hfiref0x/UACME

[](https://ci.appveyor.com/project/hfiref0x/uacme)  # UACMe 通过滥用 Windows 内置的 AutoElevate 后门来绕过 Windows 用户帐户控制 (UAC)。本项目演示了多种 UAC 绕过技术，并作为理解 Windows 安全机制的教育资源。 # 系统要求 * **操作系统**: Windows 7/8/8.1/10/11 (x86-32/x64, 客户端版本，部分方法也适用于服务器版本) * **用户帐户**: 管理员帐户，且 UAC 设置为默认设置 ## 用法 使用以下语法从命令行运行可执行文件： ``` akagi32.exe [Method_Number] [Optional_Command] ``` 或 ``` akagi64.exe [Method_Number] [Optional_Command] ``` ### 参数： * **Method_Number**: 对应 UAC 绕过方法的编号（参见下面的方法列表） * **Optional_Command**: 要以提升的权限运行的可执行文件的完整路径 * 如果省略，程序将启动提升的命令提示符 (%systemroot%\system32\cmd.exe) ### 示例： ``` akagi32.exe 23 akagi64.exe 61 akagi32.exe 23 c:\windows\system32\calc.exe akagi64.exe 61 c:\windows\system32\charmap.exe ```

密钥（点击展开/折叠）

1. 作者: Leo Davidson * 类型: Dll 劫持 * 方法: IFileOperation * 目标: \system32\sysprep\sysprep.exe * 组件: cryptbase.dll * 实现: ucmStandardAutoElevation * 适用版本: Windows 7 (7600) * 修复版本: Windows 8.1 (9600) * 原理: sysprep.exe 加强了 LoadFrom 清单元素 * 代码状态: 从 v3.5.0 起移除 :tractor: 2. 作者: Leo Davidson 衍生版 * 类型: Dll 劫持 * 方法: IFileOperation * 目标: \system32\sysprep\sysprep.exe * 组件: ShCore.dll * 实现: ucmStandardAutoElevation * 适用版本: Windows 8.1 (9600) * 修复版本: Windows 10 TP (> 9600) * 原理: ShCore.dll 移至 \KnownDlls 的副作用 * 代码状态: 从 v3.5.0 起移除 :tractor: 3. 作者: Leo Davidson 衍生版 by WinNT/Pitou * 类型: Dll 劫持 * 方法: IFileOperation * 目标: \system32\oobe\setupsqm.exe * 组件: WdsCore.dll * 实现: ucmStandardAutoElevation * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 TH2 (10558) * 原理: OOBE 重新设计的副作用 * 代码状态: 从 v3.5.0 起移除 :tractor: 4. 作者: Jon Ericson, WinNT/Gootkit, mzH * 类型: AppCompat * 方法: RedirectEXE Shim * 目标: \system32\cliconfg.exe * 组件: - * 实现: ucmShimRedirectEXE * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 TP (> 9600) * 原理: Sdbinst.exe 自动提升被移除，其余 Windows 版本通过 KB3045645/KB3048097 修复 * 代码状态: 从 v3.5.0 起移除 :tractor: 5. 作者: WinNT/Simda * 类型: 提权的 COM 接口 * 方法: ISecurityEditor * 目标: HKLM 注册表项 * 组件: - * 实现: ucmSimdaTurnOffUac * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 TH1 (10147) * 原理: ISecurityEditor 接口方法已更改 * 代码状态: 从 v3.5.0 起移除 :tractor: 6. 作者: Win32/Carberp * 类型: Dll 劫持 * 方法: WUSA * 目标: \ehome\mcx2prov.exe, \system32\migwiz\migwiz.exe * 组件: WdsCore.dll, CryptBase.dll, CryptSP.dll * 实现: ucmWusaMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 TH1 (10147) * 原理: WUSA /extract 选项被移除 * 代码状态: 从 v3.5.0 起移除 :tractor: 7. 作者: Win32/Carberp 衍生版 * 类型: Dll 劫持 * 方法: WUSA * 目标: \system32\cliconfg.exe * 组件: ntwdblib.dll * 实现: ucmWusaMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 TH1 (10147) * 原理: WUSA /extract 选项被移除 * 代码状态: 从 v3.5.0 起移除 :tractor: 8. 作者: Leo Davidson 衍生版 by Win32/Tilon * 类型: Dll 劫持 * 方法: IFileOperation * 目标: \system32\sysprep\sysprep.exe * 组件: Actionqueue.dll * 实现: ucmStandardAutoElevation * 适用版本: Windows 7 (7600) * 修复版本: Windows 8.1 (9600) * 原理: sysprep.exe 加强了 LoadFrom 清单 * 代码状态: 从 v3.5.0 起移除 :tractor: 9. 作者: Leo Davidson, WinNT/Simda, Win32/Carberp 衍生版 * 类型: Dll 劫持 * 方法: IFileOperation, ISecurityEditor, WUSA * 目标: IFEO 注册表项, \system32\cliconfg.exe * 组件: 攻击者定义的 Application Verifier Dll * 实现: ucmAvrfMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 TH1 (10147) * 原理: WUSA /extract 选项被移除，ISecurityEditor 接口方法已更改 * 代码状态: 从 v3.5.0 起移除 :tractor: 10. 