Am-I-Being-Pwned/Signer-Digital-CVSS-9.3-RCE-Exploit-PoC
GitHub: Am-I-Being-Pwned/Signer-Digital-CVSS-9.3-RCE-Exploit-PoC
针对 Signer.Digital 浏览器扩展高危 RCE 漏洞的完整概念验证项目,包含利用链、预编译 payload 和漏洞环境。
Stars: 2 | Forks: 0
# Signer.Digital Browser Extension — drive-by RCE PoC
**详细分析:** https://amibeingpwned.com/blog/signer-digital-rce
访问攻击者页面(无需点击)即可让该页面在 `Signer.Digital.Browser.Extension.exe` 中获取用户权限的代码
执行。添加 `?admin=1`
即可在单次 UAC 提示后获取管理员权限的代码执行能力。
## 受影响范围
- Chrome 扩展 `glghokcicpikglmflbbelbgeafpijkkf` v5.1.2
- Native messaging host v5.1.1.0
- 自动更新程序 `CISPLAutoUpdate.NET.exe`(未签名,manifest = `requireAdministrator`)
## 编译
本项目包含了一个预编译的 PE/PDF polyglot 文件 `reminder.pdf`(一个 64 位的 `evil.dll`,
其 DOS stub 内嵌了一个有效的 PDF),因此你可以跳过编译步骤,直接
运行 `python server.py`。如果要从源码重新编译,你需要
mingw-w64(`x86_64-w64-mingw32-gcc.exe`、`windres.exe`)和 Python 3。
```
.\build.ps1
```
如果工具链位于其他路径,请传入 `-Gcc` / `-Windres`。
生成的 `evil.dll` 和 `admin.exe` 会存放在源码同级目录下。
## 运行
```
python server.py
```
在安装了该扩展的 Chrome 中访问:
| URL | 效果 |
|---|---|
| `http://127.0.0.1:8765/poc.html` | 用户权限 RCE,无需 UAC |
| `http://127.0.0.1:8765/poc.html?admin=1` | drive-by → 管理员权限,触发一次 UAC |
| `http://127.0.0.1:8765/poc.html?auto=0` | 手动重放按钮 |
标记文件(路径使用的是 host 进程的临时目录,因此适用于任何用户名):
- 用户利用链 → `%TEMP%\user_pwned.txt`(whoami 输出,中等完整性级别 IL)
- 管理员利用链 → `C:\Windows\Temp\admin_pwned.txt`(whoami /priv 显示的管理员 token)
如果页面报告 `host unreachable`,请在
`chrome://extensions/?id=glghokcicpikglmflbbelbgeafpijkkf` 处重新加载扩展,以便 Chrome 重新启动
native messaging 端口。
## 环境配置
为了便于复现,项目中包含了存在漏洞的安装程序和扩展:
- **`Signer.Digital.Browser.Extension.Setup.zip`** — 官方供应商安装程序(包含 MSI、bootstrapper 以及 .NET 8 Desktop Runtime)。请首先安装此项,以便部署 native messaging host 和自动更新程序。
- **`glghokcicpikglmflbbelbgeafpijkkf/5.2.0_0/`** — 存在漏洞的已解压扩展程序(v5.2.0)。在安装 MSI 之后,通过 `chrome://extensions` → *Load unpacked* 加载它。
## 文件列表
```
README.md this
Signer.Digital.Browser.Extension.Setup.zip vendor installer (MSI + bootstrapper + .NET 8 runtime)
glghokcicpikglmflbbelbgeafpijkkf/ vulnerable Chrome extension v5.2.0 (unpacked)
reminder.pdf prebuilt PE/PDF polyglot (evil.dll), no compile needed
build.ps1 compiles admin.exe + evil.dll, embeds UAC manifest inline
poc.html drive-by trigger, auto-fires on load
server.py HTTP on 8765, serves evil.dll under any *.pdf URL
evil.c stage-1 DLL — mode (user/admin) chosen by loaded filename
admin_payload.c admin helper EXE source — whoami /priv, MessageBox, Edge
```
标签:AI合规, CSV导出, PoC, 提权, 数据展示, 暴力破解, 知识库安全, 红队, 编程工具, 自定义脚本, 远程代码执行, 逆向工具