Win8遠(yuǎn)程桌面漏洞：利用QQ拼音純凈版實(shí)現(xiàn)提權(quán)

Win7之家（ afsion.com.cn）：Win8遠(yuǎn)程桌面漏洞：利用QQ拼音純凈版實(shí)現(xiàn)提權(quán)

前言

發(fā)現(xiàn)這個(gè)漏洞的時(shí)候， 筆者正在機(jī)房上課。正想用3389遠(yuǎn)程桌面去控制宿舍電腦的時(shí)候，因?yàn)橹刈鱿到y(tǒng)忘記自己的IP地址，因此就隨手掃描了一下IP段開3389端口的電腦。

沒想到就隨手掃描到一臺(tái)Win8的系統(tǒng)，而且這個(gè)系統(tǒng)還裝了QQ輸入法Windows8純凈版。

當(dāng)時(shí)我就想起初中時(shí)候的那個(gè)極品五筆的漏洞，就隨手測(cè)試了一下，沒想到在時(shí)隔7、8年后的今天，號(hào)稱非常安全的WIN8系統(tǒng)居然還有如此大的漏洞。這邊就把提權(quán)過程理一遍。

過程

首先確認(rèn)裝有這個(gè)QQ拼音輸入法

ctrl+空格調(diào)出托盤，找到這個(gè)選項(xiàng)

順利開啟IE瀏覽器

這邊需要說明的事，IE10瀏覽器和Win8安全性確實(shí)是提高了非常多。隨手在地址欄輸入D:\ file://d: 這樣的命令都無法打開文件夾。本以為只要隨便上傳一個(gè)bat批處理，寫上提權(quán)用的命令，然后利用IE下載下來打開運(yùn)行即可，沒想到各種提示系統(tǒng)要求驗(yàn)證您的用戶密碼等，根本無法進(jìn)行下載，可見常規(guī)方式真的行不通，微軟還是有在修復(fù)這些漏洞，但是經(jīng)過筆者的諸多嘗試，最終發(fā)現(xiàn)有一處漏洞尚未填補(bǔ)。

那就是文件菜單的-另存為選項(xiàng)，將網(wǎng)頁(yè)文件另存為即可打開文件夾對(duì)話框

這個(gè)時(shí)候感覺已經(jīng)快要接近勝利，但是經(jīng)過半節(jié)課多的嘗試，筆者始終無法再有實(shí)質(zhì)性的突破

如圖，文件夾選項(xiàng)卡已經(jīng)被限定成幾種mnt、txt等格式

筆者甚至能用記事本等程序打開進(jìn)行提權(quán)命令編輯，但是關(guān)鍵的地方卻始終被微軟限制。不管是另存為bat或者打開其他程序，均無法顯示或者正常打開。而且就算保存成bat，在當(dāng)前限定的mnt、txt等文件可查看的情況下根本也無法看到生成后的文件。

在進(jìn)行了諸多嘗試，甚至開啟文件夾共享，也無法生效，可見WIN8還是對(duì)安全性進(jìn)行了很大的提升。

這個(gè)時(shí)候，筆者想起初中時(shí)奮斗的那些日日夜夜，想到了解決辦法，沒錯(cuò)，就是用快捷方式的漏洞。

在無法查看任何exe等可執(zhí)行文件的情況下，包括net.exe 這個(gè)關(guān)鍵的提權(quán)程序時(shí)，實(shí)際上也可以直接創(chuàng)建快捷方式

對(duì)這個(gè)快捷方式直接賦參數(shù)運(yùn)行。隨便創(chuàng)建一個(gè)快捷方式，然后將目標(biāo)改為系統(tǒng)目錄里面的net文件 后面空格附上參數(shù)即可

創(chuàng)建用戶Helper

將用戶加入管理組，獲取最高權(quán)限

好了激動(dòng)人心的時(shí)刻到了

OK，登陸成功，用了一節(jié)課時(shí)間就可以了。

本次只測(cè)試過QQ拼音輸入法，其他輸入法如果能直接調(diào)出IE的話，利用相同的辦法也可以直接提權(quán)，希望微軟盡快修復(fù)這個(gè)漏洞吧。