提权实录:通过命名管道劫持可写服务
在分析Windows应用服务时,发现其命名管道的访问控制列表配置错误,允许“Everyone”组的用户进行写操作。低权限攻击者可利用此管道作为通信通道,向以System权限运行的服务发送特定格式的消息(如终止进程的指令)。进一步调查发现,该服务在被强制终止后会自动重启,但其可执行文件的权限配置同样存在问题,允许“Everyone”组读写。利用这两个缺陷,攻击者可构建一条本地提权链:通过循环线程,一边尝试将恶意程序替换目标服务的可执行文件,一边通过上述有漏洞的命名管道发送指令触发服务重启。服务重启时便会加载已被替换的恶意程序,从而以System权限执行攻击者代码。此案例凸显了命名管道ACL配置不当与系统服务可执行文件权限宽松这两种漏洞组合利用的危害。
黑盒视角下的 WebView 漏洞面探索
本文从黑盒测试视角,系统梳理了移动端WebView组件的漏洞挖掘方法。作者摒弃复杂的内部逻辑分析,专注于通过二维码扫描和URL Scheme跳转两个主要入口快速探测漏洞。在二维码扫描场景中,攻击者可构造特定URL触发WebView加载,若APP对白名单域名的校验存在缺陷(如仅判断包含关系),可通过子域名或@符号等方式绕过,从而携带用户凭证访问外部服务器。对于URL Scheme,黑盒测试者无需逆向分析APP配置文件,而是通过抓包匹配WebView页面中暴露的自定义协议格式(如xxx://scheme/path?url=),再构造恶意链接触发跳转,同样可导致凭证泄露。此外,文章还揭示了JSBridge通信机制的安全风险:许多APP未对调用来源域进行校验,使得攻击者在WebView内可遍历Window全局对象,发现并调用暴露的Native接口(如获取应用信息的方法),进而窃取敏感数据。整个探索过程紧扣实战,强调了从攻击者视角发现APP在WebView访问控制、域名校验及JSBridge接口暴露等方面的安全疏漏。