torine517/cowork-svc-privesc

GitHub: torine517/cowork-svc-privesc

针对 Claude Desktop 后台服务 cowork-svc.exe 的本地权限提升漏洞 PoC,通过 DLL 注入绕过签名验证并利用 UNC 路径处理缺陷实现 SYSTEM 权限下的任意文件访问。

Stars: 0 | Forks: 0

# cowork-svc-privesc Claude Cowork 的本地权限提升漏洞 ## 介绍 Claude Desktop 会持续在后台运行一个名为 ```cowork-svc.exe``` 的服务,权限级别为 ```NT AUTHORITY\SYSTEM```。无论是否安装了 Claude Cowork,或者 Claude Desktop 当前是否正在运行,该服务都会运行,并负责用于 Cowork 的虚拟机的配置和管理。 为了提供 ```claude.exe``` 和 ```cowork-svc.exe``` 之间的进程间通信,使用了一个名为 ```\\.\pipe\cowork-vm-service``` 的命名管道。任何用户都可以访问此命名管道。 为了防止未经授权的应用程序访问此命名管道,程序会调用 Windows API 函数 ```GetNamedPipeClientProcessId```,并判断客户端进程是否已由 Anthropic 签名。 为了绕过这一限制,官方的 ```claude.exe``` 会被以挂起模式启动,随后被注入一个 DLL,导致该 API 调用将官方二进制文件显示为客户端。 ## NetworkDrives 在虚拟机的配置过程中,可以通过命名管道传递一个 ```NetworkDrives``` 对象。当传递外部的 UNC 路径时,会使用 ```ImpersonateLoggedOnUser```。 但是,当传递本地系统路径(例如 ```\\127.0.0.1\C$```)时,```cowork-svc.exe```(以 ```NT AUTHORITY\SYSTEM``` 身份运行)会直接挂载该驱动器,而不模拟任何用户。这导致该驱动器在虚拟机内以 ```FILE_ALL_ACCESS | ACCESS_SYSTEM_SECURITY``` 权限被挂载。 ## 注意事项 在重新构建此漏洞利用时,攻击者必须在其 ```%AppData%\Claude\vm_bundles\claudevm.bundle``` 目录中拥有以下可用文件: - vmlinuz - initrd - rootfs.vhdx - smol-bin.vhdx(包含 sdk-daemon 文件以及在虚拟机内运行的其他可执行文件) - sessiondata.vhdx 这些文件默认都包含在官方的 Cowork bundle 中。还需要注意的是,```cowork-svc.exe``` 并不像 ```claude.exe``` 那样验证这些虚拟机文件的真实性/完整性,因此用户可以修改底层文件系统以获取 root 访问权限。 每个网络驱动器都作为 Plan9 共享挂载。 ```cowork-svc.exe``` 服务将活动日志记录到 ```C:\ProgramData\Claude\Logs\cowork-service.log``` 中。成功重新构建漏洞可能会在该日志中显示以下内容: ``` [Server] Adding network-drive share Q (unc len=14) [VM] Plan9 share added: q -> (port=9916, readOnly=false) ``` 如果在重新构建期间出现问题,禁用正在运行的 ```'cowork-svc.exe``` 并通过 ```cmd.exe``` 运行它可以启用调试模式,这将禁用进程证书验证,从而可以使用 Python 调试脚本。```cowork-svc.exe``` 文件通常位于 ```claude.exe``` 安装目录的 ```resources/``` 目录中。 ## 重新构建 1. 编译 DLL 和注入器,并将它们放入同一目录中 2. 将 ```claude.exe``` 二进制文件复制到同一目录中 3. 确保 ```%AppData%\Claude\vm_bundles\claudevm.bundle``` 中有一个有效的 ```claudevm.bundle``` 4. 运行注入器 5. 以 root 权限获取对虚拟机的访问权限(使用 claude-ssh,在第 3 步之前修改 ```claudevm.bundle``` 文件系统等) 6. 如果成功,网络驱动器应挂载到 ```/mnt/.virtiofs-root/``` 或类似位置
标签:SSH蜜罐, UML, Web报告查看器, 协议分析, 安全漏洞, 权限提升, 端点可见性, 进程注入, 逆向工具