飘零的代码 piao2010 ’s blog

转载：
无意发现了一个很严重的漏洞，和当年3389 输入法漏洞相似。 不过暂时不影响未系统未加载搜狗输入法（未登录系统）。如果远程服务器装了 搜狗，登录系统后加载了搜狗，而又未及时注销或kill掉搜狗输入法直接关闭了远程连接，那么这些server 就很危险咯。

测试环境：
OS: windows 7 ultimate
搜狗输入法 4.3 正式版

漏洞过程描述：
当windows加载了搜狗输入法后（登录系统后），锁定计算机(cltr+alt+del)。切换为搜狗输入法，输入拼音字母出现搜狗输入法工具条后，点击搜索，会调用 iexplorer.exe 。接下来就可以直接在IE地址栏调用system32目录并运行cmd，如果登录账号为administrators 组。则直接获取本机系统权限。

相关日志

• worldpress插件shortstat XSS （0day） (2)
• 高级PHP应用程序漏洞审核技术 (0)
• 邪恶的空格-PHP本地文件包含漏洞的新突破口! (0)
• 运用sslstrip进行中间人攻击(Bypass https) (5)
• 谈谈自己对木马免杀认识(原创) (0)

Tags: 0day, security

This entry was posted on 星期五, 1月 22nd, 2010 at 13:40 and is filed under 0day, 安全相关. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.