CDPSvc DLL劫持-复现

  1. 0x00前言
  2. 0x01漏洞简要说明
  3. 0x02复现
  4. 0x03参考链接

0x00前言

晚上看见这篇文章:https://itm4n.github.io/cdpsvc-dll-hijacking/,闲来无事复现一波
006LG7Nygy1g9udw4ci6ij313q0l2wh9.jpg

0x01漏洞简要说明

由于一个叫cdpsgshims.dll的DLL没有做绝对路径的设置,而CDPSvc这个服务在使用的时候会从Path路径寻找这个DLL。CDPSvc服务在svchost里,启动是服务权限有资格调用对应的令牌来创建一个高权进程

并且这个服务在widnows 10 17601之后就默认自启动

006LG7Nygy1g9ue1dj86qj315y0a342s.jpg

0x02复现

环境:

OS:Windows 10 (build 18362.2)
工具:Process Monitor

随便往Path里添加个路径
006LG7Nygy1g9ue6a76w2j30ry0e674x.jpg

将这个文件夹赋予Everyone的权限,否则会报权限不够的问题
006LG7Nygy1g9ue7kostej318m0h8n26.jpg

将作者给出的DLL放入对应的Path路径,重启CDPSvc服务
GitHub - itm4n/CDPSvcDllHijacking: Windows 10 CDPSvc DLL Hijacking - From LOCAL SERVICE to SYSTEM
006LG7Nygy1g9ue8llqh7j30v00grq4m.jpg

net stop cdpsvc
net start cdpsvc

006LG7Nygy1g9ue9v6y70j31430fzjwi.jpg

006LG7Nygy1g9ueah9f3kj314a0mqn3p.jpg

如果要自己写个DLL的话得申请令牌之类的..我太菜了

0x03参考链接

CDPSvc DLL Hijacking - From LOCAL SERVICE to SYSTEM | PS C:\Users\itm4n> _


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。

文章标题:CDPSvc DLL劫持-复现

本文作者:九世

发布时间:2019-12-12, 23:58:03

最后更新:2019-12-13, 00:23:23

原始链接:http://422926799.github.io/posts/f4ae96f0.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录