@Author: Patrilic
@Time: 2019-09-27 0:03:55

0x00 前言

群里师傅传了一篇漏洞详情,如下:
https://www.4hou.com/vulnerable/20515.html

其中翻到这个的时候:
a80184c994256c62b68309752428a068

这不就是白加黑么..还能自启,岂不美哉~

0x01 漏洞复现

影响版本

Forcepoint VPN Windows Client < 6.6.1

复现

b565f7eb7008dae50e9cffef5140d7b0
240c6b110481cf8ad45fadf90f90bd38

安装的时候会调用msiexec.exe,使用驱动加载NT/SYSTEM

然后保证自启动,所以只要我们能摸到路径就能持久控制

打开程序,我们发现他会去查询一些不存在的目录和程序
9cb5f6b66d8398fa197331f3ac360091

e556b1bc632f8bc055b6631bab814364
8c750183f70b3a62663bdfcf5d0b7be2

0x02 漏洞原理

看这个就好了
https://www.4hou.com/vulnerable/20515.html

暴风哭泣,不会

(我是一个没有感情的复现机器)

0x03 免杀

c722b31e90a0fd3ac2ff973fe6445c7a

aee18db9dbe77ac4edcca72af7e3d1b9