喷叔6连喷：火绒自动提权漏洞

显示全部楼层 · 发表于 2020-2-27 16:39:45

以前是手动，这个我估计是标准账户下自动提权的了，我感觉木马应该可以在标准账户下用用玩。。

方法如下：

标准账户下，用mklink这个工具（百度能下到）为自己的dll创建一个硬链接。。

比如说把自己的dll放我的文档里，然后，在火绒的安装目录下，用mklink弄个version.dll，链接到自己的dll.

然后重启后，火绒的system用户的进程就会加载自己目录下的version(实际上就是我的dll）。

我不是太懂dll劫持的这套，不过喷叔，觉得如果system用户的进程加载了自己的dll，应该就可以提权了吧。。

----------

问题火绒应该是自保不是特别强。但实质问题是火绒自己把自己的安装目录弄了个everyone允许（想不明白为什么这么干）。。

显示全部楼层 · 发表于 2020-2-27 16:52:27

您好，您这边是结束掉进程之后创建的链接吗？我们这边本地测试了一下，驱动正常工作的情况下，这个链接是无法创建进去的，感谢您的反馈~

显示全部楼层 · 发表于 2020-2-27 17:08:32

mklink是内部命令。。。
Everyone完全控制真不知道是怎么想的

显示全部楼层 · 发表于 2020-2-27 17:21:03

火绒工程师发表于 2020-2-27 16:52
您好，您这边是结束掉进程之后创建的链接吗？我们这边本地测试了一下，驱动正常工作的情况下，这个链接是无 ...

我这里win7x64非管理员权限可以实现

显示全部楼层 · 发表于 2020-2-27 17:28:05

本帖最后由 kfne12 于 2020-2-27 19:44 编辑

火绒工程师发表于 2020-2-27 16:52
您好，您这边是结束掉进程之后创建的链接吗？我们这边本地测试了一下，驱动正常工作的情况下，这个链接是无 ...

。

你测反了么？
mklink /h "J:\Program Files (x86)\Huorong\Sysdiag\bin\testversion2.dll" j:\users\user2\1.dll

保存为bat运行

我这里有效。自保不管。。

显示全部楼层 · 发表于 2020-2-27 17:44:12

火绒工程师发表于 2020-2-27 16:52
您好，您这边是结束掉进程之后创建的链接吗？我们这边本地测试了一下，驱动正常工作的情况下，这个链接是无 ...

我终于知道你犯了什么错误。

你一定是把自己的dll放在了没有权限的文件夹，那样是链接不了的。

你把它放到一般账户的“我的文档”这种有权限的文件夹，再链接。。

mklink /h "J:\Program Files (x86)\Huorong\Sysdiag\bin\testversion2.dll" j:\users\user2\1.dll

user2是我的普通账户名

显示全部楼层 · 发表于 2020-2-27 17:45:22

zay365 发表于 2020-2-27 17:21
我这里win7x64非管理员权限可以实现

握爪握爪

显示全部楼层 · 发表于 2020-2-27 18:40:27

账户下，用mklink这个工具（百度能下到）为自己的dll创建一个硬

显示全部楼层 · 发表于 2020-2-27 19:29:36

zhangm1a1 发表于 2020-2-27 18:40
账户下，用mklink这个工具（百度能下到）为自己的dll创建一个硬

哈哈
3楼提醒我才知道cmd内部命令有这个。。。

显示全部楼层 · 发表于 2020-2-28 09:23:58

说白了就是火绒自保差？

[技术原创] 喷叔6连喷：火绒自动提权漏洞

本帖子中包含更多资源