作者: WinNT/Pitou, Win32/Carberp 衍生版 * 类型: Dll 劫持 * 方法: IFileOperation, WUSA * 目标: \system32\\{New}or{Existing}\\{autoelevated}.exe, 例如 winsat.exe * 组件: 攻击者定义的 dll, 例如 PowProf.dll, DevObj.dll * 实现: ucmWinSATMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 TH2 (10548) * 原理: AppInfo 提权应用程序路径控制加强 * 代码状态: 从 v3.5.0 起移除 :tractor: 11. 作者: Jon Ericson, WinNT/Gootkit, mzH * 类型: AppCompat * 方法: Shim 内存补丁 * 目标: \system32\iscsicli.exe * 组件: 攻击者准备好的 shellcode * 实现: ucmShimPatch * 适用版本: Windows 7 (7600) * 修复版本: Windows 8.1 (9600) * 原理: Sdbinst.exe 自动提升被移除，其余 Windows 版本通过 KB3045645/KB3048097 修复 * 代码状态: 从 v3.5.0 起移除 :tractor: 12. 作者: Leo Davidson 衍生版 * 类型: Dll 劫持 * 方法: IFileOperation * 目标: \system32\sysprep\sysprep.exe * 组件: dbgcore.dll * 实现: ucmStandardAutoElevation * 适用版本: Windows 10 TH1 (10240) * 修复版本: Windows 10 TH2 (10565) * 原理: sysprep.exe 清单已更新 * 代码状态: 从 v3.5.0 起移除 :tractor: 13. 作者: Leo Davidson 衍生版 * 类型: Dll 劫持 * 方法: IFileOperation * 目标: \system32\mmc.exe EventVwr.msc * 组件: elsext.dll * 实现: ucmMMCMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 RS1 (14316) * 原理: 缺失的依赖项已移除 * 代码状态: 从 v3.5.0 起移除 :tractor: 14. 作者: Leo Davidson, WinNT/Sirefef 衍生版 * 类型: Dll 劫持 * 方法: IFileOperation * 目标: \system\credwiz.exe, \system32\wbem\oobe.exe * 组件: netutils.dll * 实现: ucmSirefefMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 TH2 (10548) * 原理: AppInfo 提权应用程序路径控制加强 * 代码状态: 从 v3.5.0 起移除 :tractor: 15. 作者: Leo Davidson, Win32/Addrop, Metasploit 衍生版 * 类型: Dll 劫持 * 方法: IFileOperation * 目标: \system32\cliconfg.exe * 组件: ntwdblib.dll * 实现: ucmGenericAutoelevation * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 RS1 (14316) * 原理: Cliconfg.exe 自动提升被移除 * 代码状态: 从 v3.5.0 起移除 :tractor: 16. 作者: Leo Davidson 衍生版 * 类型: Dll 劫持 * 方法: IFileOperation * 目标: \system32\GWX\GWXUXWorker.exe, \system32\inetsrv\inetmgr.exe * 组件: SLC.dll * 实现: ucmGWX * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 RS1 (14316) * 原理: AppInfo 提权应用程序路径控制和 inetmgr 可执行文件加强 * 代码状态: 从 v3.5.0 起移除 :tractor: 17. 作者: Leo Davidson 衍生版 * 类型: Dll 劫持 (导入转发) * 方法: IFileOperation * 目标: \system32\sysprep\sysprep.exe * 组件: unbcl.dll * 实现: ucmStandardAutoElevation2 * 适用版本: Windows 8.1 (9600) * 修复版本: Windows 10 RS1 (14371) * 原理: sysprep.exe 清单已更新 * 代码状态: 从 v3.5.0 起移除 :tractor: 18. 作者: Leo Davidson 衍生版 * 类型: Dll 劫持 (清单) * 方法: IFileOperation * 目标: \system32\taskhost.exe, \system32\tzsync.exe (任何不带清单的 ms exe) * 组件: 攻击者定义 * 实现: ucmAutoElevateManifest * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 RS1 (14371) * 原理: 清单解析逻辑已审查 * 代码状态: 从 v3.5.0 起移除 :tractor: 19. 作者: Leo Davidson 衍生版 * 类型: Dll 劫持 * 方法: IFileOperation * 目标: \system32\inetsrv\inetmgr.exe * 组件: MsCoree.dll * 实现: ucmInetMgrMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 RS1 (14376) * 原理: inetmgr.exe 可执行文件清单加强, MitigationPolicy->ProcessImageLoadPolicy->PreferSystem32Images * 代码状态: 从 v3.5.0 起移除 :tractor: 20. 作者: Leo Davidson 衍生版 * 类型: Dll 劫持 * 方法: IFileOperation * 目标: \system32\mmc.exe, Rsop.msc * 组件: WbemComn.dll * 实现: ucmMMCMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 RS3 (16232) * 原理: 目标要求 wbemcomn.dll 必须由 MS签名 * 代码状态: 从 v3.5.0 起移除 :tractor: 21. 作者: Leo Davidson 衍生版 * 类型: Dll 劫持 * 方法: IFileOperation, SxS DotLocal * 目标: \system32\sysprep\sysprep.exe * 组件: comctl32.dll * 实现: ucmSXSMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 RS3 (16232) * 原理: MitigationPolicy->ProcessImageLoadPolicy->PreferSystem32Images * 代码状态: 从 v3.5.0 起移除 :tractor: 22. 