發現這個漏洞的時候, 筆者正在機房上課。正想用3389遠端桌面去控制宿舍電腦的時候,因為重做系統忘記自己的IP地址,因此就隨手掃描了一下IP段開3389連接埠的電腦。沒想到就隨手掃描到一台WIN8的系統,而且這個系統還裝了QQIMEWIN8純淨版。
當時我就想起初中時候的那個極品五筆的漏洞,就隨手測試了一下,沒想到在時隔7、8年後的今天,號稱非常安全的WIN8系統居然還有如此大的漏洞。這邊就把提權過程理一遍。
過程
首先確認裝有這個QQ拼音IME
ctrl+空格調出托盤,找到這個選項
順利開啟IE瀏覽器
這邊需要說明的事,IE瀏覽器和WIN8安全性確實是提高了非常多。
隨手在地址欄輸入D:\ file://d: 這樣的命令都無法開啟檔案夾
本以為只要隨便上傳一個bat批處理,寫上提權用的命令,然後利用IE下載下來開啟運行即可,
沒想到各種提示系統要求驗證您的使用者密碼等,根本無法進行下載,可見常規方式真的行不通
微軟還是有在修複這些漏洞,但是經過筆者的諸多嘗試,最終發現有一處漏洞尚未填補
那就是檔案菜單的-另存新檔選項,將網頁檔案另存新檔即可開啟檔案夾對話方塊
這個時候感覺已經快要接近勝利,但是經過半節課多的嘗試,筆者始終無法再有實質性的突破
,檔案夾選項卡已經被限定成幾種mnt、txt等格式
筆者甚至能用記事本等程式開啟進行提權命令編輯,但是關鍵的地方卻始終被微軟式節流
不管是另存新檔bat或者開啟其他程式,均無法顯示或者正常開啟。
而且就算儲存成bat,在當前限定的mnt、txt等檔案可查看的情況下根本也無法看到產生後的檔案
在進行了諸多嘗試,甚至開啟檔案夾共用,也無法生效
可見WIN8還是對安全性進行了很大的提升
這個時候,筆者想起初中時奮鬥的那些日日夜夜,想到瞭解決辦法
沒錯,就是用捷徑的漏洞
在無法查看任何exe等可執行檔的情況下,包括net.exe 這個關鍵的提權程式時,實際上也可以直接建立捷徑
對這個捷徑直接賦參數運行。隨便建立一個捷徑,然後將目標改為系統目錄裡面的net檔案 後面空格附上參數即可
建立使用者Helper
將使用者加入管理組,擷取最高許可權
好了激動人心的時刻到了
OK,登陸成功,用了一節課時間就可以了。
本次只測試過QQ拼音IME,其他IME如果能直接調出IE的話,利用相同的辦法也可以直接提權,希望微軟儘快修複這個漏洞吧。
聲明
轉載請標註來源:
作者:MayBreath
部落格:http://www.cnblogs.com/maybreath/
EMail:liu85520@foxmail.com
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
