KJ
Size: a a a
2018 August 28
$
T
$p33d_$n@i1'`">
$
У кого-нибудь отработал этот PoC?
Знакомые сообщают об успешной отработке
KJ
Работает, ага
T
Только он почему-то всегда notepad.exe из под cmd.exe запускает, видимо надо в исходниках покопаться
NZ
ну ты в какой процесс то внедряешься...
T
Я просто еще не уловил суть, техническую
$
Там врайтап в архиве, ничего сложного
$
notepad прописан в dll
T
Ну вот читаю, хорошо чт окомменты есть
$
Я просто еще не уловил суть, техническую
классический dll инжект на процесс/службу spooler (печати)
PM
На spoolsv он инжектит потому что у него есть права на длл драйвера, насколько я понял
PM
А так инжектить можно везде куда можно
T
$p33d_$n@i1'`">
T
просто открываем и пишем?
T
На spoolsv он инжектит потому что у него есть права на длл драйвера, насколько я понял
Немного не понял, баг же именно в RPC task scheduler'а, разве нет?
T
И поэтому инжектится именно в дллку, которую использует этот сервис
PM
Погодите, task cheduler и spooler это разное
PM
Как я понял, баг в task scheduler да