作者: Leo Davidson 衍生版 * 类型: Dll 劫持 * 方法: IFileOperation, SxS DotLocal * 目标: \system32\consent.exe * 组件: comctl32.dll * 实现: ucmSXSMethod * 适用版本: Windows 7 (7600) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v2.5.0 中添加 23. 作者: Leo Davidson 衍生版 * 类型: Dll 劫持 * 方法: IFileOperation * 目标: \system32\pkgmgr.exe * 组件: DismCore.dll * 实现: ucmDismMethod * 适用版本: Windows 7 (7600) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v2.5.1 中添加 24. 作者: BreakingMalware * 类型: Shell API * 方法: 环境变量扩展 * 目标: \system32\CompMgmtLauncher.exe * 组件: 攻击者定义 * 实现: ucmCometMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 RS2 (15031) * 原理: CompMgmtLauncher.exe 自动提升被移除 * 代码状态: 从 v3.5.0 起移除 :tractor: 25. 作者: Enigma0x3 * 类型: Shell API * 方法: 注册表项操作 * 目标: \system32\EventVwr.exe, \system32\CompMgmtLauncher.exe * 组件: 攻击者定义 * 实现: ucmHijackShellCommandMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 RS2 (15031) * 原理: EventVwr.exe 重新设计, CompMgmtLauncher.exe 自动提升被移除 * 代码状态: 从 v3.5.0 起移除 :tractor: 26. 作者: Enigma0x3 * 类型: 竞争条件 * 方法: 文件覆盖 * 目标: %temp%\GUID\dismhost.exe * 组件: LogProvider.dll * 实现: ucmDiskCleanupRaceCondition * 适用版本: Windows 10 TH1 (10240) * 兼容 AlwaysNotify * 修复版本: Windows 10 RS2 (15031) * 原理: 文件安全权限已更改 * 代码状态: 从 v3.5.0 起移除 :tractor: 27. 作者: ExpLife * 类型: 提权的 COM 接口 * 方法: IARPUninstallStringLauncher * 目标: 攻击者定义 * 组件: 攻击者定义 * 实现: ucmUninstallLauncherMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 RS3 (16199) * 原理: UninstallStringLauncher 接口从 COMAutoApprovalList 中移除 * 代码状态: 从 v3.5.0 起移除 :tractor: 28. 作者: Exploit/Sandworm * 类型: 白名单组件 * 方法: InfDefaultInstall * 目标: 攻击者定义 * 组件: 攻击者定义 * 实现: ucmSandwormMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 8.1 (9600) * 原理: InfDefaultInstall.exe 从 g_lpAutoApproveEXEList 中移除 (MS14-060) * 代码状态: 从 v3.5.0 起移除 :tractor: 29. 作者: Enigma0x3 * 类型: Shell API * 方法: 注册表项操作 * 目标: \system32\sdclt.exe * 组件: 攻击者定义 * 实现: ucmAppPathMethod * 适用版本: Windows 10 TH1 (10240) * 修复版本: Windows 10 RS3 (16215) * 原理: Shell API 更新 * 代码状态: 从 v3.5.0 起移除 :tractor: 30. 作者: Leo Davidson 衍生版, lhc645 * 类型: Dll 劫持 * 方法: WOW64 logger * 目标: \syswow64\\{任意提权 exe, 例如 wusa.exe} * 组件: wow64log.dll * 实现: ucmWow64LoggerMethod * 适用版本: Windows 7 (7600) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v2.7.0 中添加 31. 作者: Enigma0x3 * 类型: Shell API * 方法: 注册表项操作 * 目标: \system32\sdclt.exe * 组件: 攻击者定义 * 实现: ucmSdcltIsolatedCommandMethod * 适用版本: Windows 10 TH1 (10240) * 修复版本: Windows 10 RS4 (17025) * 原理: Shell API / Windows 组件更新 * 代码状态: 从 v3.5.0 起移除 :tractor: 32. 作者: xi-tauw * 类型: Dll 劫持 * 方法: 利用 uiAccess 应用程序绕过 UIPI * 目标: \Program Files\Windows Media Player\osk.exe, \system32\EventVwr.exe, \system32\mmc.exe * 组件: duser.dll, osksupport.dll * 实现: ucmUiAccessMethod * 适用版本: Windows 7 (7600) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v2.7.1 中添加 33. 作者: winscripting.blog * 类型: Shell API * 方法: 注册表项操作 * 目标: \system32\fodhelper.exe * 组件: 攻击者定义 * 实现: ucmShellRegModMethod * 适用版本: Windows 10 TH1 (10240) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v2.7.2 中添加 34. 作者: James Forshaw * 类型: Shell API * 方法: 环境变量扩展 * 目标: \system32\svchost.exe (通过 \system32\schtasks.exe) * 组件: 攻击者定义 * 实现: ucmDiskCleanupEnvironmentVariable * 适用版本: Windows 8.1 (9600) * 兼容 AlwaysNotify * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v2.7.2 中添加 35. 作者: CIA & James Forshaw * 类型: 模拟 * 方法: Token 操作 * 目标: 自动提升的应用程序 * 组件: 攻击者定义 * 实现: ucmTokenModification * 适用版本: Windows 7 (7600) * 兼容 AlwaysNotify, 见注 * 修复版本: Windows 10 RS5 (17686) * 原理: ntoskrnl.exe->SeTokenCanImpersonate 添加了额外的访问令牌检查 * 代码状态: 从 v3.5.0 起移除 :tractor: 36. 