SAY討論區

標題: Win8遠程桌面漏洞:利用QQ拼音純凈版實現提權 [打印本頁]
作者: 北極蝦    時間: 2012-11-20 13:18:06     標題: Win8遠程桌面漏洞:利用QQ拼音純凈版實現提權

前言
發現這個漏洞的時候, 筆者正在機房上課。正想用3389遠程桌面去控制宿舍電腦的時候,因為重做系統忘記自己的IP地址,因此就隨手掃描瞭一下IP段開3389端口的電腦。
沒想到就隨手掃描到一臺Win8的系統,而且這個系統還裝瞭QQ輸入法Windows8純凈版。
當時我就想起初中時候的那個極品五筆的漏洞,就隨手測試瞭一下,沒想到在時隔7、8年後的今天,號稱非常安全的WIN8系統居然還有如此大的漏洞。這邊就把提權過程理一遍。
過程
首先確認裝有這個QQ拼音輸入法
170017tpro1vuyhse.jpg
ctrl+空格調出托盤,找到這個選項
170019e0duruzhayd.jpg
順利開啟IE瀏覽器
1700195wbmst5nnrq.jpg
這邊需要說明的事,IE10瀏覽器和Win8安全性確實是提高瞭非常多。隨手在地址欄輸入D: file://d: 這樣的命令都無法打開文件夾。本以為隻要隨便上傳一個bat批處理,寫上提權用的命令,然後利用IE下載下來打開運行即可,沒想到各種提示系統要求驗證您的用戶密碼等,根本無法進行下載,可見常規方式真的行不通,微軟還是有在修復這些漏洞,但是經過筆者的諸多嘗試,最終發現有一處漏洞尚未填補。
那就是文件菜單的-另存為選項,將網頁文件另存為即可打開文件夾對話框
1700205tjegpak2ak.jpg
這個時候感覺已經快要接近勝利,但是經過半節課多的嘗試,筆者始終無法再有實質性的突破
如圖,文件夾選項卡已經被限定成幾種mnt、txt等格式
17002055bwu5adrd3.jpg
筆者甚至能用記事本等程序打開進行提權命令編輯,但是關鍵的地方卻始終被微軟限制。不管是另存為bat或者打開其他程序,均無法顯示或者正常打開。而且就算保存成bat,在當前限定的mnt、txt等文件可查看的情況下根本也無法看到生成後的文件。
170021daogca2aidk.jpg
在進行瞭諸多嘗試,甚至開啟文件夾共享,也無法生效,可見WIN8還是對安全性進行瞭很大的提升。
這個時候,筆者想起初中時奮鬥的那些日日夜夜,想到瞭解決辦法,沒錯,就是用快捷方式的漏洞。
在無法查看任何exe等可執行文件的情況下,包括net.exe 這個關鍵的提權程序時,實際上也可以直接創建快捷方式
對這個快捷方式直接賦參數運行。隨便創建一個快捷方式,然後將目標改為系統目錄裡面的net文件 後面空格附上參數即可
創建用戶Helper
170021gormv4s0zh5.jpg
將用戶加入管理組,獲取最高權限
1700212fenud2v5ad.jpg
好瞭激動人心的時刻到瞭
170022pmfxnkpfvf4.jpg
OK,登陸成功,用瞭一節課時間就可以瞭。
170023g1ligaz2wxx.jpg
本次隻測試過QQ拼音輸入法,其他輸入法如果能直接調出IE的話,利用相同的辦法也可以直接提權,希望微軟盡快修復這個漏洞吧。

附件: [170017tpro1vuyhse.jpg] 170017tpro1vuyhse.jpg (2012-11-20 13:18:06, 0 Bytes) / 下載次數 0
http://say.go2tutor.com/forum.php?mod=attachment&aid=MTgxODAzfGYyOTlmNWU3fDE3Nzk4NDMzNTN8MHww

附件: [170019e0duruzhayd.jpg] 170019e0duruzhayd.jpg (2012-11-20 13:18:06, 0 Bytes) / 下載次數 0
http://say.go2tutor.com/forum.php?mod=attachment&aid=MTgxODA0fGMyYTAzYWZlfDE3Nzk4NDMzNTN8MHww

附件: [1700195wbmst5nnrq.jpg] 1700195wbmst5nnrq.jpg (2012-11-20 13:18:06, 0 Bytes) / 下載次數 0
http://say.go2tutor.com/forum.php?mod=attachment&aid=MTgxODA1fDg4MTM3NGRjfDE3Nzk4NDMzNTN8MHww

附件: [1700205tjegpak2ak.jpg] 1700205tjegpak2ak.jpg (2012-11-20 13:18:06, 0 Bytes) / 下載次數 0
http://say.go2tutor.com/forum.php?mod=attachment&aid=MTgxODA2fDcxOGRmMzM2fDE3Nzk4NDMzNTN8MHww

附件: [17002055bwu5adrd3.jpg] 17002055bwu5adrd3.jpg (2012-11-20 13:18:06, 0 Bytes) / 下載次數 0
http://say.go2tutor.com/forum.php?mod=attachment&aid=MTgxODA3fGYwMjIwZjBhfDE3Nzk4NDMzNTN8MHww

附件: [170021daogca2aidk.jpg] 170021daogca2aidk.jpg (2012-11-20 13:18:06, 0 Bytes) / 下載次數 0
http://say.go2tutor.com/forum.php?mod=attachment&aid=MTgxODA4fGVkMGNiNGRifDE3Nzk4NDMzNTN8MHww

附件: [170021gormv4s0zh5.jpg] 170021gormv4s0zh5.jpg (2012-11-20 13:18:06, 0 Bytes) / 下載次數 0
http://say.go2tutor.com/forum.php?mod=attachment&aid=MTgxODA5fDU5ZDJhZTMwfDE3Nzk4NDMzNTN8MHww

附件: [1700212fenud2v5ad.jpg] 1700212fenud2v5ad.jpg (2012-11-20 13:18:06, 0 Bytes) / 下載次數 0
http://say.go2tutor.com/forum.php?mod=attachment&aid=MTgxODEwfDk0NWZlMmMzfDE3Nzk4NDMzNTN8MHww

附件: [170022pmfxnkpfvf4.jpg] 170022pmfxnkpfvf4.jpg (2012-11-20 13:18:06, 0 Bytes) / 下載次數 0
http://say.go2tutor.com/forum.php?mod=attachment&aid=MTgxODExfDc5NmU3M2VjfDE3Nzk4NDMzNTN8MHww

附件: [170023g1ligaz2wxx.jpg] 170023g1ligaz2wxx.jpg (2012-11-20 13:18:06, 0 Bytes) / 下載次數 0
http://say.go2tutor.com/forum.php?mod=attachment&aid=MTgxODEyfDliNmJjMzRhfDE3Nzk4NDMzNTN8MHww
作者: alvinsiusiu    時間: 2012-11-20 17:11:46

正好你開咯這樣的帖
作者: k2a3i4    時間: 2012-11-20 17:27:01

呵呵,支持一下哈  
作者: 十兵衛    時間: 2012-11-20 17:50:34

認真回覆,賺取潛水值
作者: 9394    時間: 2012-11-21 04:22:01

小心大家盯上你哦
作者: tamyc002    時間: 2012-11-21 09:40:58

我不是隨便的人。我隨便起來不是人
作者: 9394    時間: 2012-11-24 14:03:18

支持你就頂你
作者: tomato_alex    時間: 2012-11-30 08:55:57

支持你就頂你



歡迎光臨 SAY討論區 (http://say.go2tutor.com/) Powered by Discuz! X2