usp10.dll|lpk.dll提权工具

将此DLL文件放入服务器存在EXE的目录中，重启后（可以攻击导致重启，其他方法也行，就是让系统再次运行此目录的任何一个EXE就行）

比如放在c:\php\目录下，下次重启后就会在服务器中添加用户bmd,密码为cunzhang的管理员帐号

(网上已经存在了，不过没有测试成功，此款测试成功，大家可以自己测试附件压缩包为测试用的EXE，点击TEST.EXE，然后关闭就会添加用户BMD，也可以在同目录运行其他EXE测试)

下载地址：usp10.dll

也有人说这东西08年的时候就被玩烂了。微软10年10月出了补丁，如果这个能用，还不如用pr

————————————————————————————

这个要比最近爆出来的usp10.dll提权感觉还要牛x点。

程序执行会到系统目录找到lpk.dll加载

按照xx的顺序 程序当前目录优先加载

于是把这个lpk.dll放到exe的程序目录

exe运行的时候我们这个lpk.dll就会被加载

提权的时候找一个系统权限下启动的exe程序的目录

把这个lpk.dll丢到里面就行

然后当exe执行的时候这个lpk就会被加载来添加一个用户

测试方法：

将lpk.dll放到任意目录

执行当前目录里的任意exe(最好是第三方程序)

系统就会添加一个账号

装了360的机器可能测试失败

本来打算多方面考虑一下发一个完全版的

比如寻找系统用户组什么的

防止被人说卖关子

虽然不成熟也丢出来

这样就只能默认administrators管理组了

反正当前的功能就是添加一个用户名为3est的用户并将这个用户添加到administrators组

为了方便大家记忆

被加载后添加的用户名密码分别是

user：3est

pass：m0r5Mjj$

下载地址：lpk.dll

（此程序未加壳，修改帐号和密码，拖到c32asm里面，选择十六进制编辑模式。按快捷键ctrl+G ，输入地址：2B70『或者自己搜索3est这个字眼）

————————————————————————

什么是DLL劫持

　　DLL劫持在破解逆向程序时是常用的，我们同样可以用于Webshell提权。

●DLL劫持产生的原因●

先来看一下，DLL劫持的原因。

　　1、Windows的DLL称为动态链接库，动态链接库技术的本质实际上是将可执行文件与库文件分离，DLL库文件通过导出表提供API接口，PE加载器通过exe文件的导入表加载相应的DLL，并根据exe文件中的INT查询DLL中的函数地址，同时写入IAT。

　　2、当PE加载器根据exe文件的导入表加载DLL文件时，它会按照程序的当前目录-->system32目录-->windows目录-->PATH环境变量设置的目录来依次查找要加载的DLL文件。因此，我们可以在伪造一个导入表同名的DLL文件，放置到exe文件的目录中，让PE加载器加载我们伪造的DLL文件，从而实现劫持。

　　3、DLL的转发器功能为我们提供了必要的条件，所谓DLL转发器功能是将对某个DLL文件的导出函数调用转到另一个DLL文件的导出函数中。

　　上面是理论，下面来实践一下，以Win2003为例，定位到Iexplore.exe的目录，随便建立一个文件命名为usp10.dll，然后运行iexplore.exe

　　直接运行IE提示出错

　　基本可以确定iexplore.exe加载usp10.dll，要确定一个可执行文件加载哪些DLL有时候单纯的查看导入表是不可取的，最好的办法用OD加载程序，ALT+L查看加载记录，但是需要注意一点，系统的一些关键DLL比如kernel32.dll、ntdll.dll无法劫持。

　　在得到Webshell中只要iexplore.exe的目录具有写权限，就可以将usp10.dll上传到该目录，管理员只要用iexplore.exe上网，提权也就成功了。同样这里的usp10.dll也只是一个示例，系统中实际上有很多DLL都可以被伪造，比如ws2_32.dll，很多网络程序都会调用此DLL中的函数。

本文源于：逍遥复仇's Blog http://www.hackseo.net/，原文地址：http://www.hackseo.net/post/usp10.html，支持原创，谢绝山寨！