前言:
今天刷帖子看到国外一大佬发了个关于windows下runexehelp.exe的动态,遂研究之
首先我们先来看看这是个什么东西,因为是上午看到的这个推文,当时在上课,电脑都是windows7系统,然后就没找到该文件,后来才发现只有在win10下才有该文件,该文件位于:
C:\Windows\System32\runexehelper.exe
话说这个目录下面的文件,竟然不是微软自己家的文件
如果要是微软自己家的一般可以去微软官网查相关文档,看该程序的详细信息,但这种的就只能自己去抓进程了。
随手谷歌了一下该文件,发现一片差评,顺便得到了该文件的MD5值,
5c597c56e5ab322749e543365c6d6238
不过却是被人在线杀毒检测得到的,可见该文件的确臭名昭著。
正文:
按照国外老哥的话来说就是,该文件可以进行运行文件,但是需要以下条件:
这个好说,我们先使用 set diagtrack_action_output 来给diagtrack_action_output设置一个值,然后查看设置的值
然后使用runexehelper运行calc试试:
复现成功,当然后缀可以是任意文件,比如这样
依然可以弹出,但是该文件无法弹出cmd令我十分不解,国外老哥说的是无法载入dll
但是我不理解这句话的意思,开始以为是cmd需要调用dll,而calc不需要调用dll文件,所以可以启用calc,可是进程抓取后发现并不是这样
本来想抓一下行为分析,但是突然一想,其实直接反弹一个msf的shell回来看权限就ok了,如果是system权限就有继续研究的必要,不是就算了,
额,既然如此,就算了吧...其实各类大佬也可以继续研究,本人太菜,剩下的就交给你们了。
其实windows里面还有很多这样的程序,说不定那天他们就为我们的提权派上了用场。