Windows符号链接利用技术详解<\/h1>

1. 符号链接技术概述<\/h2>
符号链接技术在近几年的提权漏洞中尤为常见，包括最新的CVE-2024-21111也使用了这种手法。2015年Google Project Zero安全研究员James Forshaw提供了这一方面研究成果的一系列文章。<\/p>

2. 工具包介绍<\/h2>

p0tools目录中包含以下工具：<\/p>

BaitAndSwitch.exe \/\/ 设置机会锁与对象符号链接<\/li>
CreateDosDeviceSymlink.exe \/\/ 创建对象管理器符号链接<\/li>
CreateHardlink.exe \/\/ 创建硬链接<\/li>
CreateMountPoint.exe \/\/ 创建连接点<\/li>
CreateNativeSymlink.exe \/\/ 创建原生符号链接<\/li>
CreateNtfsSymlink.exe \/\/ 创建文件系统符号链接<\/li>
CreateObjectDirectory.exe<\/li>
CreateRegSymlink.exe \/\/ 创建注册表符号链接<\/li>
CreateSymlink.exe \/\/ 创建:连接点 + 对象管理器符号链接<\/li>
DeleteMountPoint.exe \/\/ 删除连接点<\/li>
DumpReparsePoint.exe<\/li>

SetOpLock.exe \/\/ 设置机会锁<\/li> <\/ul>

3. 文件系统符号链接(NTFS Symlinks)<\/h2>

3.1 权限要求<\/h3>

创建符号链接需要管理员权限，非管理员权限运行会报错。<\/p>

查看权限方法：<\/p>

Ctrl+R输入secpol.msc<\/li>
导航到Local Policies -> User Rights Assignment<\/li>

找到并双击Create symbolic links<\/li> <\/ol>

3.2 创建目录符号链接<\/h3>

管理员权限下运行：<\/p>

.\CreateNtfsSymlink.exe -d C:\Users\root\Desktop\test01\Dir C:\Users\root\Desktop\test01\Other
<\/code><\/pre>
注意：<\/p>

Dir目录要提前建立好，并且要是空目录<\/li>
如果Other目录下有111.txt文件，可以直接从Dir中读取内容<\/li>
<\/ul>
3.3 创建文件符号链接<\/h3>
.\CreateNtfsSymlink.exe -r C:\Users\root\Desktop\test01\File_SymbolLink\demo_file_link.txt C:\Users\root\Desktop\test01\demo_file.txt
<\/code><\/pre>
4. 注册表项符号链接(Registry Key Symbolic Links)<\/h2>
4.1 注册表符号链接示例<\/h3>

HKEY_LOCAL_MACHINE\System\CurrentControlSet 是 HKEY_LOCAL_MACHINE\System\ControlSet001 的符号链接<\/li>
HKEY_CURRENT_CONFIG 是指向 HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current 的符号链接<\/li>
<\/ul>
4.2 创建注册表符号链接<\/h3>

创建密钥并将其指定为链接：<\/li>
<\/ol>
HKEY hKey;
<\/span><\/span>RegCreateKeyEx(HKEY_CURRENT_USER, L<\/span>"DesktopColors"<\/span>, 0<\/span>, nullptr<\/span>, 
<\/span><\/span>              REG_OPTION_CREATE_LINK, KEY_WRITE, nullptr<\/span>, &<\/span>hKey, nullptr<\/span>);
<\/span><\/span><\/code><\/pre>关键点：<\/p>

使用REG_OPTION_CREATE_LINK标志<\/li>
需要KEY_WRITE访问权限<\/li>
<\/ul>

设置链接目标：<\/li>
<\/ol>
WCHAR path[] =<\/span> L<\/span>"<\/span>\\<\/span>REGISTRY<\/span>\\<\/span>USER<\/span>\\<\/span>S-1-5-21-4099861355-3358530361-1466466590-1000<\/span>\\<\/span>Control Panel<\/span>\\<\/span>Desktop<\/span>\\<\/span>Colors"<\/span>;
<\/span><\/span>RegSetValueEx(hKey, L<\/span>"SymbolicLinkValue"<\/span>, 0<\/span>, REG_LINK, 
<\/span><\/span>             (const<\/span> BYTE*<\/span>)path, wcslen(path) *<\/span> sizeof<\/span>(WCHAR));
<\/span><\/span><\/code><\/pre>注意：<\/p>

