S1lkys/AudioDG.exe-DLL-Hijacking-for-LPE

# AudioDG.exe DLL 劫持实现 LPE 利用 `audiodg.exe` 中的 DLL 劫持漏洞，以 `NT AUTHORITY\LOCAL SERVICE` 的身份执行代码，并可通过提权路径至 `NT AUTHORITY\SYSTEM`。 包含使用未公开的 `IPolicyConfig` COM 接口实现无需重启的重启原语。 ## 博客文章 有关详细的技术说明以及如何提权至 NT AUTHORITY\SYSTEM，请参阅： [滥用 Windows Audio 进行本地权限提升](https://medium.com/@S.1.l.k.y/abusing-windows-audio-for-local-privilege-escalation-1d59440116cb) ## 目录 | 文件 | 描述 | |------|-------------| | `audio_disable_debug.cpp` | Audio Device Controller 源代码 | | `audio_disable_debug_x64.exe` | 预编译的 x64 二进制文件 | | `Hijack.cpp` | 用于权限提升的示例 DLL payload | | `windows_audio_device_control.pdf` | 附加技术文档 | ## Audio 设备控制器 ### 用法 ``` audio_disable_debug_x64.exe [command] ``` ### 命令 | 命令 | 描述 | |---------|-------------| | `list` | 列出所有音频渲染设备 | | `disable` | 禁用活动设备并保存状态 | | `enable` | 根据已保存的状态启用先前被禁用的设备 | | `status` | 显示当前状态和已保存的状态信息 | | `-h` | 显示帮助 | ### 示例工作流 ``` # 1. 将恶意 DLL 放置在可写的 System PATH 中 copy payload.dll C:\WritablePath\RtkNNSpeedUp.dll # 2. 禁用所有音频端点（触发 audiodg.exe 在约 2-5 分钟后终止） audio_disable_debug_x64.exe disable # 3. 重新启用音频端点（audiodg.exe 重启并加载 DLL） audio_disable_debug_x64.exe enable ``` ## 测试环境 - Windows 11 Home - Windows 11 Professional ## 免责声明 仅用于授权的安全测试。

标签：端点可见性