作者: Thomas Vanhoutte aka SandboxEscaper * 类型: 竞争条件 * 方法: NTFS 重解析点 & Dll 劫持 * 目标: wusa.exe, pkgmgr.exe * 组件: 攻击者定义 * 实现: ucmJunctionMethod * 适用版本: Windows 7 (7600) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v2.7.4 中添加 37. 作者: Ernesto Fernandez, Thomas Vanhoutte * 类型: Dll 劫持 * 方法: SxS DotLocal, NTFS 重解析点 * 目标: \system32\dccw.exe * 组件: GdiPlus.dll * 实现: ucmSXSDccwMethod * 适用版本: Windows 7 (7600) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v2.7.5 中添加 38. 作者: Clement Rouault * 类型: 白名单组件 * 方法: APPINFO 命令行欺骗 * 目标: \system32\mmc.exe * 组件: 攻击者定义 * 实现: ucmHakrilMethod * 适用版本: Windows 7 (7600) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v2.7.6 中添加 39. 作者: Stefan Kanthak * 类型: Dll 劫持 * 方法: .NET Code Profiler * 目标: \system32\mmc.exe * 组件: 攻击者定义 * 实现: ucmCorProfilerMethod * 适用版本: Windows 7 (7600) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v2.7.7 中添加 40. 作者: Ruben Boonen * 类型: COM 处理程序劫持 * 方法: 注册表项操作 * 目标: \system32\mmc.exe, \system32\recdisc.exe * 组件: 攻击者定义 * 实现: ucmCOMHandlersMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 19H1 (18362) * 原理: Windows 更改的副作用 * 代码状态: 从 v3.5.0 起移除 :tractor: 41. 作者: Oddvar Moe * 类型: 提权的 COM 接口 * 方法: ICMLuaUtil * 目标: 攻击者定义 * 组件: 攻击者定义 * 实现: ucmCMLuaUtilShellExecMethod * 适用版本: Windows 7 (7600) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v2.7.9 中添加 42. 作者: BreakingMalware 和 Enigma0x3 * 类型: 提权的 COM 接口 * 方法: IFwCplLua * 目标: 攻击者定义 * 组件: 攻击者定义 * 实现: ucmFwCplLuaMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 RS4 (17134) * 原理: Shell API 更新 * 代码状态: 从 v3.5.0 起移除 :tractor: 43. 作者: Oddvar Moe 衍生版 * 类型: 提权的 COM 接口 * 方法: IColorDataProxy, ICMLuaUtil * 目标: 攻击者定义 * 组件: 攻击者定义 * 实现: ucmDccwCOMMethod * 适用版本: Windows 7 (7600) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v2.8.3 中添加 44. 作者: bytecode77 * 类型: Shell API * 方法: 环境变量扩展 * 目标: 多个自动提升的进程 * 组件: 根据目标而异 * 实现: ucmVolatileEnvMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 RS3 (16299) * 原理: 进程创建期间忽略当前用户系统目录变量 * 代码状态: 从 v3.5.0 起移除 :tractor: 45. 作者: bytecode77 * 类型: Shell API * 方法: 注册表项操作 * 目标: \system32\slui.exe * 组件: 攻击者定义 * 实现: ucmSluiHijackMethod * 适用版本: Windows 8.1 (9600) * 修复版本: Windows 10 20H1 (19041) * 原理: 更改的副作用 * 代码状态: 从 v3.5.0 起移除 :tractor: 46. 作者: Anonymous * 类型: 竞争条件 * 方法: 注册表项操作 * 目标: \system32\BitlockerWizardElev.exe * 组件: 攻击者定义 * 实现: ucmBitlockerRCMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 RS4 (>16299) * 原理: Shell API 更新 * 代码状态: 从 v3.5.0 起移除 :tractor: 47. 作者: clavoillotte & 3gstudent * 类型: COM 处理程序劫持 * 方法: 注册表项操作 * 目标: \system32\mmc.exe * 组件: 攻击者定义 * 实现: ucmCOMHandlersMethod2 * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 19H1 (18362) * 原理: Windows 更改的副作用 * 代码状态: 从 v3.5.0 起移除 :tractor: 48. 作者: deroko * 类型: 提权的 COM 接口 * 方法: ISPPLUAObject * 目标: 攻击者定义 * 组件: 攻击者定义 * 实现: ucmSPPLUAObjectMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 RS5 (17763) * 原理: ISPPLUAObject 接口方法已更改 * 代码状态: 从 v3.5.0 起移除 :tractor: 49. 作者: RinN * 类型: 提权的 COM 接口 * 方法: ICreateNewLink * 目标: \system32\TpmInit.exe * 组件: WbemComn.dll * 实现: ucmCreateNewLinkMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 RS1 (14393) * 原理: consent.exe COMAutoApprovalList 引入的副作用 * 代码状态: 从 v3.5.0 起移除 :tractor: 50. 