廣告,點閱讀原文驚喜哦
*本文原創作者:c0debreak,屬Freebuf原創獎勵計劃,未經許可禁止轉載
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※蘋果公司遭遇黑客組織勒索:不付贖金就曝光或抹除3億iCloud賬戶信息
※PHP網站滲透中的奇技淫巧:檢查相等時的漏洞
※乾貨梳理 | Vault7文檔曝光的那些CIA網路武器
※JSShell:一個基於python的互動式Shell
TAG:FreeBuf |
※High Sierra 磁碟工具直接顯示加密 APFS 密碼!
※案例:Oracle報錯ASM磁碟組不存在或沒有mount
※Windows突然封殺FAT/FAT32磁碟:強推NTFS惹眾怒
※di:比 df 更有用的磁碟信息工具
※Lacie推2big Dock Thunderbolt 3磁碟矩陣,最高有20TB可選
※Hadoop集群datanode磁碟擴容小記
※鋒友分享:隱藏桌面Time Machine磁碟圖標
※LaCie發布2big Dock磁碟陣列,是你的菜么
※Illustrator製作矢量風格的磁碟播放器
※Win10移除部分SKU創建ReFS磁碟功能:只配企業版用
※微軟Win10徹底封殺exFAT/FAT32磁碟,格式化只剩NTFS/REFS
※Windows突然封殺老式FAT32磁碟 回應:忘說了
※OneNote突然封殺老式FAT32磁碟?微軟回應:忘說了
※macOS 10.13 又玩出了個新BUG 磁碟工具泄露加密密碼
※如何在Linux中添加一塊大於2TB的新磁碟?
※MAIWO K8F磁碟陣列 視頻非編工作者存儲新利器
※直擊Redis持久化磁碟IO痛點,讓存儲不再有負擔!
※查看硬碟的磁碟分區形式是GPT還是MBR的方法
※蘋果為macOS系統磁碟加密問題推出更新