如何利用sdclt磁盘备份工具绕过UAC
2023-09-27 14:21:20 时间
sdclt 是微软提供的命令行磁盘备份工具,从 Vista 时代引入
在 Windows 10 开始,sdclt 加入了自动提升权限的能力,requestedExecutionLevel 由 asInvoker 变为 requireAdministrator
(命令 sigcheck -m %systemroot%\system32\sdclt.exe 的结果)
当不带任何参数启动 sdclt 时,sdclt 会打开控制面板
控制面板的主程序为 control.exe,那么 sdclt 是如何找到 control.exe 完整路径的呢?
通过 process monitor 的分析 (过滤掉不相干进程,再用 CTRL + F 搜索 control.exe),sdclt 似乎是从注册表读取到了 control.exe 的路径,
按照这个原理,我们写一个简单的 PoC 测试下
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe" /t REG_SZ /d %COMSPEC% /f sdclt
在 cmd 中执行一下试试
可以看到,控制面板没有启动,而是弹出了一个 cmd,我们也获得了管理员权限
当然,提升权限后还要清理下痕迹,具体代码请看完整PoC,点这里下载
写在最后
其实可以把 HKCU 整个导出来看一下,目前我还没有发现其它类似的案例,有兴趣的同学可以研究下~
作者:c0debreak
来源:51CTO
渗透技巧——Windows日志的删除与绕过 本文讲的是渗透技巧——Windows日志的删除与绕过,在渗透测试过程中,Windows日志往往会记录系统上的敏感操作,如添加用户,远程登录执行等。
如何利用msxsl绕过AppLocker? 本文讲的是如何利用msxsl绕过AppLocker?,Casey Smith@subTee在twitter分享的一个技巧,使用包含微软签名的msxsl.exe能够执行JScript代码,从而实现对Applocker的绕过。
云栖大讲堂 擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
相关文章
- Linux和类Unix系统上5个最佳开源备份工具
- (7) MySQL数据库备份详解
- mongodb的物理备份、热备工具percona-backup-mongodb使用 pbm
- Oracle:通过linux的【strings】工具直接获取、查看所备份的 oracle11g 控制文件的信息:db_name、compatible 等 ...
- mysqlpump:更加合理的mysql数据库逻辑备份工具
- 5款免费的WordPress备份解决方案
- Linux之备份(tar)/解压与压缩(gzip,bzip2,xz)【待完善】
- MySQL备份工具之mysqldump使用
- 【RAC】将RAC备份集恢复为单实例数据库
- mongodb 备份、还原、导入、导出
- C#中通过Selenium IWebDriver实现人人网相册备份工具
- 备份恢复14——备份恢复的相关工具
- 备份恢复8——管理恢复目录
- postgresql物理备份工具及lightdb支持情况
- postgresql逻辑备份工具pg_dump和pg_resotre学习
- linux定时备份mysql并同步到其它服务器
- 同步备份工具之 rsync