搜索
查看: 1083|回复: 6
收起左侧

[讨论] 360工程尸,喷叔喊你修远程代码执行漏洞

[复制链接]
kfne12
发表于 6 天前 | 显示全部楼层 |阅读模式
本帖最后由 kfne12 于 2020-3-28 10:14 编辑





喷错了,这个是系统补丁没打。。不是360的漏洞。下面不用看了。
----------




喷叔昨晚做了一晚上噩梦,不爽。

早上起来弹弹琴,发现清爽了许多。

心想,如果再胡吹海喷一下,也许会更有精神气吧。

于是,想想,上次360那个加载dll的事情,我在进虚拟机里看看到底怎么回事吧。。

于是进虚拟机里搞了一下,结果有了发现。

-----------------

只要是安装了360,那么运行任何程序,都会加载几个不存在的dll.我估计应该是360注入了什么东西到新启动的进程了。

当然,360自己的进程也夹在那几个不存在的dll。包括zhudongfangyu进程。

所以,要提权的话,要么是360进程安装在可写的目录(这个其实不是360的漏洞,ntfs权限就是那么设计的)。

要么360默认安装,但是是系统path变量对应的路径存在可写路径(系统的,不是user的path变量对应的路径)

比如,假如有人手动把python的可写目录加入到了系统(非用户)的path变量,那么zhudongfangyu.exe加载不存在的dll,就可以提权了。
如果用户在360设置里面设置的360的zhudongfangyu服务为不自启。那么还可以即时的立刻的提权。

因为360修改了windows的默认配置,允许低权限用户启动自己家的zhudongfangyu服务。

-----------------------------

先不说提权。

关键,这个怎么就远程执行了呢?

关键是,喷叔拿procmon发现,360自己还注入了IE.

导致IE也加载一堆不存在的DLL.

更搞笑的是,其中一个加载路径居然是桌面

所以,我弄个压缩包,里面放个隐藏文件x.dll。如果用户把这个压缩包解压到了桌面(很多人都喜欢往桌面上解压吧),也就是把这个dll解压到了桌面。
那么,即使之后不干任何事,不运行任何陌生的程序。只要打开IE,这个桌面上的dll就被加载了。。

windows默认不显示隐藏文件的,所以一般的这个dll也不会被注意。。。。。

---------------------------------

我觉得我应该没测错吧。如果我没测错。那就是360不知道怎么又干傻事了。不过能记录用户的下载网址记录几年不纠正的软件,干出什么奇怪的事也都是可以理解的。。







zay365
发表于 6 天前 | 显示全部楼层
本帖最后由 zay365 于 2020-3-23 12:01 编辑

什么?!360居然还会存在这么弱智的漏洞
话说这个不算远程利用的吧

kfne12
 楼主| 发表于 6 天前 | 显示全部楼层
zay365 发表于 2020-3-23 12:00
什么?!360居然还会存在这么弱智的漏洞
话说这个不算远程利用的吧

其实不算。但是标题得吓人一点。

这个其实没啥用
360主动防御
发表于 6 天前 | 显示全部楼层
您好,感谢您的反馈,我们跟进下
kfne12
 楼主| 发表于 前天 16:37 | 显示全部楼层
本帖最后由 kfne12 于 2020-3-27 19:46 编辑
360主动防御 发表于 2020-3-23 15:36
您好,感谢您的反馈,我们跟进下
额。好像是我搞错了。
我虚拟机装的东西太多,可能出问题了。。


传奇传奇
发表于 前天 21:11 | 显示全部楼层
360还有比它香的吗?
kfne12
 楼主| 发表于 昨天 10:02 | 显示全部楼层
传奇传奇 发表于 2020-3-27 21:11
360还有比它香的吗?

淡定,这个是我搞错了。360没问题。。我待会发帖澄清一下。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2020-3-29 01:47 , Processed in 0.126012 second(s), 16 queries .

快速回复 返回顶部 返回列表