作者: Anonymous * 类型: 提权的 COM 接口 * 方法: IDateTimeStateWrite, ISPPLUAObject * 目标: w32time 服务 * 组件: w32time.dll * 实现: ucmDateTimeStateWriterMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 RS5 (17763) * 原理: ISPPLUAObject 接口更改的副作用 * 代码状态: 从 v3.5.0 起移除 :tractor: 51. 作者: bytecode77 衍生版 * 类型: 提权的 COM 接口 * 方法: IAccessibilityCplAdmin * 目标: \system32\rstrui.exe * 组件: 攻击者定义 * 实现: ucmAcCplAdminMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 RS4 (17134) * 原理: Shell API 更新 * 代码状态: 从 v3.5.0 起移除 :tractor: 52. 作者: David Wells * 类型: 白名单组件 * 方法: AipNormalizePath 解析滥用 * 目标: 攻击者定义 * 组件: 攻击者定义 * 实现: ucmDirectoryMockMethod * 适用版本: Windows 7 (7600) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.0.4 中添加 53. 作者: Emeric Nasi * 类型: Shell API * 方法: 注册表项操作 * 目标: \system32\sdclt.exe * 组件: 攻击者定义 * 实现: ucmShellRegModMethod * 适用版本: Windows 10 (14393) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.1.3 中添加 54. 作者: egre55 * 类型: Dll 劫持 * 方法: Dll 路径搜索滥用 * 目标: \syswow64\SystemPropertiesAdvanced.exe 和其他 SystemProperties*.exe * 组件: \AppData\Local\Microsoft\WindowsApps\srrstr.dll * 实现: ucmEgre55Method * 适用版本: Windows 10 (14393) * 修复版本: Windows 10 19H1 (18362) * 原理: SysDm.cpl!_CreateSystemRestorePage 已更新为安全的加载库调用 * 代码状态: 从 v3.5.0 起移除 :tractor: 55. 作者: James Forshaw * 类型: GUI Hack * 方法: 利用令牌修改绕过 UIPI * 目标: \system32\osk.exe, \system32\msconfig.exe * 组件: 攻击者定义 * 实现: ucmTokenModUIAccessMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 RS5 (17763), 部分补丁, 2024 年 * 原理: 当 UIAccess 令牌的完整性级别降低时，UIAccess 属性将被移除 * 代码状态: 在 v3.1.5 中添加 56. 作者: Hashim Jawad * 类型: Shell API * 方法: 注册表项操作 * 目标: \system32\WSReset.exe * 组件: 攻击者定义 * 实现: ucmShellRegModMethod2 * 适用版本: Windows 10 (17134) * 修复版本: Windows 11 (22000) * 原理: Windows 组件重新设计 * 代码状态: 从 v3.5.7 起移除 :tractor: 57. 作者: Leo Davidson 衍生版 by Win32/Gapz * 类型: Dll 劫持 * 方法: IFileOperation * 目标: \system32\sysprep\sysprep.exe * 组件: unattend.dll * 实现: ucmStandardAutoElevation * 适用版本: Windows 7 (7600) * 修复版本: Windows 8.1 (9600) * 原理: sysprep.exe 加强了 LoadFrom 清单元素 * 代码状态: 从 v3.5.0 起移除 :tractor: 58. 作者: RinN * 类型: 提权的 COM 接口 * 方法: IEditionUpgradeManager * 目标: \system32\clipup.exe * 组件: 攻击者定义 * 实现: ucmEditionUpgradeManagerMethod * 适用版本: Windows 10 (14393) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.2.0 中添加 59. 作者: James Forshaw * 类型: AppInfo ALPC * 方法: RAiLaunchAdminProcess 和 DebugObject * 目标: 攻击者定义 * 组件: 攻击者定义 * 实现: ucmDebugObjectMethod * 适用版本: Windows 7 (7600) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.2.3 中添加 60. 作者: Enigma0x3 衍生版 by WinNT/Glupteba * 类型: Shell API * 方法: 注册表项操作 * 目标: \system32\CompMgmtLauncher.exe * 组件: 攻击者定义 * 实现: ucmGluptebaMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 RS2 (15063) * 原理: CompMgmtLauncher.exe 自动提升被移除 * 代码状态: 从 v3.5.0 起移除 :tractor: 61. 作者: Enigma0x3/bytecode77 衍生版 by Nassim Asrir * 类型: Shell API * 方法: 注册表项操作 * 目标: \system32\slui.exe, \system32\changepk.exe * 组件: 攻击者定义 * 实现: ucmShellRegModMethod * 适用版本: Windows 10 (14393) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.2.5 中添加 62. 作者: winscripting.blog * 类型: Shell API * 方法: 注册表项操作 * 目标: \system32\computerdefaults.exe * 组件: 攻击者定义 * 实现: ucmShellRegModMethod * 适用版本: Windows 10 RS4 (17134) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.2.6 中添加 63. 作者: Arush Agarampur * 类型: Dll 劫持 * 方法: ISecurityEditor * 目标: Native Image Cache 元素 * 组件: 攻击者定义 * 实现: ucmNICPoisonMethod * 适用版本: Windows 7 (7600) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.2.7 中添加 64. 