云锁本地权限提升漏洞

### 简要描述： 多个因素导致本地权限提升 ### 详细说明： 0x00 环境： 1.apache+云锁； 2.绕过云锁检查的大马DarkShell.php 0x01 实战： 首先，大马DarkShell.php连上后，由于是apache账户，权限较低 然后我发现了云锁的更新程序： [<img src="https://images.seebug.org/upload/201501/1613273781281029401b3ea529e54809d27d8dff.jpg" alt="y2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/1613273781281029401b3ea529e54809d27d8dff.jpg) 我将添加账户的useradd.exe改为YSUpdate.exe，而YSUpdate.exe是以管理员身份运行的 远程端的管理员打开云锁后发现提示更新，这时用户信息如下： [<img src="https://images.seebug.org/upload/201501/1613293468d0567e27a8f391f0071a6b84651b69.jpg" alt="y.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/1613293468d0567e27a8f391f0071a6b84651b69.jpg) 当管理员点击确定后，这时发现添加了账户test [<img src="https://images.seebug.org/upload/201501/16133005a685079b7c87464ee1c74d158bbe9400.jpg" alt="y1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/16133005a685079b7c87464ee1c74d158bbe9400.jpg) ### 漏洞证明： 0x00 环境： 1.apache+云锁； 2.绕过云锁检查的大马DarkShell.php 0x01 实战： 首先，大马DarkShell.php连上后，由于是apache账户，权限较低 然后我发现了云锁的更新程序： [<img src="https://images.seebug.org/upload/201501/1613273781281029401b3ea529e54809d27d8dff.jpg" alt="y2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/1613273781281029401b3ea529e54809d27d8dff.jpg) 我将添加账户的useradd.exe改为YSUpdate.exe，而YSUpdate.exe是以管理员身份运行的 远程端的管理员打开云锁后发现提示更新，这时用户信息如下： [<img src="https://images.seebug.org/upload/201501/1613293468d0567e27a8f391f0071a6b84651b69.jpg" alt="y.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/1613293468d0567e27a8f391f0071a6b84651b69.jpg) 当管理员点击确定后，这时发现添加了账户test [<img src="https://images.seebug.org/upload/201501/16133005a685079b7c87464ee1c74d158bbe9400.jpg" alt="y1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/16133005a685079b7c87464ee1c74d158bbe9400.jpg)