sdclt 是微软提供的命令行磁盘备份工具,当我们执行 sdclt 命令时,会打开备份还原的控制面板,如图
而sdclt 是从注册表读取到了 control.exe(控制面板的路径) 的路径,
那么如果我们通过把注册表中的control.exe改成我们的cmd的话,打开的cmd执行的命令是可以绕过uac的, 首先正常执行添加用户是拒绝的,如图
通过更改注册表,命令为 reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe" /t REG_SZ /d %COMSPEC% /f 把 sdclt本来刚打开的control.exe改成了我们的cmd 看下注册表变化,本来是没有control.exe这个注册表的
添加成功后
现在我们再次执行 sdclt命令,就打开了cmd,添加用户后,发现已经可以添加用户了,不再是拒绝访问了,如图
如果我们配合msf的话 本身我们有个meterpreter,正常情况下无法bypassuac的,如图
添加用户也不可以
但是我们通过更改注册表,把我们的payload替换control.exe的话,就可以绕过uac了
参考:http://www.freebuf.com/sectool/129579.html