对Win10某程序的研究

前言：

今天刷帖子看到国外一大佬发了个关于windows下runexehelp.exe的动态，遂研究之

首先我们先来看看这是个什么东西，因为是上午看到的这个推文，当时在上课，电脑都是windows7系统，然后就没找到该文件，后来才发现只有在win10下才有该文件，该文件位于：

C:\Windows\System32\runexehelper.exe

话说这个目录下面的文件，竟然不是微软自己家的文件

如果要是微软自己家的一般可以去微软官网查相关文档，看该程序的详细信息，但这种的就只能自己去抓进程了。

随手谷歌了一下该文件，发现一片差评，顺便得到了该文件的MD5值，

5c597c56e5ab322749e543365c6d6238

不过却是被人在线杀毒检测得到的，可见该文件的确臭名昭著。

正文：

按照国外老哥的话来说就是，该文件可以进行运行文件，但是需要以下条件：

• diagtrack_action_output为一个可写目录
• 目录下runexewithargs_output.txt必须不存在

这个好说，我们先使用 set diagtrack_action_output 来给diagtrack_action_output设置一个值，然后查看设置的值

然后使用runexehelper运行calc试试：

复现成功，当然后缀可以是任意文件，比如这样

依然可以弹出，但是该文件无法弹出cmd令我十分不解，国外老哥说的是无法载入dll

但是我不理解这句话的意思，开始以为是cmd需要调用dll，而calc不需要调用dll文件，所以可以启用calc，可是进程抓取后发现并不是这样

本来想抓一下行为分析，但是突然一想，其实直接反弹一个msf的shell回来看权限就ok了，如果是system权限就有继续研究的必要，不是就算了，

额，既然如此，就算了吧...其实各类大佬也可以继续研究，本人太菜，剩下的就交给你们了。

其实windows里面还有很多这样的程序，说不定那天他们就为我们的提权派上了用场。