查看: 1951|回复: 6
收起左侧

[讨论] 360工程尸,喷叔喊你修远程代码执行漏洞

[复制链接]
kfne12
头像被屏蔽
发表于 2020-3-23 11:53:25 | 显示全部楼层 |阅读模式
本帖最后由 kfne12 于 2020-3-28 10:14 编辑





喷错了,这个是系统补丁没打。。不是360的漏洞。下面不用看了。
----------




喷叔昨晚做了一晚上噩梦,不爽。

早上起来弹弹琴,发现清爽了许多。

心想,如果再胡吹海喷一下,也许会更有精神气吧。

于是,想想,上次360那个加载dll的事情,我在进虚拟机里看看到底怎么回事吧。。

于是进虚拟机里搞了一下,结果有了发现。

-----------------

只要是安装了360,那么运行任何程序,都会加载几个不存在的dll.我估计应该是360注入了什么东西到新启动的进程了。

当然,360自己的进程也夹在那几个不存在的dll。包括zhudongfangyu进程。

所以,要提权的话,要么是360进程安装在可写的目录(这个其实不是360的漏洞,ntfs权限就是那么设计的)。

要么360默认安装,但是是系统path变量对应的路径存在可写路径(系统的,不是user的path变量对应的路径)

比如,假如有人手动把python的可写目录加入到了系统(非用户)的path变量,那么zhudongfangyu.exe加载不存在的dll,就可以提权了。
如果用户在360设置里面设置的360的zhudongfangyu服务为不自启。那么还可以即时的立刻的提权。

因为360修改了windows的默认配置,允许低权限用户启动自己家的zhudongfangyu服务。

-----------------------------

先不说提权。

关键,这个怎么就远程执行了呢?

关键是,喷叔拿procmon发现,360自己还注入了IE.

导致IE也加载一堆不存在的DLL.

更搞笑的是,其中一个加载路径居然是桌面

所以,我弄个压缩包,里面放个隐藏文件x.dll。如果用户把这个压缩包解压到了桌面(很多人都喜欢往桌面上解压吧),也就是把这个dll解压到了桌面。
那么,即使之后不干任何事,不运行任何陌生的程序。只要打开IE,这个桌面上的dll就被加载了。。

windows默认不显示隐藏文件的,所以一般的这个dll也不会被注意。。。。。

---------------------------------

我觉得我应该没测错吧。如果我没测错。那就是360不知道怎么又干傻事了。不过能记录用户的下载网址记录几年不纠正的软件,干出什么奇怪的事也都是可以理解的。。







zay365
头像被屏蔽
发表于 2020-3-23 12:00:03 | 显示全部楼层
本帖最后由 zay365 于 2020-3-23 12:01 编辑

什么?!360居然还会存在这么弱智的漏洞
话说这个不算远程利用的吧

kfne12
头像被屏蔽
 楼主| 发表于 2020-3-23 13:08:30 | 显示全部楼层
zay365 发表于 2020-3-23 12:00
什么?!360居然还会存在这么弱智的漏洞
话说这个不算远程利用的吧

其实不算。但是标题得吓人一点。

这个其实没啥用
360主动防御
发表于 2020-3-23 15:36:04 | 显示全部楼层
您好,感谢您的反馈,我们跟进下
kfne12
头像被屏蔽
 楼主| 发表于 2020-3-27 16:37:42 | 显示全部楼层
本帖最后由 kfne12 于 2020-3-27 19:46 编辑
360主动防御 发表于 2020-3-23 15:36
您好,感谢您的反馈,我们跟进下
额。好像是我搞错了。
我虚拟机装的东西太多,可能出问题了。。


传奇传奇
发表于 2020-3-27 21:11:57 | 显示全部楼层
360还有比它香的吗?
kfne12
头像被屏蔽
 楼主| 发表于 2020-3-28 10:02:08 | 显示全部楼层
传奇传奇 发表于 2020-3-27 21:11
360还有比它香的吗?

淡定,这个是我搞错了。360没问题。。我待会发帖澄清一下。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 08:37 , Processed in 0.132617 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表