我是如何绕过UAC的小计

sdclt 是微软提供的命令行磁盘备份工具，当我们执行 sdclt 命令时，会打开备份还原的控制面板，如图

而sdclt 是从注册表读取到了 control.exe（控制面板的路径） 的路径，

那么如果我们通过把注册表中的control.exe改成我们的cmd的话，打开的cmd执行的命令是可以绕过uac的， 首先正常执行添加用户是拒绝的，如图

通过更改注册表，命令为 reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe" /t REG_SZ /d %COMSPEC% /f 把 sdclt本来刚打开的control.exe改成了我们的cmd 看下注册表变化，本来是没有control.exe这个注册表的

添加成功后

现在我们再次执行 sdclt命令，就打开了cmd，添加用户后，发现已经可以添加用户了，不再是拒绝访问了，如图

如果我们配合msf的话 本身我们有个meterpreter，正常情况下无法bypassuac的，如图

添加用户也不可以

但是我们通过更改注册表，把我们的payload替换control.exe的话，就可以绕过uac了

参考：http://www.freebuf.com/sectool/129579.html