利用鏈的最后一步是讓用戶創建一個符號鏈接,該符號鏈接將要寫入的目標文件位置(例如Printers.xml)鏈接到位于受保護的Windows目錄(例如C:\)中的系統文件。 Windows \ System32 \,其中駐留了操作系統內核執行的許多文件。這意味著,當GPSVC嘗試在用戶可訪問的位置寫入Printers.xml文件時,實際上將被定向為在C:\ Windows \ System32 \中寫入文件,因為它具有系統特權,因此可以這樣做。
Cyber​​Ark研究人員將這些步驟描述如下:
列出您在C:\ Users \ user \ AppData \ Local \ Microsoft \ Group Policy \ History \中的組策略GUID。
如果您有多個GUID,請檢查最近更新的目錄。
進入該目錄并進入子目錄,即用戶SID。
查看最新的修改目錄。這將因您的環境而異。就我而言,它是打印機目錄。
刪除打印機目錄內的文件Printers.xml。
創建指向\ RPC Control的NTFS掛載點+與Printers.xml的對象管理器符號鏈接,該鏈接指向C:\ Windows \ System32 \ whatever.dll。
打開您喜歡的終端并運行gpupdate。
非特權用戶在受保護的OS目錄中寫入文件的能力之所以危險是因為它可以用于所謂的DLL劫持