利用微信的更新功能进行权限维持

2021-02-02 7,604
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。


前几天看大家玩Windows蓝屏漏洞都玩嗨了,当时闲着无聊也去玩了下,结果差点把我系统盘都给整没了,实在是太菜了^_^。

微信是在Microsoft Store安装的,在玩的过程中发现我这个微信还存在着另一个问题,就是点击“检查更新”时会弹出个cmd.exe,忘了是以前测试留下的还是被某个大佬给“搞”了,先不管了,来看看咋回事吧!!!

我们先使用火绒剑来看一下这个微信的WeChatStore.exe进程在点击“检查更新”时创建的cmd.exe子进程,不知为毛ProcessHacker和ProcessExplorer都看不到创建子进程过程。

接着我们再使用Procmon64.exe工具设置个进程过滤规则看下WeChatStore.exe都执行了哪些操作?

下图中可以看到它在以下注册表里执行了一个cmd /c start cmd.exe,所以在微信点击“检查更新”时会弹出cmd.exe。
HKCRAppX82a6gwre4fdg3bt635tn5ctqjf8msdd2shellopencommand


这时我们就可以直接通过找到的这个微信注册表位置来进行权限维持,将cmd /c start cmd.exe修改为MSF Payload或者其他后门程序。

这里我只是为了演示,所以直接用的MSF Payload,免杀和安全防护等问题不在本节讨论范围内。
HKCRAppX82a6gwre4fdg3bt635tn5ctqjf8msdd2shellopencommand




本文作者:潇湘信安

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/153007.html

Tags:
评论  (0)
快来写下你的想法吧!

潇湘信安

文章数:5 积分: 15

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号