提权实录:通过命名管道劫持可写服务
在分析Windows应用服务时,发现其命名管道的访问控制列表配置错误,允许“Everyone”组的用户进行写操作。低权限攻击者可利用此管道作为通信通道,向以System权限运行的服务发送特定格式的消息(如终止进程的指令)。进一步调查发现,该服务在被强制终止后会自动重启,但其可执行文件的权限配置同样存在问题,允许“Everyone”组读写。利用这两个缺陷,攻击者可构建一条本地提权链:通过循环线程,一边尝试将恶意程序替换目标服务的可执行文件,一边通过上述有漏洞的命名管道发送指令触发服务重启。服务重启时便会加载已被替换的恶意程序,从而以System权限执行攻击者代码。此案例凸显了命名管道ACL配置不当与系统服务可执行文件权限宽松这两种漏洞组合利用的危害。