连接设备平台服务(或 CDPSvc)是一种服务。
它运行NT AUTHORITY\LOCAL SERVICE并尝试在启动时通过调用加载缺少的cdpsgshims.dllLoadLibrary() DLL ,而不指定其绝对路径。因此,它可以劫持 Dll Search Order 流文件夹中的 dll,NT AUTHORITY\LOCAL SERVICE如果我们劫持 SYSTEM PATH 可写位置的 dll,例如C:\python27. 然后,与PrintSpoofer技术结合使用即可获得NT AUTHORITY\SYSTEM访问权限。
使用 acltest.ps1 查找 Writable SYSTEM PATH(例如 C:\python27)
C:\CdpSvcLPE> powershell -ep bypass ". .\acltest.ps1"
将 cdpsgshims.dll 复制到 C:\python27
制作 C:\temp 文件夹并将 impersonate.bin 复制到 C:\temp
重新启动(或以管理员身份停止/启动 CDPSvc)
cmd 将提示nt authority\system
.
注意:当你得到系统 cmd 提示时,停止 cdpsvc 服务并删除 dll 文件和 bin 文件。
https://github.com/sailay1996/CdpSvcLPE