|
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
|
前几天看大家玩Windows蓝屏漏洞都玩嗨了,当时闲着无聊也去玩了下,结果差点把我系统盘都给整没了,实在是太菜了^_^。
微信是在Microsoft Store安装的,在玩的过程中发现我这个微信还存在着另一个问题,就是点击“检查更新”时会弹出个cmd.exe,忘了是以前测试留下的还是被某个大佬给“搞”了,先不管了,来看看咋回事吧!!!
我们先使用火绒剑来看一下这个微信的WeChatStore.exe进程在点击“检查更新”时创建的cmd.exe子进程,不知为毛ProcessHacker和ProcessExplorer都看不到创建子进程过程。
接着我们再使用Procmon64.exe工具设置个进程过滤规则看下WeChatStore.exe都执行了哪些操作?
下图中可以看到它在以下注册表里执行了一个cmd /c start cmd.exe,所以在微信点击“检查更新”时会弹出cmd.exe。
HKCRAppX82a6gwre4fdg3bt635tn5ctqjf8msdd2shellopencommand
![利用微信的更新功能进行权限维持]( "利用微信的更新功能进行权限维持")
这时我们就可以直接通过找到的这个微信注册表位置来进行权限维持,将cmd /c start cmd.exe修改为MSF Payload或者其他后门程序。
这里我只是为了演示,所以直接用的MSF Payload,免杀和安全防护等问题不在本节讨论范围内。
HKCRAppX82a6gwre4fdg3bt635tn5ctqjf8msdd2shellopencommand
![利用微信的更新功能进行权限维持]( "利用微信的更新功能进行权限维持")
只需在公众号回复“9527”即可领取一套HTB靶场学习文档和视频,“1120”领取安全参考等安全杂志PDF电子版,“1208”领取一份常用高效爆破字典,还在等什么?
本文始发于微信公众号(潇湘信安):利用微信的更新功能进行权限维持
评论