@Author: Patrilic
@Time: 2019-08-17 0:03:55

0x00 前言

1
a little-known protocol used on Windows to implement Text Services. This might be useful for studying Windows internals, debugging complex issues with Text Input Processors and analyzing Windows security.

据说通杀xp到win10
来自GooleProjectZero的报告:https://googleprojectzero.blogspot.com/2019/08/down-rabbit-hole.html

0x01 环境

测试版本: Windows 10 1809

449d401cf3dd9aef600033710ed498a2
c70fd3e19082ffeb3204669d1e3ec49d

0x02 复现

传文件到虚拟机的时候,被Defender拦截了
17620e7ea3a556734cca6cd2aeabea97

由于只是复现一下,就直接关了就行..

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecurityHealthService

在右侧找到DWORD(32位)值,命名为Start。

修改数值数据为4

c9c92e378df7e718c39ec5558a31ffc8
9d68611fbee4ad90a6c40168e986fd26

同样可以直接修改dll为cobalt Stike或者msf生成的dll就可以回弹了,简单方便~
问题:

  1. 测试win7和win10 1903都可以成功,但是有些环境提示缺少MSVCPxx.dll,需要依赖。
  2. 需要多次交互,建议改源码或者写一键脚本
  3. 特征太明显,需要免杀

0x03 视频

https://www.bilibili.com/video/av64061036/

0x04 链接

https://github.com/taviso/ctftool
https://www.youtube.com/watch?time_continue=2&v=r3vrzzDpmhc
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1162