[軟件動態] Win8的遠程桌面漏洞：利用QQ拼音純淨版實現提權

laichung

沒有哪個平台是百分之百安全的，雖然微軟Windows 8在安全方面進行了很大改進，但是仍然不可避免地出現漏洞。國內博客MayBreath就在Windows 8上再現了曾經出現過的輸入法漏洞，利用QQ拼音實現了提權，具體來看一下：
發現這個漏洞的時候，筆者正在機房上課。正想用3389遠程桌面去控制宿舍電腦的時候，因為重做系統忘記自己的IP地址，因此就隨手掃瞄了一下IP段開3389端口的電腦。
沒想到就隨手掃瞄到一台Win8的系統，而且這個系統還裝了QQ輸入法Win8純淨版。
當時我就想起初中時候的那個極品五筆的漏洞，就隨手測試了一下，沒想到在時隔7、8年後的今天，號稱非常安全的Win8系統居然還有如此大的漏洞。這邊就把提權過程理一遍。
首先確認裝有這個QQ拼音輸入法：



Ctrl+空格調出托盤，找到這個選項：



順利開啟IE瀏覽器：



需要說明的是，IE瀏覽器和Win8安全性確實是提高了非常多。隨手在地址欄輸入D:\  file://d: 這樣的命令都無法打開文件夾，本以為只要隨便上傳一個bat批處理，寫上提權用的命令，然後利用IE下載下來打開運行即可，沒想到各種提示系統要求驗證您的用戶密碼等，根本無法進行下載，可見常規方式真的行不通。
微軟還是有在修復這些漏洞，但是經過筆者的諸多嘗試，最終發現有一處漏洞尚未填補。
那就是文件菜單的-另存為選項，將網頁文件另存為即可打開文件夾對話框：



這個時候感覺已經快要接近勝利，但是經過半節課多的嘗試，筆者始終無法再有實質性的突破。如圖，文件夾選項卡已經被限定成幾種mnt、txt等格式：



筆者甚至能用記事本等程序打開進行提權命令編輯，但是關鍵的地方卻始終被微軟限制。不管是另存為bat或者打開其他程序，均無法顯示或者正常打開。而且就算保存成bat，在當前限定的mnt、txt等文件可查看的情況下根本也無法看到生成後的文件。



在進行了諸多嘗試，甚至開啟文件夾共享，也無法生效，可見Win8還是對安全性進行了很大的提升。這個時候，筆者想起初中時奮鬥的那些日日夜夜，想到瞭解決辦法，沒錯，就是用快捷方式的漏洞。
在無法查看任何exe等可執行文件的情況下，包括net.exe 這個關鍵的提權程序時，實際上也可以直接創建快捷方式。對這個快捷方式直接賦參數運行。隨便創建一個快捷方式，然後將目標改為系統目錄裡面的net文件 後面空格附上參數即可。
創建用戶Helper：



將用戶加入管理組，獲取最高權限：



好了激動人心的時刻到了：



OK，登陸成功，用了一節課時間就可以了。



本次只測試過QQ拼音輸入法，其他輸入法如果能直接調出IE的話，利用相同的辦法也可以直接提權，希望微軟盡快修復這個漏洞吧。