n0isegat3/RegPwnBRc4BOF

# 适用于 Brute Ratel C4 的 RegPwn BOF 这是我对 **Filip Dragovic** ([@Wh04m1001](https://github.com/Wh04m1001)) / **MDSec ActiveBreach** 发布的 [RegPwn](https://github.com/mdsecactivebreach/RegPwn) 漏洞利用的 Brute Ratel C4 BOF 重新实现。 这是一个较为粗糙的 BRc4 BOF 重新实现，基于 Flangvik 对原始 C# 漏洞利用的 [CS BOF 重新实现](https://github.com/Flangvik/RegPwnBOF)。所有漏洞研究和利用的功劳仍归 Filip Dragovic 和 MDSec 所有。 - **Flangvik 的 CS BOF 重新实现**: https://github.com/Flangvik/RegPwnBOF - **博文**: https://www.mdsec.co.uk/2026/03/rip-regpwn/ - **原始仓库**: https://github.com/mdsecactivebreach/RegPwn - **CVE**: CVE-2026-24291 ## 功能描述 利用 Windows 辅助功能 ATConfig 机制中的注册表符号链接竞争条件，从普通用户上下文向受保护的 HKLM 注册表项写入任意值（本地权限提升）。 目标系统为 **2026 年 3 月补丁之前** 的 Windows 11 25H2/24H2、Windows 10 21H2 以及 Windows Server 2016/2019/2022。 **警告**：该漏洞利用作为竞争条件的一部分，会锁定工作站。 ## 默认目标 `msiserver` (Windows Installer) 服务的 `ImagePath`。该服务以 SYSTEM 权限运行，且可由普通用户启动。 ## 用法 ### Brute Ratel C4 ``` badger> coffexec c:\maldev\projects\RegPwnBRc4BOF\regpwn.x64.o C:\JustAnotherPath\badger.exe SYSTEM\ControlSet001\Services\msiserver ImagePath ``` ## 构建 需要 `x86_64-w64-mingw32-gcc` (MinGW-w64 交叉编译器)。 ``` make # build BOF (regpwn.x64.o) make test # build standalone EXE (regpwn.x64.exe) make clean ``` 仅支持 x64。

标签：Accessibility ATConfig, BOF, Brute Ratel C4, C/C++, CVE-2026-24291, Kernel32, LSASS, MinGW, Web报告查看器, Win32 API, Windows 11, Windows Server, Windows 提权, 事务性I/O, 客户端加密, 本地权限提升, 欺骗防御, 注册表符号链接, 漏洞复现, 竞态条件利用