利用搜狗拼音输入法放置猥琐后门方法

搜狗拼音输入法在调用程序时没有对程序进行校检,导致可执行任意程序。

此处以搜狗拼音输入法SogouCloud.exe(一般位于C:\Program Files\SogouInput\一串版本号)为例。

用漏洞证明中提供的代码编译的程序在运行后会在原目录生成a.txt,看是否有a.txt便知是否运行。

或者随手用任意程序替换皆可,例如用python.exe替换后在输入各种账号密码或者百度谷歌资料时会弹出python.exe的窗口。



猥琐之处:

将SogouCloud.exe替换成后门后启动项不会有任何异常

后门会不定次数、不定时运行,但一般都会在用户输入各种账号密码或者百度谷歌时运行,方便盗号等

后门不需24H开启,调用一次运行一次,运行完即可结束

ps:搜狗在多次调用替换后的SogouCloud.exe之后会提示一次文件被破坏,忽略即可(或者直接干掉搜狗保护程序,反正直接就能删而且删了也不影响搜狗正常运行)
漏洞证明:

编译以下代码,将程序改名替换掉SogouCloud.exe,当程序运行时就会在目录中生成a.txt。



#include<fstream>

using namespace std;

void main(void)

{

ofstream file;

file.open("a.txt",ostream::app);

file<<"hack program run";

file.close(); 

file.clear();

}

评论回复