必须使用本机注册表绝对路径<\/li>
路径格式为\REGISTRY\USER\SID\...<\/li>
<\/ul>
4.3 删除注册表符号链接<\/h3>
标准API无法删除链接，必须使用NtDeleteKey：<\/p>
extern<\/span> "C"<\/span> int<\/span> NTAPI NtDeleteKey(HKEY);
<\/span><\/span>#pragma comment(lib, "ntdll")
<\/span><\/span><\/span><\/span>
<\/span><\/span>HKEY hKey;
<\/span><\/span>RegOpenKeyEx(HKEY_CURRENT_USER, L<\/span>"DesktopColors"<\/span>, 
<\/span><\/span>            REG_OPTION_OPEN_LINK, DELETE, &<\/span>hKey);
<\/span><\/span>NtDeleteKey(hKey);
<\/span><\/span><\/code><\/pre>5. 连接点(Junctions)<\/h2>
5.1 创建连接点<\/h3>
非管理员权限也可以创建连接点：<\/p>
mklink \/J C:\Users\root\Desktop\test01\SecDir C:\Users\root\Desktop\test01\Other
<\/code><\/pre>
条件：<\/p>

SecDir目录不应存在，执行后会自动创建<\/li>
对Other目录需要有写入权限<\/li>
<\/ul>
5.2 API创建连接点<\/h3>
if<\/span> (!<\/span>ReparsePoint::<\/span>CreateMountPoint(argv[1<\/span>], argv[2<\/span>], argc ><\/span> 3<\/span> ?<\/span> argv[3<\/span>] :<\/span> L<\/span>""<\/span>)) {
<\/span><\/span>    printf("Error creating mount point - %ls<\/span>\n<\/span>"<\/span>, GetErrorMessage().c_str());
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>特点：<\/p>

被转换的目录可以存在<\/li>
但目录必须为空<\/li>
需要写入权限<\/li>
<\/ul>
5.3 文件系统符号链接与连接点区别<\/h3>



特性<\/th>
文件系统符号链接<\/th>
连接点<\/th>
<\/tr>
<\/thead>


链接对象<\/td>
文件和目录<\/td>
仅目录<\/td>
<\/tr>

跨卷支持<\/td>
支持<\/td>
主要同一卷内<\/td>
<\/tr>

权限要求<\/td>
需要管理员权限<\/td>
普通用户权限<\/td>
<\/tr>
<\/tbody>
<\/table>
6. 硬链接(Hard Links)<\/h2>
6.1 创建硬链接<\/h3>
非特权用户可以创建硬链接：<\/p>
if<\/span> (CreateNativeHardlink(argv[1<\/span>], argv[2<\/span>])) {
<\/span><\/span>    printf("Done<\/span>\n<\/span>"<\/span>);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>特点：<\/p>

仅适用于文件，不适用于目录或跨卷<\/li>
如果无文件写入权限则需要管理员权限<\/li>
Windows 10高版本已缓解此技术<\/li>
<\/ul>
7. 对象管理器符号链接(Object Manager symbolic links)<\/h2>
7.1 对象管理器概述<\/h3>
Windows使用逻辑对象跟踪所有资源，每个资源都驻留在命名空间中：<\/p>

C:\目录通过GLOBAL??命名空间中的符号链接跳转<\/li>
普通用户可以在\RPC Control命名空间创建符号链接<\/li>
<\/ul>
7.2 创建对象管理器符号链接<\/h3>
HANDLE CreateSymlink<\/span>(HANDLE root, LPCWSTR linkname, LPCWSTR targetname) {
<\/span><\/span>    \/\/ 使用NtCreateSymbolicLinkObject API
<\/span><\/span><\/span><\/span>    NTSTATUS status =<\/span> fNtCreateSymbolicLinkObject(&<\/span>hLink, 
<\/span><\/span>        SYMBOLIC_LINK_ALL_ACCESS, &<\/span>objAttr, &<\/span>target);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>执行：<\/p>
CreateSymlink.exe C:\path\to\link C:\path\to\target
<\/code><\/pre>
8. 任意文件删除技术<\/h2>
8.1 技术原理<\/h3>
结合连接点与对象管理器符号链接：<\/p>

