最近学习了一下CVE-2023-21752这个漏洞，分享一些看到的相关的帖子，并记录下自己学习时遇到的疑惑的点
首先是zoemurmure大佬的分析文章，写的很详细了
https://www.zoemurmure.top/posts/cve_2023_21752_1/

Windows的文件DACL（禁止访问控制列表）是一种权限设置，允许或禁止用户或用户组对特定文件或文件夹进行访问、修改、执行或删除等操作。DACL是Windows的安全模型的一部分，是一种定义文件或文件夹访问权限的方式。它可以控制特定用户或用户组对文件或文件夹的访问权限，以此保证文件或文件夹的安全性和私密性。
Windows Installer Service是Windows操作系统的组件之一，它允许安装、修改或卸载应用程序。在安装或卸载某些应用程序时，Windows Installer Service可能创建一个名为C:\Config.Msi的文件夹，其中包含一些与安装和卸载过程有关的信息。

在C:\Config.Msi目录下，Windows Installer Service可能会创建以下类型的文件：

.rbs文件：回滚脚本文件（Rollback Script File，.rbs文件）记录了在安装过程中需要撤消的更改列表。如果安装出现错误，.rbs文件将允许Windows Installer Service自动回滚安装。

.rbf文件：回滚文件（Rollback File，.rbf文件）记录在安装过程中所做的更改的详细信息。这些信息包括更改的名称、位置、时间戳等。如果需要回滚安装，则Windows Installer Service使用这些文件来还原系统的状态。

关于如何从Windows任意文件删除到权限提升的文章
https://www.zerodayinitiative.com/blog/2022/3/16/abusing-arbitrary-file-deletes-to-escalate-privilege-and-other-great-tricks
https://offsec.almond.consulting/intro-to-file-operation-abuse-on-Windows.html

关于符号链接的文章
https://nixhacker.com/understanding-and-exploiting-symbolic-link-in-windows/

项目
https://github.com/googleprojectzero/symboliclink-testing-tools
该项目使用的目录链接，“\RPC Control”，使用该工具时C:\test应为空目录
这也是exp中要移动临时文件到其他目录中的原因（C:\test也不要在被使用中）


借用zoemurmure师傅的图

在win11 22h2中使用此工具创建符号链接会被win Defender杀掉
win10 21H2可以用，具体能用到那个版本没测

安装MSI程序需要管理员权限，exp中带有特制的msi，会触发回滚，这个msi程序不需要管理员权限，可能是没有更改系统注册表等信息的原因？

新建用户随便安装个东西看下Config.msi

借用zoemurmure师傅的图，这里创建删除再创建是Windows Installer Service自己的流程

在CVE-2023-21800中提到了Redirection Guard
https://blog.doyensec.com//2023/03/21/windows-installer.html

2022 年 10 月，Microsoft 在Windows 10 和 Windows 11 上发布了一项名为 Redirection Guard 的新功能。该更新引入了一种名为ProcessRedirectionTrustPolicy的新型缓解措施和相应的PROCESS_MITIGATION_REDIRECTION_TRUST_POLICY 结构。如果为给定进程启用了缓解，则会额外验证所有已处理的连接。验证首先检查文件系统连接是否由非管理员用户创建，如果是，则策略是否阻止遵循它们。如果操作被阻止，0xC00004BC则返回错误。管理员用户创建的联结被明确允许具有更高的信任级别标签。msiexec是少数几个默认强制执行此缓解措施的应用程序之一。
CVE-2023-21752exp中使用了DDD_NO_BROADCAST_SYSTEM 即仅在当前进程中创建符号链接，不影响到msiexec。

新手，如有不对请指正，感谢
不清楚如何构造的Msi_Rollback.msi，希望大佬们指教

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课