绕过 Windows 锁定屏幕

它允许使用轻松访问功能绕过锁屏。

查看 CVE-2020-1398，该错误存在于粘滞键弹出窗口中 

通过单击该链接，将在后台生成一个设置实例。然后你就可以绕过锁屏了。Microsoft 已通过删除链接来修补该问题，因为它在锁屏环境中生成时不再出现。

并且要清楚这个错误及其后代需要一个条件。在 Windows 10 计算机上，至少一个用户必须将 Microsoft 帐户链接到他的本地帐户。否则，该错误是不可利用的。

现在，我将尝试为你们人类做一个简短的解释。因为如果我展示了视频 PoC，你会很困惑。

正如您在上面看到的，如果您有权访问您的 Microsoft 帐户，Windows 可以允许您重置密码/pin。如果您点击“我忘记了我的 PIN”，您将被重定向到这样的页面

我注意到在输入错误密码时会出现一种奇怪的行为，电子邮件地址旁边会出现一个小箭头。

这种行为出于某种未知原因而存在，也许是一个错误？特征 ？可能是一个错误。（显然它是补丁后的一个功能）

单击那里会将我们带到另一个页面。正如我们所见，我们可以使用另一个电子邮件地址登录，甚至可以创建一个新帐户。

我尝试创建一个新帐户，用它登录但失败了，因为该帐户不属于我们尝试重置其密码的帐户。

然而，就在那里的这个小按钮引起了我的注意，嗯，这很有趣

点击它，我们会看到另一个弹出对话框，上面有一个链接。

嗯很有趣，一个链接？在锁屏？奇怪的权利。像往常一样，我们会点击它，看看会发生什么……点击它绝对没有任何作用，但也许在后台产生了一些东西，我们看不到它，正如乔纳斯在他的锁屏绕过中描述的那样，他曾经启用叙述者为了在后台应用程序中导航。我启用了旁白并得到了一些非常有趣的结果。

启用并单击按钮后，您可以听到讲述人说“您想如何打开它”，并且讲述人的注意力集中在 Microsoft 帐户窗口中没有的其他内容上。我们生成了一个“打开方式”窗口，背景中叙述者的注意力集中在它上面；通常，“打开方式”窗口如下所示

但只有两个选项，第一个是 MS Edge，第二个是 Internet Explorer，我们将使用 MS Edge 进行挖掘，因为默认情况下它是选中的，请注意，您可能会在使用箭头键导航时保持 大写锁定。 测试后，只要我们选择确定，我们就会失去叙述者的焦点，我们不再能够控制背景窗口。

只要我们重复上述步骤，我们就可以再次拥有叙述者的焦点，我们将再次拥有叙述者的焦点。但是这次我们将在MS Edge浏览器上拥有它，此时我们需要提升我们的权限，我能想到的执行任意命令的唯一方法是生成一个设置实例。这可以通过生成另一个新的 InPrivate 窗口来完成，（请注意：您将无法看到其中任何一个，并且事情将完全不可见，您必须用耳朵听解说员说的话并用它来导航） ;

然后你可能需要继续“更多细节”

这会将我们重定向到另一个页面，继续导航直到到达“Windows 诊断数据设置”，然后使用讲述人导航打开并再次单击 Enter

在设置中导航到“主页”并按 Enter

然后导航到“设备”

导航到自动播放->选择自动播放默认值->”打开文件夹以查看文件（文件资源管理器）

此时，您可能需要将 USB 设备插入设备。一旦插入的叙述者将注意力集中在文件浏览器上，现在您就可以在 USB 中执行任何操作。 为了验证我们的发现，我制作了一个简单的批处理脚本来验证我们的发现

mkdir c:\poc whoami /all > c:\poc\whoami.log

执行后，我们可以观察到成功

提升权限很容易，因为我们被标记为“NT AUTHORITY\Authenticated Users”，因为大多数 EoP 都可以从这些权限访问。

PoC - https://youtu.be/9rXXfWN0h6A