该博客详细分析了一个Windows事件跟踪(ETW)机制中的内核use-after-free漏洞,涉及NtTraceControl函数和EtwpUpdatePeriodicCaptureState内核函数。攻击者可以利用此漏洞在特定条件下执行任意代码。文章还介绍了如何通过三次调用来触发漏洞,并展示了POC开发过程,包括EtwpCheckNotificationAccess绕过和内核内存操纵技巧。
漏洞描述
Windows 事件跟踪 (ETW) 机制允许记录内核或应用程序定义的事件以进行调试。 开发人员能够启动和停止事件跟踪会话,检测应用程序以提供跟踪事件,并通过调用 ETW 用户模式 Windows API 集来使用跟踪事件。
最终,这些将导致对内核 (ntoskrnl.exe) 的相应系统调用请求以执行功能。在ETW请求更新周期性捕获状态中,在特定条件下,存在一个use-after-free漏洞,攻击者可以可控地分配一个0x30字节的缓冲区,释放它,然后重用这个缓冲区来执行任意代码。该漏洞于2021年8月末纰漏详情
漏洞详情
使用 NtTraceControl() 函数发送更新定期捕获状态的请求,函数代码为 0x25(EtwFunctionUpdatePeriodicCaptureState) ,则会调用内核态函数EtwpUpdatePeriodicCaptureState。
第一次调用会申请一块TimerContextInfo内核池。
第二次调用该函数在在内部可以通过传入的参数(控制GUID),导致(调用回调函数)释放到掉内核对象TimerContextInfo。
第三次调用该函数将再次访问TimerContextInfo,导致UAF
该漏洞在windows 10低版本中并不存在EtwpUpdatePeriodicCaptureState,本文以windows 10 20H2 x64 系统进行Exploit的开发。
ed2k://|file|cn_windows_10_business_editions_version_20h2_updated_march_2021_x64_dvd_ca61aaaa.iso|6074574848|B6741C4E4B09337471B02DC95E953992|/ 为了感谢广大读者伙伴的支持,准备了以下福利给到大家:
[一>获取<一]
1、200多本网络安全系列电子书(该有的都有了)
2、全套工具包(最全中文版,想用哪个用哪个)
3、100份src源码技术文档(项目学习不停,实践得真知)
4、网络安全基础入门、Linux、web安全、攻防方面的视频(2021最新版)
6、 网络安全学习路线(告别不入流的学习)
7、ctf夺旗赛解析(题目解析实战操作&
最低0.47元/天 解锁文章
扫一扫
2038
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
