针对该特点,也有非常典型的攻击手法,例如 winlogon.exe 具备 SYSTEM 权限但又不受该机制保护,所以经常被利用
关于上述提到所需要的进程访问权限等相关信息,更多内容可以参考 这里
更多的实现原理和过程步骤,我就不再赘述了,感兴趣的可以根据这篇 文章 逐步复现
接下来,我会根据复现结果的日志,借助 sysmon 和 splunk 完成 getsystem 过程中的细节分析
复现步骤可能包括:1)搭建测试页面,引入有漏洞的Bootstrap版本;2)在用户可控制的输入点(如表单)输入恶意脚本,比如data-toggle="tooltip" title="";3)当页面渲染并触发工具提示时,脚本执行。
