今天看啥  ›  专栏  ›  3072

CVE-2024-38100 Fake potato LPE漏洞分析

3072  · 公众号  ·  · 2024-08-05 10:06

文章预览

在探索“SilverPotato”滥用的DCOM对象时,我偶然发现了“ShellWindows” DCOM应用程序。这个应用程序和“ShellBrowserWindows”一样,在进攻性安全社区中广为人知,可以通过远程实例化这些对象并具有管理员权限来进行横向移动。 然而,我好奇是否普通用户可以在本地滥用它们。 DCOM应用程序“ShellWindows”的应用程序ID为{9BA05972-F6A8-11CF-A442-00A0C90A8F39},配置为以“Interactive”用户的身份运行: 图1 该应用程序的权限设置为默认值,这意味着交互用户至少可以在本地启动和激活DCOM应用程序: 图2 图3 让我们看看DCOM应用程序是如何配置的,多亏了类型库,我们可以获取很多有用的信息: 图4 该类由 explorer.exe 注册,激活器将使用这个。公开了几个方法: 图5 我们要找的是*ShellExecute()*方法,因为它允许执行外部命令或应用程序。 现在,借助Oleview工具,让我们看看 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览