搜狗输入法绕过windows锁屏机制获取系统权限

admin 2024年8月1日19:49:36评论143 views字数 700阅读2分20秒阅读模式


漏洞概述


漏洞类型

权限绕过

漏洞等级

严重

漏洞编号

-

漏洞评分

9.8

利用复杂度

影响组件

搜狗输入法

利用方式

本地

POC/EXP

已公开


搜狗输入法是一款由搜狗公司开发的,基于搜索引擎技术的、特别适合网民使用的、新一代的输入法产品,用户可以通过互联网备份自己的个性化词库和配置信息。搜狗输入法的前身是搜狗拼音输入法,自2006年6月推出以来,因其用户体验佳、词库丰富、输入准确、智能等特点,深受广大网民喜爱.目前官网最新版本为14.7,已验证存在漏洞。


在windows部分系统中安装了搜狗输入法后,在登录页面密码输入框由鼠标进行拖拽弹出搜狗输入法后,可以进入搜狗输入法的游戏中心,下载或试玩游戏时会弹出QQ登录提示框,因下载QQ时需要选择文件存储位置会弹出文件夹选项框,在文件夹选项框中可以执行系统命令,从而导致可以绕过密码登录直接获取系统的权限。


目前受影响的版本:windows部分系统,通过远程桌面无法利用。



漏洞复现





解决方案


官方还未发布修复方案或新版本,建议卸载搜狗输入法。



参考链接


https://www.bilibili.com/video/BV15F82esEQa/?spm_id_from=888.80997.embed_other.whitelist&t=1.413405&bvid=BV15F82esEQa&vd_source=26a537bf48f552e2ffb886e5017b330ehttps://pinyin.sogou.com/windows/?r=mac&t=pinyin


原文始发于微信公众号(Beacon Tower Lab):【漏洞预警】搜狗输入法绕过windows锁屏机制获取系统权限

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月1日19:49:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   搜狗输入法绕过windows锁屏机制获取系统权限https://cn-sec.com/archives/3023863.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息