UsoDllLoader：一款功能强大的武器化特权文件写入工具

UsoDllLoader

UsoDllLoader是一款功能强大的武器化特权文件写入工具，该工具可以通过Update Session Orchestrator服务来利用Windows系统中的特权文件写入漏洞并完成对目标系统的渗透测试。除此之外，UsoDllLoader还提供了一个针对DiagHub DLL加载漏洞的利用代码，不过微软已经在v1903版本的Windows系统上修复了这个漏洞。

注意事项：这项技术目前无法在最新版本的Windows 10内部预览版中使用，也就是说，该工具目前仍然适用于主流版本的Windows 10操作系统。

技术介绍

从Windows 10开始，微软就引入了一个名叫Update Session Orchestrator的服务。作为一名普通用户来说，我们可以使用COM来跟这项服务进行交互，并开启一次“更新扫描”，比如说检测系统是否有可用更新，或者挂起更新下载进程等等。这里还涉及到一个未记录在文档中的工具，这个工具名叫usoclient.exe，负责处理整个过程。

对于攻击者来说，这个服务就非常有意思了，因为它能够以NT AUTHORITY\System权限运行，并尝试在更新会话被创建的时候加载一个名叫windowscoredeviceinfo.dll的DLL文件。

这也就意味着，如果我们在目标Windows系统或某个第三方软件中找到了一个特权文件写入漏洞，那么我们就可以将我们自己自定义的windowscoredeviceinfo.dll文件拷贝到C:\Windows\Sytem32\中，然后USO服务便会加载该文件，这样我们就能够以NT AUTHORITY\System权限实现任意代码执行了。

构建PoC

这个解决方案由两个项目构成，即WindowsCoreDeviceInfo和UsoDllLoade。

WindowsCoreDeviceInfo

该项目提供了一个PoC DLL，每当QueryDeviceInformation()函数被调用时，它将会在端口1337上开启一个Bind Shell（仅支持本地），而这个函数也是USO线程所要使用的函数。

UsoDllLoader（可选）

它是一个精简版的usoclient.exe，能够以普通用户的身份运行，并与USO服务交互，然后加载windowscoredeviceinfo.dll。加载完成之后，它将尝试与Bind Shell进行连接。

构建解决方案

项目已经对解决方案进行了预配置，因此编译起来非常简单，这里我们推荐使用Visual Studio 2019。

选择“Release”配置和“x64”架构。

构建解决方案。

DLL输出路径：“.\x64\Release\WindowsCoreDeviceInfo.dll”，加载器路径：“.\x64\Release\UsoDllLoader.exe”。

工具使用

使用1-UsoDllLoader

如需进行测试，我们可以按照下列步骤进行操作：

使用系统管理员权限，将dll拷贝至C:\Windows\System32\目录下。 以普通用户身份运行加载器。 工具将以NT AUTHORITY\SYSTEM权限开启Shell。

使用2-UsoClient

如果UsoDllLoader.exe无法正常执行，我们可以手动执行上述工作：

使用系统管理员权限，将dll拷贝至C:\Windows\System32\目录下。

以普通用户身份运行下列命令，此时可能无法获取到命令执行的回调信息：

usoclient StartInteractiveScan

下载Windows版本的netcat，并使用下列命令与Bind Shell连接：

nc.exe 127.0.0.1 1337

工具使用演示

【GIF:https://raw.githubusercontent.com/itm4n/UsoDllLoader/master/screenshots/UsoDllLoader.gif】

参考文档

第一部分：https://itm4n.github.io/usodllloader-part1/

第二部分：https://itm4n.github.io/usodllloader-part2/

项目地址

UsoDllLoader：https://github.com/itm4n/UsoDllLoader