简介sdclt是微软提供的命令行磁盘备份工具。由于在Vista时代引入并在Windows10中启动,sdclt增加了自动提权的能力,requestedExecutionLevel由asInvoker变为requireAdministrator(命令sigcheck-m%systemroot%\system32\sdclt.exe的结果)当不带任何参数启动sdclt时,sdclt会打开控制面板。控制面板的主程序是control.exe,那么sdclt是怎么找到control.exe的完整路径的呢?通过processmonitor的分析(过滤掉不相关的进程,然后用CTRL+F搜索control.exe),sdclt似乎是从注册表中读取了control.exe的路径。根据这个原理,我们写一个简单的PoC测试regadd"HKCU\Software\Microsoft\Windows\CurrentVersion\AppPaths\control.exe"/tREG_SZ/d%COMSPEC%/fsdclt在cmd中执行。可以看到控制面板并没有启动,而是弹出了一个cmd,我们也获得了管理员权限。当然,提权后我们需要清理痕迹。具体代码请查看完整PoC。有兴趣的同学可以研究其他类似案例~
