IPBUF安全漏洞报告
English
CVE-2016-20056 CVSS 7.8 高危

CVE-2016-20056: Spy Emergency未引用服务路径提权漏洞

披露日期: 2026-04-04
来源: [email protected]

漏洞信息

漏洞编号
CVE-2016-20056
漏洞类型
未引用服务路径
CVSS评分
7.8 高危
攻击向量
本地 (AV:L)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Spy Emergency

相关标签

未引用服务路径本地提权Spy EmergencyCVE-2016-20056权限提升

漏洞概述

Spy Emergency build 23.0.205版本存在未引用服务路径高危漏洞。该软件的SpyEmrgHealth和SpyEmrgSrv服务路径未正确引用,允许本地低权限攻击者在路径中放置恶意可执行文件。通过触发服务重启或系统重启,攻击者可利用此漏洞以LocalSystem权限执行任意代码,实现本地权限提升。

技术细节

该漏洞源于Windows服务配置错误,即服务路径包含空格但未被引号包围。Windows服务管理器(SCM)在解析此类路径时,会从空格处截断,优先尝试执行路径片段中第一个可执行文件。在Spy Emergency中,受影响服务(如SpyEmrgHealth)的安装路径通常包含空格。本地攻击者可利用此缺陷,在系统特定目录(如C:\Program Files或C:\)下植入与服务路径前缀匹配的恶意可执行文件。由于服务默认以LocalSystem权限运行,一旦服务重启或系统重启,SCM将加载并执行该恶意文件,从而使攻击者获得系统最高权限,完全控制受影响主机,造成严重的安全风险。

攻击链分析

STEP 1
信息收集
攻击者枚举系统服务,发现SpyEmergency相关服务路径包含空格且未加引号。
STEP 2
恶意文件制作
攻击者准备一个恶意的可执行文件,旨在窃取凭据或建立后门。
STEP 3
文件放置
攻击者将恶意文件重命名为服务路径中空格前的名称(如Program.exe),并放置在系统可解析的目录中(如C:\根目录)。
STEP 4
触发漏洞
攻击者等待服务自动重启、手动重启服务或诱导用户重启系统。
STEP 5
权限提升
Windows服务管理器错误加载攻击者的恶意文件,由于服务以LocalSystem权限运行,恶意代码获得系统级控制权。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import os import sys # Proof of Concept for Unquoted Service Path Vulnerability # This script simulates placing a malicious executable in a vulnerable path. def create_malicious_exe(target_path): """ Creates a dummy executable at the target path. In a real attack scenario, this would be a payload. """ # Minimal PE header (MZ signature) pe_header = b"MZ\x90\x00\x03\x00\x00\x00\x04\x00\x00\x00\xff\xff\x00\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x40\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00" try: print(f"[*] Attempting to write to {target_path}") with open(target_path, "wb") as f: f.write(pe_header) print(f"[+] Success! Malicious file created at: {target_path}") print("[*] Wait for the service to restart or for a system reboot to trigger the payload.") except PermissionError: print("[-] Error: Insufficient permissions to write to the target path.") except Exception as e: print(f"[-] An error occurred: {e}") if __name__ == "__main__": # Example target based on common unquoted path vulnerabilities (e.g., C:\Program.exe) # The attacker would determine the exact path by querying the service configuration first. target = "C:\\Program.exe" create_malicious_exe(target)

影响范围

Spy Emergency build 23.0.205

防御指南

临时缓解措施
建议立即检查受影响服务路径,若包含空格务必在注册表或服务管理器中添加双引号。同时,严格控制系统关键目录的写入权限,防止低权限用户植入恶意文件,直至完成软件更新。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表