文章总结： 本文介绍了两种BypassUAC的方法：利用SSPI身份验证伪造网络令牌，以及通过ColorDataProxyCOM对象执行文件。后者经测试可绕过360、火绒及Defender等主流杀软。作者已将相关工具开源并同步至付费社群以供获取源码及深入交流。 综合评分： 55 文章分类： 红队,免杀,软文广告,安全工具

BypassUac Bof 更新

原创

SharkSec

SharkSec

2026年1月7日 20:13 湖南

🔔 温馨提示：为了防止走散，不错过每一篇干货内容，请记得将公众号设置为星标！🌟

【声明】本文所有POC仅用于合法安全测试，严禁在未获得明确授权的情况下对任何系统进行测试。擅自测试所引发的一切后果，由操作者自行承担全部法律责任，作者及团队不承担任何连带责任。

BypassUAC

UAC简言之就是在Vista及更高版本中通过弹框进一步让用户确认是否授权当前可执行文件来达到阻止恶意程序的目的，目前对于UAC的Bypass技巧，很多文章都有提及，但是在实际操作中，大部分方式都会被杀软拦截，基于此，本文介绍两种Bypass方式，供大家学习参考。

SSPI利用的核心在于 Windows 在本地身份验证和网络身份验证过程中尝试的令牌存在一些差异，网络身份验证生成不受限的令牌，而我们可以通过某种方法在验证时强制指定使用数据报式身份验证（数据报上下文），从而在本地实现伪造网络身份验证。这将在新产生的登录会话中首先产生一个不受限的令牌，然后生成一个受限令牌，并将两者关联起来。同时，由于Lsass存在一些问题，在某些情况下，Lsass会存储登录会话中生成的第一个 Token，最终导致了可以通过 SSPI 来实现 bypassUAC。

不过SSPI在23年就已曝出，目前部分EDR会有检出，下图是使用效果：

ColorDataProxy创建一个提升权限的ICMLuaUtil COM对象，并调用其SetRegistryStringValue函数将提供的文件位置写入HKLM中的DisplayCalibrator注册表值。然后，它将创建一个提升权限的IColorDataProxy COM对象，并调用其LaunchDccw函数，从而执行提供的文件。

目前测试可过360、火绒、Defender、天擎，这里就不一一展示了：

目前这两种方式已开源，还有其他Bypassuac方式，本文就不全列举了。

本次涉及工具后续整理同步至纷传，感兴趣的师傅直接在纷传上获取即可。

如果大家对我们的文章技术有什么建议或者工具使用上的反馈，都欢迎大家在评论区留言交流。对我们分享的文章感兴趣，想要深入探讨、交流并学习更多相关内容，也欢迎各位师傅加入官方技术交流群!!!（关注公众号，点击菜单栏：联系我们->技术交流群，添加管理员微信，备注【加群】，拉您进群）

加入圈子，一起进阶！

我们圈子已平稳运营一段时间啦，后续也会持续为大家输送高质量的实战资源：有一线团队的一手攻防经验、私有工具源码（包括咱们公众号发的工具，圈子里能直接拿源码 + 持续迭代），还有漏洞挖掘的 POC/EXP、每月不定期 0day 分享，hw实战攻防遇见高频oa/设备源码都能在这拿到。

对了，圈子里还有些「刚需资源」：FOFA 的 Key 长期能用，Cursor Pro 共享账号登了就能用； 企业 SRC 案例、红队实战经验也会拆解着讲。

现在圈子现价 119 / 人，等满 100 人就涨到 129 了 —— 入了圈子还能进专属内部群，比咱们公开交流群的资源更新更实时、讨论也更深度。

纷传和知识星球内容是同步的，后期主要运营纷传，所以想进圈子的朋友直接扫描下方二维码就可以啦~

结束

👉 点击关注不迷路，一起潜入深水区，突破边界，共同精进！🚀

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SharkSec SharkSec《BypassUac Bof 更新》