前几天看大家玩Windows蓝屏漏洞玩嗨了,闲着无聊也玩了下,结果差点把我系统盘都给整没了,实在是太菜了。Microsoft Store上装的微信,玩的过程中发现我这个微信还存在着另外一个问题,就是点击“检查更新”时会弹cmd.exe,忘了是当时测试留下的还是被某个大佬给“搞”了,来看看是咋回事吧!!!
Image 0.png
Image 1.png
Image 1.png

0x01 权限维持问题分析

我们先使用火绒剑来看一下这个微信的WeChatStore.exe进程,在点击“检查更新”时创建的cmd.exe子进程,不知为毛ProcessHacker和ProcessExplorer都看不到创建子进程过程。
Image 3.png

接着我们再使用Procmon64.exe工具设置个进程过滤规则看下WeChatStore.exe都执行了哪些操作?
Image 4.png

下图中可以看到它在HKCR\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\shell\open\command注册表里执行了一个cmd /c start cmd.exe,所以在微信点击“检查更新”时会弹出cmd.exe。
Image 5.png
Image 6.png

这时我们就可以通过找到的这个微信注册表项来进行权限维持,将cmd /c start cmd.exe修改为后门程序,这里我只是为了演示,所以用的MSF Payload,免杀和安全防护等问题不在本节讨论范围。

  1. HKEY_CLASSES_ROOT\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\Shell\open\command

Image 7.png

public.png