CVE-2024-38100 Fake potato LPE漏洞分析

文章预览

在探索“SilverPotato”滥用的DCOM对象时，我偶然发现了“ShellWindows” DCOM应用程序。这个应用程序和“ShellBrowserWindows”一样，在进攻性安全社区中广为人知，可以通过远程实例化这些对象并具有管理员权限来进行横向移动。 然而，我好奇是否普通用户可以在本地滥用它们。 DCOM应用程序“ShellWindows”的应用程序ID为{9BA05972-F6A8-11CF-A442-00A0C90A8F39}，配置为以“Interactive”用户的身份运行： 图1 该应用程序的权限设置为默认值，这意味着交互用户至少可以在本地启动和激活DCOM应用程序： 图2 图3 让我们看看DCOM应用程序是如何配置的，多亏了类型库，我们可以获取很多有用的信息： 图4 该类由 explorer.exe 注册，激活器将使用这个。公开了几个方法： 图5 我们要找的是*ShellExecute()*方法，因为它允许执行外部命令或应用程序。 现在，借助Oleview工具，让我们看看 ………………………………