作者: Arush Agarampur * 类型: 提权的 COM 接口 * 方法: IIEAxiAdminInstaller, IIEAxiInstaller2, IFileOperation * 目标: IE 加载项安装缓存 * 组件: 攻击者定义 * 实现: ucmIeAddOnInstallMethod * 适用版本: Windows 7 (7600) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.5.1 中添加 65. 作者: Arush Agarampur * 类型: 提权的 COM 接口 * 方法: IWscAdmin * 目标: Shell 协议劫持 * 组件: 攻击者定义 * 实现: ucmWscActionProtocolMethod * 适用版本: Windows 7 (7600) * 修复版本: Windows 11 24H2 (26100) * 原理: Windows 更改的副作用 * 代码状态: 在 v3.5.2 中添加 66. 作者: Arush Agarampur * 类型: 提权的 COM 接口 * 方法: IFwCplLua, Shell 协议劫持 * 目标: Shell 协议注册表项和环境变量 * 组件: 攻击者定义 * 实现: ucmFwCplLuaMethod2 * 适用版本: Windows 7 (7600) * 修复版本: Windows 11 24H2 (26100) * 原理: Windows 更改的副作用 * 代码状态: 在 v3.5.3 中添加 67. 作者: Arush Agarampur * 类型: Shell API * 方法: Shell 协议劫持 * 目标: \system32\fodhelper.exe * 组件: 攻击者定义 * 实现: ucmMsSettingsProtocolMethod * 适用版本: Windows 10 TH1 (10240) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.5.4 中添加 68. 作者: Arush Agarampur * 类型: Shell API * 方法: Shell 协议劫持 * 目标: \system32\wsreset.exe * 组件: 攻击者定义 * 实现: ucmMsStoreProtocolMethod * 适用版本: Windows 10 RS5 (17763) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.5.5 中添加 69. 作者: Arush Agarampur * 类型: Shell API * 方法: 环境变量扩展, Dll 劫持 * 目标: \system32\taskhostw.exe * 组件: pcadm.dll * 实现: ucmPcaMethod * 适用版本: Windows 7 (7600) * 兼容 AlwaysNotify * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.5.6 中添加 70. 作者: V3ded * 类型: Shell API * 方法: 注册表项操作 * 目标: \system32\fodhelper.exe, \system32\computerdefaults.exe * 组件: 攻击者定义 * 实现: ucmShellRegModMethod3 * 适用版本: Windows 10 (10240) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.5.7 中添加 71. 作者: Arusharampur * 类型: Dll 劫持 * 方法: ISecurityEditor * 目标: Native Image Cache 元素 * 组件: 攻击者定义 * 实现: ucmNICPoisonMethod2 * 适用版本: Windows 7 RTM (7600) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.5.8 中添加 72. 作者: Emeric Nasi * 类型: Dll 劫持 * 方法: Dll 路径搜索滥用 * 目标: \syswow64\msdt.exe, \system32\sdiagnhost.exe * 组件: BluetoothDiagnosticUtil.dll * 实现: ucmMsdtMethod * 适用版本: Windows 10 (10240) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.5.9 中添加 73. 作者: orange_8361 和 antonioCoco * 类型: Shell API * 方法: .NET 反序列化 * 目标: \system32\mmc.exe EventVwr.msc * 组件: 攻击者定义 * 实现: ucmDotNetSerialMethod * 适用版本: Windows 7 RTM (7600) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.6.0 中添加 74. 作者: zcgonvh * 类型: 提权的 COM 接口 * 方法: IElevatedFactoryServer * 目标: 攻击者定义 * 组件: 攻击者定义 * 实现: ucmVFServerTaskSchedMethod * 适用版本: Windows 8.1 (9600) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.6.1 中添加 75. 作者: zcgonvh 衍生版 by Wh04m1001 * 类型: 提权的 COM 接口 * 方法: IDiagnosticProfile * 目标: 攻击者定义 * 组件: 攻击者定义 * 实现: ucmVFServerDiagProfileMethod * 适用版本: Windows 7 RTM (7600) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.6.2 中添加 76. 作者: HackerHouse * 类型: Dll 劫持 * 方法: Dll 路径搜索滥用, 注册表项操作 * 目标: \syswow64\iscsicpl.exe * 组件: iscsiexe.dll * 实现: ucmIscsiCplMethod * 适用版本: Windows 7 RTM (7600) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.6.3 中添加 77. 作者: Arush Agarampur * 类型: Dll 劫持 * 方法: IFileOperation * 目标: \system32\mmc.exe * 组件: atl.dll * 实现: ucmAtlHijackMethod * 适用版本: Windows 7 RTM (7600) * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.6.4 中添加 78. 作者: antonioCoco * 类型: 模拟 * 方法: SSPI 数据报 * 目标: 攻击者定义 * 组件: 攻击者定义 * 实现: ucmSspiDatagramMethod * 适用版本: Windows 7 RTM (7600) * 兼容 AlwaysNotify * 修复版本: Windows 10 (19041), 部分补丁, 2024? 