今天在wx群、情报社区,看到了很多师傅发的搜狗输入法的漏洞复现,我自己也在本地复现了一下。
复现完这个漏洞,联想到很多年前用过的破解windows7密码的一个方法,长话短说,简短的讲一下流程:
在windows7的锁屏界面有一个讲述人功能,narrator.exe
通过多次重启计算机,可以诱导系统认为发生了错误。
直到出现以下的页面
选择启动启动修复进入
系统会自行检查问题,但重启是我们人为的,所以它检查不到任何问题
出现这个弹窗后,我们点击查看问题详细信息,
点这个路径链接
再点击另存为文件
在system32目录中替换cmd和讲述人的文件名
再次开机讲述人已经变成system权限的cmd
到这里大家也理解这个思路了,在另存为文件的步骤,跟搜狗的漏洞尤为相似,所以我觉得这个漏洞应该归属于Windows的未授权访问,并不完全是搜狗的锅,在2015年也有师傅在WooYun平台提交,但复现流程基本类似
https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0162467所以此漏洞应该属于Windows资源管理器接口调用问题,在下载新文件时,没有指定下载路径,就会弹出保存位置的窗口,正好可以利用开启的资源管理器运行cmd,由于在锁屏时并没有任何用户登录,所以这个cmd并不是用户创建的,故权限为system
但此漏洞影响并不大,它只能被用于近源攻击。
原文始发于微信公众号(Ares信息安全):浅谈搜狗输入法0day的原理
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论