.NET 内网实战：通过 slui.exe 绕过 UAC 实现提权

阅读须知

此文所节选自小报童《.NET 内网实战攻防》专栏，主要内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧，对内网和后渗透感兴趣的朋友们可以订阅该电子报刊，解锁更多的报刊内容。

基本介绍

本文内容部分节选自小报童《.NET 通过 slui.exe 绕过 UAC 实现提权》，完整的文章内容请加入小报童后订阅查看。现在限时只需59元，永久买断！目前已有300+位朋友抢先预定，我们会长期更新，对.NET内网安全的朋友们请尽快订阅该报刊！

原理分析

Windows UAC 用于防止未经授权的程序获取管理员权限。一般情况下，标准用户运行需要管理员权限的程序时，系统会弹出 UAC 提示，要求用户手动确认。绕过 UAC 的方式有很多，其中利用 HKCUSoftwareClasses 目录下的注册表劫持是一种常见的方法。

3.1 slui.exe

slui.exe 全称 Software Licensing User Interface，是 Windows 软件许可界面，用于激活 Windows 操作系统。该程序位于 C:WindowsSystem32slui.exe，是 Windows 正版验证和产品密钥管理的重要组件。

slui.exe 4

这将打开 Windows 电话激活界面，提供对应的电话支持信息，如下图所示。

3.2 注册表关联文件

注册表项 SoftwareClassesexefileShellOpencommand 主要用于定义 Windows 运行 .exe 可执行文件时的默认命令，默认情况下该项的值为

"%1"%*

此处的 "%1" 代表用户双击的 .exe 文件的完整路径。 %* 代表传递给该 .exe 文件的所有命令行参数。

3.3编码实现

在某些 Windows 版本中，slui.exe 运行时可能在高权限环境下执行注册表中的 exefileShellOpencommand，从而导致代码执行，具体的代码如下所示。

RegistryKey registryKey = Registry.CurrentUser.OpenSubKey("Software\Classes\",true);registryKey.CreateSubKey("exefile\Shell\Open\command");

上述代码中， Registry.CurrentUser 表示操作的是当前用户下的注册表，而不是计算机上的全局注册表。当前用户注册表路径是：HKEY_CURRENT_USER。再通过 OpenSubKey 打开已经存在的注册表项，并设置参数为 true，表示我们需要对注册表项进行读写操作。

在 PowerShell 或 CMD 窗口中运行 "cmd.exe" 命令，即可绕过 UAC 并创建高权限新的 cmd.exe，如下图所示。

综上，通过修改注册表项 exefileShellOpencommand 来执行指定命令，并利用slui.exe 触发 UAC 提升，从而绕过系统权限控制执行恶意操作。想要了解完整或者更多的内网安全方向的文章，可以移步订阅小报童《.NET 内网实战攻防》电子报刊。

欢迎加入.NET 电子报刊

我们的小报童电子报刊【.NET内网安全攻防】也开始运营，引入小报童也是为了弥补知识星球对于轻量级阅读支持的不足，为用户读者提供更佳的阅读体验。如果您对阅读体验的需求比较高，那么可以订阅这个专栏。

本次电子报刊《.NET 内网安全攻防》专栏，内容主要有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧，可细分为以下8个方向。

1） .NET 安全防御绕过2） .NET 本地权限提升3） .NET 内网信息收集4） .NET 内网代理通道5） .NET 内网横向移动6） .NET 目标权限维持7） .NET 数据传输外发8） .NET 目标痕迹清理

原价899，现在限时只需59元，永久买断！目前已有280+位朋友抢先预定，我们会长期更新，初步计划保持每周更新1-2篇新内容，对.NET内网安全的朋友们请尽快订阅该报刊！

每增加五十人涨价10元，抓紧订阅，超值！订阅后请关注公众号：dotNet安全矩阵，发送订单截图和您的微信号，邀请您加入专属交流群。感兴趣的朋友，可以点击链接：https://xiaobot.net/p/dotNetAttack，或者扫描下方海报微信二维码加入即可，订阅后小报童定时会将最新内容通过微信推送给您。