简单来说:
1.微软设计了一些有自提权功能的COM组件。最常见的是 IFileOperation,他能在某些白进程中,对系统关键目录(需要提权才能访问的目录),实现文件复制、重命名、删除。简单的利用办法是注入dll到explorer然后调用IFileOperation,或者篡改PEB,伪装成explorer。或者我觉得还可以实现的方法是hook psapi。
2.微软设计了一些有自提权功能的可执行文件,在manifest清单中打开autoElevate选项:<autoElevate>true</autoElevate>,并且这个选项只对微软签名过的可执行文件生效。执行这类程序不会弹出UAC提示对话框,直接提权运行了。比如 PkgMgr.exe
3.有一些自提权的可执行文件在运行时会加载一些dll,而定位dll目录的逻辑通常有bug,我们可以伪造这种dll并通过IFileOperation放置在关键目录,然后运行自提权可执行文件,就把我们想要的payload执行起来了。
4.自提权可执行文件非常多,加载dll的bug也非常多,一抓一大把。
5.微软对此类UAC bypass的修复态度不积极。IFileOperation的问题从Win7开始一直存在到现在,从来没修复过。
参考资料