RoguePlanet 是一款针对 Windows Defender 深度集成组件的本地提权(LPE)漏洞利用工具,基于一个未被微软修复的竞态条件(Race Condition)漏洞,允许普通用户无需管理员权限即可获取最高权限的 SYSTEM Shell。它不依赖第三方驱动或内核模块,完全在用户态运行,是红队渗透测试与安全研究者验证 Windows 安全边界的重要 PoC 工具。
核心功能
- 本地提权一键触发:仅需普通用户权限即可执行,成功后直接弹出具有 SYSTEM 权限的命令行 Shell,可完全控制系统
- 适配主流 Windows 版本:已在 Windows 10(含 2026 年 6 月补丁版)和 Windows 11(正式版 + Canary 预览通道)上稳定验证
- 纯用户态利用:不注入内核、不加载驱动、不修改注册表,规避多数 EDR 行为监控,隐蔽性较强
- ISO 挂载触发机制:巧妙利用 Windows Defender 对挂载 ISO 镜像时实时扫描的竞态窗口,实现权限跃迁
- 开源可审计:完整 C++ 源码公开,逻辑清晰,便于安全研究人员复现、分析与教学演示
- MIT 协议授权:允许自由使用、修改与分发,适合集成进渗透测试框架或教学实验环境
适合哪些人用
本工具主要面向:网络安全研究员、红队/渗透测试工程师、CTF 参赛者、高校安全课程教师及学生。它不是面向普通用户的“破解工具”,而是用于技术验证与防御研究的专业级 PoC —— 帮助你理解 Windows Defender 底层机制缺陷、评估本地提权风险、设计更健壮的终端防护策略。请务必在合法授权的测试环境中使用,严禁未经许可对他人系统进行尝试。
快速上手
项目已编译好 Release 版本(RoguePlanet.exe),无需额外依赖:
- 前往 GitHub Releases 页面 下载最新版 Windows 可执行文件
- 以普通用户身份(无需管理员)双击运行
RoguePlanet.exe或通过命令行执行 - 等待数秒(因竞态条件存在不确定性,部分机器需重试 2–3 次);若成功,将自动弹出黑色 CMD 窗口,提示符显示
SYSTEM@HOSTNAME - 此时你已获得完整 SYSTEM 权限,可执行
whoami /priv、net user等命令验证权限等级
⚠️ 注意:该 PoC 在 Windows Server 上默认无法运行(因标准用户无 ISO 挂载权限),但作者明确指出服务器版本同样存在漏洞,仅需调整触发方式即可复现。
项目信息
RoguePlanet Windows Defender Vulnerability
⭐
556
556
Stars
🔀
215
Forks
215
Forks
C++
📄
MIT
MIT
编程语言:C++|GitHub Star 数:556|开源协议:MIT|GitHub 项目地址
如果你正在研究 Windows 本地提权路径、需要一个真实可用的 Defender 漏洞 PoC,或想亲手验证“普通账户也能拿下 SYSTEM”这一关键攻防命题——RoguePlanet 是目前最简洁、最透明、也最具教学价值的开源选择之一。
