debugactiveprocess/flameshot-unquoted-path-privesc

GitHub: debugactiveprocess/flameshot-unquoted-path-privesc

利用 Flameshot 在 Windows 注册表中未加引号的路径配置缺陷实现本地权限提升，结合 fodhelper UAC 绕过静默获取 Administrator 权限。

Stars: 0 | Forks: 0

# Flameshot 未加引号的路径权限提升 **严重性：** HIGH (CVSS ~7.8) **受影响范围：** Windows 上的所有版本 Flameshot **技术：** 未加引号的注册表路径 (T1574.009) → FodHelper UAC 绕过 (T1548.002) ![PoC 演示](https://github.com/debugactiveprocess/flameshot-unquoted-path-privesc/blob/main/poc_privex_flameshot.gif) ## 概述 Flameshot 将其可执行文件路径写入 Windows `Run` 注册表键时未加引号： HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Flameshot = C:\Program Files\Flameshot\bin\flameshot.exe 当默认安装路径包含空格时，Windows 会在登录时尝试执行以空格分隔的前缀路径： 1. `C:\Program.exe` 2. `C:\Program Files\Flameshot.exe` 3. `C:\Program Files\Flameshot\bin\flameshot.exe` 低权限攻击者可以投放 `C:\Program.exe` 并劫持登录执行。此 PoC 随后通过 `fodhelper.exe` UAC 绕过静默提权至 Administrator。 ## 概念验证 ### 部署 Payload ``` cl.exe silent_elevate.c shell32.lib advapi32.lib /link /subsystem:windows copy silent_elevate.exe "C:\Program.exe" ```

标签：CVE, Flameshot, FodHelper, PoC, UAC绕过, Unquoted Path, 协议分析, 客户端加密, 恶意代码执行, 提权, 攻击模拟, 数字签名, 数据展示, 暴力破解, 本地提权, 权限提升, 注册键劫持, 端点可见性, 红队, 驱动签名利用