创建dont_delete.txt到\RPC Control对象的符号链接<\/li>
将\RPC Control挂载到\test\目录<\/li>
删除test\config.txt实际会删除dont_delete.txt<\/li>
<\/ol>
8.2 实现步骤<\/h3>

创建符号链接：<\/li>
<\/ol>
HANDLE hret =<\/span> CreateSymlink(nullptr<\/span>, L<\/span>"<\/span>\\<\/span>RPC Control<\/span>\\<\/span>config.txt"<\/span>, 
<\/span><\/span>    L<\/span>"<\/span>\\<\/span>??<\/span>\\<\/span>C:<\/span>\\<\/span>path<\/span>\\<\/span>dont_delete.txt"<\/span>);
<\/span><\/span><\/code><\/pre>
创建挂载点：<\/li>
<\/ol>
ReparsePoint::<\/span>CreateMountPoint(L<\/span>"C:<\/span>\\<\/span>path<\/span>\\<\/span>test"<\/span>, L<\/span>"<\/span>\\<\/span>RPC Control"<\/span>, L<\/span>""<\/span>);
<\/span><\/span><\/code><\/pre>
使用PowerShell删除：<\/li>
<\/ol>
Remove-Item "C:\path\test\config.txt"<\/span> -Force
<\/span><\/span><\/code><\/pre>9. 机会锁(Opportunistic locks)<\/h2>
9.1 机会锁概述<\/h3>
oplock可以放置在文件上，当其他进程访问时会被通知，用于TOCTOU攻击。<\/p>
9.2 设置机会锁<\/h3>
SetOpLock.exe C:\path\to\file [rwdx]
<\/code><\/pre>
参数：<\/p>

r: FILE_SHARE_READ<\/li>
w: FILE_SHARE_WRITE<\/li>
d: FILE_SHARE_DELETE<\/li>
x: Exclusive lock<\/li>
<\/ul>
9.3 BaitAndSwitch技术<\/h3>
BaitAndSwitch c:\path\to\link target_1 target_2 [sharemode]
<\/code><\/pre>
原理：<\/p>

第一次访问指向target_1<\/li>
触发oplock后改为指向target_2<\/li>
<\/ol>
10. 实际应用<\/h2>
这些技术常见于杀毒软件漏洞利用，如：<\/p>

赛门铁克<\/li>
迈克菲<\/li>
Windows Defender<\/li>
<\/ul>
通过符号链接技术可以实现本地提权漏洞利用。<\/p>

Windows符号链接利用技术详解<\/h1>

1. 符号链接技术概述<\/h2> 符号链接技术在近几年的提权漏洞中尤为常见，包括最新的CVE-2024-21111也使用了这种手法。2015年Google Project Zero安全研究员James Forshaw提供了这一方面研究成果的一系列文章。<\/p>

3. 文件系统符号链接(NTFS Symlinks)<\/h2>

4. 注册表项符号链接(Registry Key Symbolic Links)<\/h2>

5. 连接点(Junctions)<\/h2>

6. 硬链接(Hard Links)<\/h2>

7. 对象管理器符号链接(Object Manager symbolic links)<\/h2>

8. 任意文件删除技术<\/h2>

9. 机会锁(Opportunistic locks)<\/h2>

9.1 机会锁概述<\/h3> oplock可以放置在文件上，当其他进程访问时会被通知，用于TOCTOU攻击。<\/p>

10. 实际应用<\/h2> 这些技术常见于杀毒软件漏洞利用，如：<\/p> 赛门铁克<\/li> 迈克菲<\/li> Windows Defender<\/li> <\/ul> 通过符号链接技术可以实现本地提权漏洞利用。<\/p>

1. 符号链接技术概述<\/h2>
符号链接技术在近几年的提权漏洞中尤为常见，包括最新的CVE-2024-21111也使用了这种手法。2015年Google Project Zero安全研究员James Forshaw提供了这一方面研究成果的一系列文章。<\/p>

9.1 机会锁概述<\/h3>
oplock可以放置在文件上，当其他进程访问时会被通知，用于TOCTOU攻击。<\/p>

10. 实际应用<\/h2>
这些技术常见于杀毒软件漏洞利用，如：<\/p>

赛门铁克<\/li>
迈克菲<\/li>
Windows Defender<\/li> <\/ul>
通过符号链接技术可以实现本地提权漏洞利用。<\/p>