介绍
Windows 11 的WinRE 权限控制绕过漏洞—— 其核心是 Win11 恢复环境的身份认证逻辑存在设计缺陷:在 WinRE 启动流程中,当跳过 “系统修复(Repair)” 节点直接调用命令提示符时,系统未触发本地安全认证子系统(LSASS)的 PIN 验证流程,导致低权限的 WinRE Shell 被无身份凭证地激活。
WinRE 作为 Windows 预启动执行环境(WinPE)的子集,其默认权限上下文为本地服务(Local Service)令牌,虽受限于文件系统访问控制列表(ACL),但可通过bcdedit、dir、type等原生命令行工具遍历已挂载卷的未加密文件资源 —— 而 Windows 10 的 WinRE 则强制在 Shell 启动前完成用户主体(Principal)身份绑定,因此该差异可被定义为 Win11 的认证边界失效漏洞,属于本地权限提升(LPE)类漏洞的前置攻击面。
本演示使用的是windows11 x64 24h2 ,证明可用。
初步演示
下面先演示正常情况下如何进入命令行界面测试功能
(不使用密码的方式见下一部分)
找到一台win11电脑,进入设置--系统--恢复
然后点击高级启动--立即重新启动
然后会出现下面的界面,点击“疑难解答”
高级选项
之后进入下面的界面
这里点击上面的红框就会开始启动修复,但是我们当然不是来修电脑的,点击一下下面的命令提示符
输入一下指令查看文件会怎么样呢
C:\users\你的用户名直接输入
C:也可以进入
没有密码也可以为所欲为
刚刚只是演示了可以查看用户目录下文件,下面演示一下可以拷贝文件从而进行文件盗窃--即使不知道你的密码
关机状态下,不进入桌面,可以通过下面的方式进入上述界面
1.启动电脑。 2.一旦出现Windows,立即按下电源按钮以中断启动顺序。 3.重复步骤1和2两次。然后根据前面的步骤找到命令行界面、
依旧输入
C:进入系统盘目录,cd到你想看的界面
现在假设我想得到这个电脑上的文件 2.txt
只需要输入
copy 想要的文件的位置 目标地址 #有空格的话需要打双引号比如这里我输入的是
copy C:\users\KIVEN\desktop\2.txt C:\users\KIVEN\desktop\3后面改成U盘地址就可以拷贝到U盘了
也可以直接输入
notepad出现了文本文档读取界面
选择 文档--打开--就能看到想看的文本文档了
需要更高权限?
执行命令环境,比如c依赖等,前面的方法可能权限不足,就可以使用下面的方法
还是目前的界面,输入
cd C:\Windows\System32 copy cmd.exe utilman.exe然后重启
我们假设不知道密码,所以这里当然没法进入,但是点击下面的图标会跳出终端
用法与前面一样,但是权限更高,比如这里再复制一份2.txt到文件夹4
可以看到非常成功
输入notepad查看文件也可
