用户
搜索

该用户从未签到

i春秋作家

Rank: 7Rank: 7Rank: 7

6

主题

32

帖子

263

魔法币
收听
0
粉丝
3
注册时间
2018-1-10

i春秋签约作者

发表于 2020-9-9 15:32:30 27858
本帖最后由 挖低危的清风 于 2020-9-9 15:37 编辑

Wsreset 漏洞利用分析

简介:

Wsreset 是 Windows 中用于清理 Windows 商场缓存及 Cookie 的工具。有一个小伙伴发了一个链接,在文章中提到 Wsreset 存在任意文件删除的漏洞,通过继续查阅资料发现,该工具还存在 bypass uac 的问题。
Wsreset 在运行的时候,会删除以下目录中的文件:

%userprofile%\AppData\Local\Packages\Microsoft.WindowsStore_8wekyb3d8bbwe\AC\INetcache
%userprofile%\AppData\Local\Packages\Microsoft.WindowsStore_8wekyb3d8bbwe\AC\INetCookies

而 Wsreset 由于需要处理 Windows 设置,其本身就存在特权运行,所以普通用户可以利用其本身的权限去删除一些需要提升权限才能删除的文件。

任意文件删除利用:

我们知道,在 Windows 中可以通过 mklink 与 New-Item 将目录进行链接。当我们将 INetcache 与想要删除的文件链接之后,我们在执行 Wsreset 的时候,就会删除掉我们链接好的目录。
首先我们当前用户的对 INetcache 目录是具备完全控制的权限的。
image.png
假如我们现在要去删除 hosts 文件,可以看到我们是没有权限的
image.png
image.png
这个时候我们将两个目录进行连接
image.png
然后执行 Wsreset 尝试一下效果,文件已经被删除掉了
image.png

Bypass Uac:

首先 Wsreset 具有特权,其次它每次启动的时候,都会访问该注册表 HKEY_CURRENT_USER\Software\Classes\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\Shell\open\command 查询是否有需要执行的命令
image.png
那么我们可以直接在 default 添加命令字段(该注册键是位于HKCU,这意味着我们当前的用户权限是可以去做更改的)
image.png
然后执行查看效果,成功bypass uac
image.png
同时我们如果修改了这个健值,当我们访问 Windows Store 的时候,当点击任意应用详情页面的时候,都会执行健值中的命令
image.png

检测方案:

监控 HKEY_CURRENT_USER\Software\Classes\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\Shell\open\command 注册表。

发表于 2020-9-10 10:27:40
清风大佬多贡献贡献笔记,别藏着掖着
让我们一起干大事!
有兴趣的表哥加村长QQ:780876774!
使用道具 举报 回复
感谢分享
使用道具 举报 回复
发新帖
您需要登录后才可以回帖 登录 | 立即注册