查看: 3289|回复: 23
收起左侧

[技术原创] 喷叔7连喷:火绒自动本地提权漏洞

[复制链接]
kfne12
头像被屏蔽
发表于 2020-2-28 16:12:37 | 显示全部楼层 |阅读模式
本帖最后由 kfne12 于 2020-2-28 16:41 编辑

其实,这是一个标题党。

因为我也不会编程没法验证,所以这个能不能提权,我还真不确定。

我的设想是这样的:
----------------

火绒的自我保护是允许自己的进程在自己的文件夹里丢文件的(亲测)

那么,如果控制火绒的一个进程,让它往火绒的文件夹里丢一个恶意dll,利用dll劫持是不是可以从普通账户提到system呢?

假定这个设想是正确的。

那么下一步的做法,就应该是想办法启动一个火绒的进程,控制它的操作,也就是注入了。。

这块我就不懂了。并且我也不会编程。

不过我想,据说地球上有几百种进程注入方式,总有一些非管理员能用,也总有几种火绒不管的吧。

我试了下,普通账户下我十年前下载的od调试器(那时想学习破解的,可惜一直没静下心来学习),可以启动火绒的进程并随意修改里面的内存。。

火绒的自保并没有阻止我拿od调试一个火绒的程序。。

那么,假如一个病毒,使用了od同样的技术,操作火绒的进程往自己的文件夹下面胡乱丢危险的文件。。

是不是这个病毒就从普通账户提权成功了呢?

------------------

如果我的这个漏洞设想成立,那么火绒的问题,应该还是给自己的文件夹设置了everyone允许。

InnoriaAlter
头像被屏蔽
发表于 2020-2-28 16:26:36 | 显示全部楼层
欸~~要不这样 你学习一下具体的工具操作方法 写个专门程序试试看~说不定还挺有意思的
kfne12
头像被屏蔽
 楼主| 发表于 2020-2-28 16:44:19 | 显示全部楼层
InnoriaAlter 发表于 2020-2-28 16:26
欸~~要不这样 你学习一下具体的工具操作方法 写个专门程序试试看~说不定还挺有意思的

OD调试程序并修改内存这种技术(喷叔也不知道叫啥技术)好像没啥现成工具哈。
火绒工程师
发表于 2020-2-28 18:30:51 | 显示全部楼层
您好,我们本地确认一下,感谢您的反馈~
雪拥蓝关
发表于 2020-3-1 00:08:42 | 显示全部楼层
如果这个设想能成立,所有安全软件都可以同样操作。火绒官人不错。
BE_HC
发表于 2020-3-1 10:17:36 | 显示全部楼层
怎么感觉像白加黑

dll上校验就行了
火绒工程师
发表于 2020-3-2 11:21:20 | 显示全部楼层
您好,我们已经确认这个问题,技术人员正在跟进,感谢您的反馈~





【问题ID21743】
pal家族
发表于 2020-3-2 11:56:12 | 显示全部楼层
??????
问题已经确认是什么鬼?
kfne12
头像被屏蔽
 楼主| 发表于 2020-3-2 12:01:47 | 显示全部楼层
pal家族 发表于 2020-3-2 11:56
??????
问题已经确认是什么鬼?

。。。
我也不懂啊。我平时主要是玩玩cmd,进程注入这块我几乎不懂,所以我1楼只是设想一下。。

我也在想,他确认了是不是说明这个确实可以办到了?
pal家族
发表于 2020-3-2 13:38:45 | 显示全部楼层
kfne12 发表于 2020-3-2 12:01
。。。
我也不懂啊。我平时主要是玩玩cmd,进程注入这块我几乎不懂,所以我1楼只是设想一下。。

火绒应该不会真的不会校验加载的模块吧。。。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 08:29 , Processed in 0.129125 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表