UsoDllLoader:一款功能强大的武器化特权文件写入工具
UsoDllLoader
UsoDllLoader是一款功能强大的武器化特权文件写入工具,该工具可以通过Update Session Orchestrator服务来利用Windows系统中的特权文件写入漏洞并完成对目标系统的渗透测试。除此之外,UsoDllLoader还提供了一个针对DiagHub DLL加载漏洞的利用代码,不过微软已经在v1903版本的Windows系统上修复了这个漏洞。
注意事项:这项技术目前无法在最新版本的Windows 10内部预览版中使用,也就是说,该工具目前仍然适用于主流版本的Windows 10操作系统。
技术介绍
从Windows 10开始,微软就引入了一个名叫Update Session Orchestrator的服务。作为一名普通用户来说,我们可以使用COM来跟这项服务进行交互,并开启一次“更新扫描”,比如说检测系统是否有可用更新,或者挂起更新下载进程等等。这里还涉及到一个未记录在文档中的工具,这个工具名叫usoclient.exe,负责处理整个过程。
对于攻击者来说,这个服务就非常有意思了,因为它能够以NT AUTHORITYSystem权限运行,并尝试在更新会话被创建的时候加载一个名叫windowscoredeviceinfo.dll的DLL文件。
这也就意味着,如果我们在目标Windows系统或某个第三方软件中找到了一个特权文件写入漏洞,那么我们就可以将我们自己自定义的windowscoredeviceinfo.dll文件拷贝到C:WindowsSytem32中,然后USO服务便会加载该文件,这样我们就能够以NT AUTHORITYSystem权限实现任意代码执行了。
构建PoC
这个解决方案由两个项目构成,即WindowsCoreDeviceInfo和UsoDllLoade。
WindowsCoreDeviceInfo
该项目提供了一个PoC DLL,每当QueryDeviceInformation()函数被调用时,它将会在端口1337上开启一个Bind Shell(仅支持本地),而这个函数也是USO线程所要使用的函数。
UsoDllLoader(可选)
它是一个精简版的usoclient.exe,能够以普通用户的身份运行,并与USO服务交互,然后加载windowscoredeviceinfo.dll。加载完成之后,它将尝试与Bind Shell进行连接。
构建解决方案
项目已经对解决方案进行了预配置,因此编译起来非常简单,这里我们推荐使用Visual Studio 2019。
选择“Release”配置和“x64”架构。
构建解决方案。
DLL输出路径:“.x64ReleaseWindowsCoreDeviceInfo.dll”,加载器路径:“.x64ReleaseUsoDllLoader.exe”。
工具使用
使用1-UsoDllLoader
如需进行测试,我们可以按照下列步骤进行操作:
使用系统管理员权限,将dll拷贝至C:WindowsSystem32目录下。 以普通用户身份运行加载器。 工具将以NT AUTHORITYSYSTEM权限开启Shell。
使用2-UsoClient
如果UsoDllLoader.exe无法正常执行,我们可以手动执行上述工作:
使用系统管理员权限,将dll拷贝至C:WindowsSystem32目录下。
以普通用户身份运行下列命令,此时可能无法获取到命令执行的回调信息:
usoclient StartInteractiveScan
下载Windows版本的netcat,并使用下列命令与Bind Shell连接:
nc.exe 127.0.0.1 1337
工具使用演示
【GIF:https://raw.githubusercontent.com/itm4n/UsoDllLoader/master/screenshots/UsoDllLoader.gif】
参考文档
第一部分:https://itm4n.github.io/usodllloader-part1/
第二部分:https://itm4n.github.io/usodllloader-part2/
项目地址
UsoDllLoader:https://github.com/itm4n/UsoDllLoader
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 微信小程序常用组件
- React进阶篇(七)React 同构
- 商业数据分析从入门到入职(5)Python基本语法和数据类型
- JavaScript 同步和异步的执行机制问题
- Vue 与小程序:父组件给子组件传值的区别
- Canvas悟空推箱子
- Spring Cloud 之服务网关 Zuul (一)
- React进阶篇(八)react redux
- 通过一个简单例子理解JavaScript闭包和this对象
- Spring Cloud 之服务网关 Gateway (一)
- Hacking with iOS: SwiftUI Edition - Hot Prospects项目(二)
- HarmonyOS-对Android开发者也太友好了吧
- 你还在使用复杂的 zkclient 开发 zookeeper 么?是时候用 Curator 了 !
- 如何通俗理解类和类型的差别?
- 如何理解变量?