年 * 原理: Windows 更改的副作用 * 代码状态: 在 v3.6.5 中添加 79. 作者: James Forshaw 和 Stefan Kanthak * 类型: GUI Hack * 方法: 利用令牌修改绕过 UIPI * 目标: \system32\osk.exe, \system32\mmc.exe * 组件: 攻击者定义 * 实现: ucmTokenModUIAccessMethod2 * 适用版本: Windows 7 (7600) * 修复版本: Windows 10 RS5 (17763), 部分补丁, 2024 年 * 原理: 当 UIAccess 令牌的完整性级别降低时，UIAccess 属性将被移除 * 代码状态: 在 v3.6.6 中添加 80. 作者: R41N3RZUF477 * 类型: Shell API * 方法: 环境变量扩展, Dll 劫持 * 目标: \system32\taskhostw.exe * 组件: PerformanceTraceHandler.dll * 实现: ucmRequestTraceMethod * 适用版本: Windows 11 (26100) * 兼容 AlwaysNotify * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.6.7 中添加 81. 作者: R41N3RZUF477 * 类型: Shell API * 方法: 环境变量扩展, Dll 劫持, UIPI 绕过 * 目标: \system32\QuickAssist.exe * 组件: EmbeddedBrowserWebView.dll * 实现: ucmQuickAssistMethod * 适用版本: Windows 10 (19041) * 兼容 AlwaysNotify * 修复版本: 未修复 :see_no_evil: * 原理: - * 代码状态: 在 v3.6.8 中添加

**重要说明：** * 方法 30、63 及更高版本仅在 x64 版本中实现 * 方法 30 需要 x64，因为它利用了 WOW64 子系统特性 * 方法 55 主要用于教育目的，可能并不可靠 * 方法 78 要求当前用户帐户密码不能为空 ## 警告 ⚠️ **重要的安全和用法信息**： * 本工具仅演示恶意软件使用的**公开已知的 UAC 绕过方法**。它以不同的方式重新实现了一些技术，以改进原有的概念。 * **不适用于杀毒软件测试**，也不保证在具有激进安全软件的环境中工作。在有活动杀毒软件的情况下使用需自担风险。 * 许多杀毒软件解决方案可能会将此工具标记为 "HackTool"（黑客工具）——由于其功能，这是预期的行为。 * **使用后清理**：如果在生产系统上运行，请确保事后删除所有程序工件。有关丢弃到系统文件夹中的文件的详细信息，请参阅源代码。 * 大多数方法主要是为 x64 系统开发的。虽然许多方法可以在 x86-32 上通过微调工作，但本项目并不重点关注 32 位支持。 * 有关 Microsoft 关于 UAC 绕过为何仍然存在的官方解释，请参阅：[微软对 UAC 的立场](https://devblogs.microsoft.com/oldnewthing/20160816-00/?p=94105) # Windows 10 支持和测试策略 * UACMe 仅使用 LSTB/LTSC 变体 (1607/1809) 和当前的 RTM-1 版本进行测试 * 例如：如果当前版本是 2004，则将在 2004 (19041) 和之前的 1909 (18363) 上进行测试 * 不支持 Insider 预览版，因为方法可能在预览版本中已修复 # 保护措施 防御 UAC 绕过技术最有效的保护措施是使用没有管理权限的帐户。 # 构建说明 UACMe 使用 C 语言编写，需要 Microsoft Visual Studio 2019 或更高版本才能从源代码构建。 ### 先决条件 * **IDE**: Microsoft Visual Studio 2019 或 2022 * **SDK 要求**: * Windows 8.1 或 Windows 10 SDK（已测试 19041 版本） * NET Framework SDK（已测试 4.8 版本） ### 构建步骤 1. **配置平台工具集** (项目->属性->常规): * 对于 Visual Studio 2019：选择 v142 * 对于 Visual Studio 2022：选择 v143 2. **设置目标平台版本** (项目->属性->常规): * 对于 v140：选择 8.1（必须安装 Windows 8.1 SDK） * 对于 v141 及以上：选择 10 3. **构建过程**: * 编译 payload 单元 * 编译 Naka 模块 * 使用 Naka 模块加密所有 payload 单元 * 使用 Naka 模块为这些单元生成 secret blobs * 将编译好的单元和 secret blobs 移动到 Akagi\Bin 目录 * 重新构建 Akagi ## 法律免责声明 * 本工具仅供**教育和研究目的**提供 * 我们不对将本工具用于恶意活动承担任何责任 * 我们与任何将此代码用于商业活动的“安全公司”没有任何关联 * 本 GitHub 仓库 是 UACMe 代码的唯一真实来源 # 支持 BTC (Bitcoin): bc1qzkvtpa0053cagf35dqmpvv9k8hyrwl7krwdz84q39mcpy68y6tmqsju0g4 # 参考 * Windows 7 UAC whitelist, http://www.pretentiousname.com/misc/win7_uac_whitelist2.html * Malicious Application Compatibility Shims, https://www.blackhat.com/docs/eu-15/materials/eu-15-Pierce-Defending-Against-Malicious-Application-Compatibility-Shims-wp.pdf * Junfeng Zhang from WinSxS dev team blog, https://blogs.msdn.microsoft.com/junfeng/ * Beyond good ol' Run key, series of articles, http://www.hexacorn.com/blog * KernelMode.Info UACMe thread, https://www.kernelmode.info/forum/viewtopicf985.html?f=11&t=3643 * Command Injection/Elevation - Environment Variables Revisited, https://breakingmalware.com/vulnerabilities/command-injection-and-elevation-environment-variables-revisited * "Fileless" UAC Bypass Using eventvwr.exe and Registry Hijacking, https://enigma0x3.net/2016/08/15/fileless-uac-bypass-using-eventvwr-exe-and-registry-hijacking/ * Bypassing UAC on Windows 10 using Disk Cleanup, https://enigma0x3.net/2016/07/22/bypassing-uac-on-windows-10-using-disk-cleanup/ * Using IARPUninstallStringLauncher COM interface to bypass UAC, http://www.freebuf.com/articles/system/116611.html * Bypassing UAC using App Paths, https://enigma0x3.net/2017/03/14/bypassing-uac-using-app-paths/ * "Fileless" UAC Bypass using sdclt.exe, https://enigma0x3.net/2017/03/17/fileless-uac-bypass-using-sdclt-exe/ * UAC Bypass or story about three escalations, https://habrahabr.ru/company/pm/blog/328008/ * Exploiting Environment Variables in Scheduled Tasks for UAC Bypass, https://tyranidslair.blogspot.ru/2017/05/exploiting-environment-variables-in.html * First entry: Welcome and fileless UAC bypass, https://winscripting.blog/2017/05/12/first-entry-welcome-and-uac-bypass/ * Reading Your Way Around UAC in 3 parts: 1. https://tyranidslair.blogspot.ru/2017/05/reading-your-way-around-uac-part-1.html 2. https://tyranidslair.blogspot.ru/2017/05/reading-your-way-around-uac-part-2.html 3. https://tyranidslair.blogspot.ru/2017/05/reading-your-way-around-uac-part-3.html * Research on CMSTP.exe, https://msitpros.com/?p=3960 * UAC bypass via elevated .NET applications, https://offsec.provadys.com/UAC-bypass-dotnet.html * UAC Bypass by Mocking Trusted Directories, https://medium.com/tenable-techblog/uac-bypass-by-mocking-trusted-directories-24a96675f6e * Yet another sdclt UAC bypass, http://blog.sevagas.com/?Yet-another-sdclt-UAC-bypass * UAC Bypass via SystemPropertiesAdvanced.exe and DLL Hijacking, https://egre55.github.io/system-properties-uac-bypass/ * Accessing Access Tokens for UIAccess, https://tyranidslair.blogspot.com/2019/02/accessing-access-tokens-for-uiaccess.html * Fileless UAC Bypass in Windows Store Binary, https://www.activecyber.us/1/post/2019/03/windows-uac-bypass.html * Calling Local Windows RPC Servers from .NET, https://googleprojectzero.blogspot.com/2019/12/calling-local-windows-rpc-servers-from.html * Microsoft Windows 10 UAC bypass local privilege escalation exploit, https://packetstormsecurity.com/files/155927/Microsoft-W-10-Local-Privilege-Escalation.html * UACMe 3.5, WD and the ways of mitigation, https://swapcontext.blogspot.com/2020/10/uacme-35-wd-and-ways-of-mitigation.html * UAC bypasses from COMAutoApprovalList, https://swapcontext.blogspot.com/2020/11/uac-bypasses-from-comautoapprovallist.html * Utilizing Programmatic Identifiers (ProgIDs) for UAC Bypasses, https://v3ded.github.io/redteam/utilizing-programmatic-identifiers-progids-for-uac-bypasses * MSDT DLL Hijack UAC bypass, https://blog.sevagas.com/?MSDT-DLL-Hijack-UAC-bypass * UAC bypass through .Net Deserialization vulnerability in eventvwr.exe, https://twitter.com/orange_8361/status/1518970259868626944 * Advanced Windows Task Scheduler Playbook - Part.2 from COM to UAC bypass and get SYSTEM directly, http://www.zcgonvh.com/post/Advanced_Windows_Task_Scheduler_Playbook-Part.2_from_COM_to_UAC_bypass_and_get_SYSTEM_dirtectly.html * Bypassing UAC with SSPI Datagram Contexts, https://splintercod3.blogspot.com/p/bypassing-uac-with-sspi-datagram.html * Mitigate some Exploits for Windows’® UAC, https://skanthak.hier-im-netz.de/uacamole.html # 作者 (c) 2014 - 2026 UACMe Project

标签：AutoElevate, CVE 漏洞利用, DLL 劫持, Maven, Metasploit 模块, RFI远程文件包含, UAC 绕过, Windows, Windows 内核, Windows 安全, 云资产清单, 协议分析, 大语言模型, 安全机制绕过, 安全测试, 客户端加密, 客户端加密, 开源安全工具, 攻击性安全, 权限提升, 漏洞验证, 特权提升, 端点可见性, 系统提权, 网络安全, 自动化部署, 逆向工程, 逆向工程平台, 隐私保护