360工程尸，喷叔继续喊你修提权漏洞

kfne12

上次，喷叔说到360如果安装在自定义目录，会继承目录权限，

auth什么cated user可以手动修改zhudongfangyu.exe从而手动提权。

结果360官方大神表示，手动提权漏洞不是安全漏洞，必须要自动，来一个exe完成才算问题。

我喷叔心想，你这不是欺负喷叔不会编程吗？

喷叔已经把360流氓卫士卸了（卸载完WIN7遁甲居然还遗留一个dll注入ie不肯走，幸好喷叔以前知道shim这个东西）

所以这几天没试。

昨晚又闲下来了，打开虚拟机，下了个360试试，

已知，360自保是允许360logcenter.exe修改自己文件夹的，

既然要自动实现，那我就想：是否可以绕过自保，注入个dll到360logcenter.exe,让他去修改zhudongfangyu.exe

注入后，能否执行任意代码，喷叔拿不准，因为我对dll注入，dll劫持不是很懂，我只是觉得，如果注入了，应该可以做很多事。

反正，昨晚的目标是注入360logcenter.结果怎么都不成功。

360确实比火绒强多了。什么od调试，tracker注入，我工具里的试过了都不行。。。

搞了半天没成功，昨晚就睡了。

今早起来，想想，拿procmon看一下吧。看了1分钟，结果喷叔我屁股都笑大了。

360居然加载一个不存在的dll.如图



所以我有办法了：

标准账户下，写一个当前用户的path环境变量（current user下的），拿网上抄来的代码编译一个exe刷新环境变量，让360的进程加载我的dll。成功了。

360不看签名就加载dll了。

下一步，就是注入成功后，让360logcenter.exe写入360的文件夹。从而置换掉zhudongfangyu.exe或者不换zhudongfangyu.exe而让他加载某个dll。。
这一步，喷叔不会编程，没法试了。不过凭直觉，应该是可以的。。。

--------------------------------

反正，喷叔，只能做到这一步了。

360到底有没有问题，如果有，承认不承认就不是我关心的了。

对于360，qq浏览器这种国内的流氓软件，自定义安装时喜欢把服务程序放在自己文件夹下的留个提权后门的，我也没什么好说的。。

zay365

dll劫持后不止提权还可以干任意你想干的事
不过360主防真的不会拦截修改环境变量的行为吗

kfne12

zay365 发表于 2020-3-11 12:45
dll劫持后不止提权还可以干任意你想干的事
不过360主防真的不会拦截修改环境变量的行为吗

360在windows普通账户下是没有防护只有自保的。

kfne12

zay365 发表于 2020-3-11 12:45
dll劫持后不止提权还可以干任意你想干的事
不过360主防真的不会拦截修改环境变量的行为吗

我感觉我们说的不是一个提权。

我说的提权是非管理员到管理员。你说的可能是已经管理员了，然后提个什么权。。

如果是非管理员，光一个dll劫持肯定不行。进程还是用户权限。除非是system的进程加载你的dll.

应该是这样的。

zay365

kfne12 发表于 2020-3-11 13:31
我感觉我们说的不是一个提权。

我说的提权是非管理员到管理员。你说的可能是已经管理员了，然后提个什 ...

狭义的提权是从普通用户开始提的，在非管理员下提到管理员或system权限
广义上说绕过uac也算是一种提权

kfne12

zay365 发表于 2020-3-11 13:42
狭义的提权是从普通用户开始提的，在非管理员下提到管理员或system权限
广义上说绕过uac也算是一种提权

恩，也算吧。不过绕过UAC现在方法老多了。网上都能搜到。

zay365

kfne12 发表于 2020-3-11 13:42
恩，也算吧。不过绕过UAC现在方法老多了。网上都能搜到。

看到一句话

后来研究人员找到了绕过该机制的方法，并且从Windows 7以来已经有许多方法可以绕过UAC。这种情况非常常见，以至于微软将这类问题当成“非优先”安全问题来处理。

https://www.anquanke.com/post/id/163222

kfne12

zay365 发表于 2020-3-11 13:48
看到一句话

https://www.anquanke.com/post/id/163222

https://github.com/hfiref0x/UACME

kfne12

360不回复，那就是承认自己的软件有设计漏洞了哦？？？

当缩头乌龟，或者急眼了，像飞的企鹅出来就曝光别人的隐私可不好哦？？

360主动防御

您好，感谢您的反馈，我们先分析下您说的具体情况。