【安全漏洞】CVE-2021-1732 win32k漏洞分析

最新推荐文章于 2024-07-12 19:30:00 发布
最新推荐文章于 2024-07-12 19:30:00 发布
阅读量2.8k 收藏 7
点赞数 1
分类专栏: 安全 渗透测试 漏洞 文章标签: 网络安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/123664443
版权
本文深入分析了win32kfull.sys模块中的CVE-2021-1732 Type Confusion漏洞,详细描述了漏洞成因、受影响的Windows版本,以及漏洞利用过程。通过窗口类结构体的cbWndExtra成员,攻击者可能触发越界读写,实现本地权限提升。文章还探讨了漏洞验证的关键点和POC编写思路,包括如何修改tagWND的ExtraFlag并利用win32kfull!xxxConsoleControl函数。
摘要由CSDN通过智能技术生成

漏洞描述

内核模块win32kfull.sys的win32kfull!xxxClientAllocWindowClassExtraBytes函数中存在Type Confusion漏洞,利用此漏洞进行越界读写,最终可实现本地提权

官方通报影响的windows版本:

Windows 10 Version 1803/1809/1909/2004/20h2

Windows Server, version 1909/20H2(Server Core installation)

Windows 10 Version for 32-bit Systems

Windows Server 2019

漏洞分析

分析Windows版本:win10 20h2 19042.508

Type Confusion漏洞存在于win32kfull!xxxCreateWindowEx函数中,函数中漏洞点的伪代码如下:

漏洞是怎么出现的呢?这得从窗口创建说起

【→所有资源关注我,私信回复“资料”获取←】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记

创建一个自定义的窗口前需要注册自定义的窗口类,窗口类的结构体如下:

typedef struct tagWNDCLASSA {
  UINT      style;
  WNDPROC   lpfnWndProc;
  int       cbClsExtra;
  int       cbWndExtra;
  HINSTANCE hInstance;
  HICON     hIcon;
  HCURSOR   hCursor;
  HBRUSH    hbrBackground;
  LPCSTR    lpszMenuName;
  LPCSTR    lpszClassName;
} WNDCLASSA, *PWNDCLASSA, *NPWNDCLASSA, *LPWNDCLASSA;

填写好窗口类的结构体的成员,紧接着就可以调用CreateWindow(EXA/W)创建窗口,R0到R3的执行总体流程如下:

00 fffffe82`32d3f848 fffff467`52aa51a9     win32kfull!xxxCreateWindowEx
01 fffffe82`32d3f850 fffff467`5285519e     win32kfull!NtUserCreateWindowEx+0x679
02 fffffe82`32d3f9f0 fffff802`36e058b5     win32k!NtUserCreateWindowEx+0xc2
03 fffffe82`32d3fa90 00007ffe`d86e1ec4     nt!KiSystemServiceCopyEnd+0x25
04 00000062`2ad9f7d8 00007ffe`d8ca7d8b     win32u!NtUserCreateWindowEx+0x14
05 00000062`2ad9f7e0 00007ffe`d8ca7958     USER32!VerNtUserCreateWindowEx+0x20f
06 00000062`2ad9fb70 00007ffe`d8ca3c92     USER32!CreateWindowInternal+0x1a4
07 00000062`2ad9fcd0 00007ff7`9418144d     USER32!CreateWindowExA+0x82

可以看到创建窗口的时候最终会进入漏洞存在的函数win32kfull!xxxCreateWindowEx,那么怎样才能在win32kfull!xxxCreateWindowEx内调用win32kfull!xxxClientAllocWindowClassExtraBytes(即到达上图中line: 974)呢?

当tagWNDCLASSA类设置cbWndExtra成员(为窗口实例分配的额外的字节大小)不为0时,就会调用到win32kfull!xxxClientAllocWindowClassExtraBytes函数,问题就出在这个函数中

v50是一个tagWND结构体指针,tagWND在win10的版本中相比win7的版本发生了一些变化,tagWND结构体的关键成员如下(图片来源于红雨滴团队),(_QWORD )(((_QWORD *)v50 + 5) + 0x128i64)即为下图的pExtraBytes,在当前正常的执行流程中,赋值为win32kfull!xxxClientAllocWindowClassExtraBytes申请到的堆地址,怎么知道是堆地址呢?且看下文

对函数win32kfull!xxxClientAllocWindowClassExtraBytes进行反编译,得到以下结果:

volatile void *__fastcall xxxClientAllocWindowClassExtraBytes(SIZE_T Length)
{
  SIZE_T v1; // rdi
  int v2; // ebx
  __int64 *v3; // rcx
  volatile void *v4; // rbx
  __int64 CurrentProcessWow64Process; // rax
  unsigned __int64 v7; // [rsp+30h] [rbp-38h] BYREF
  volatile void *v8; // [rsp+38h] [rbp-30h]
  char v9; // [rsp+70h] [rbp+8h] BYREF
  char v10; // [rsp+78h] [rbp+10h] BYREF
  int v11; // [rsp+80h] [rbp+18h] BYREF
  int v12; // [rsp+88h] [rbp+20h] BYREF

  v1 = (unsigned int)Length;
  v7 = 0i64;
  v11 = 0;
  v8 = 0i64;
  v12 = Length;
  if ( gdwInAtomicOperation && (gdwExtraInstrumentations & 1) != 0 )
    KeBugCheckEx(0x160u, gdwInAtomicOperation, 0i64, 0i64, 0i64);
  ReleaseAndReacquirePerObjectLocks::ReleaseAndReacquirePerObjectLocks((ReleaseAndReacquirePerObjectLocks *)&v10);
  LeaveEnterCritProperDisposition::LeaveEnterCritProperDisposition((LeaveEnterCritProperDisposition *)&v9);
  EtwTraceBeginCallback(0x7Bi64);
  v2 = KeUserModeCallback(0x7Bi64, &v12, 4i64, &v7, &v11);
  EtwTraceEndCallback(0x7Bi64);
  LeaveEnterCritProperDisposition::~LeaveEnterCritProperDisposition((LeaveEnterCritProperDisposition *)&v9);
  ReleaseAndReacquirePerObjectLocks::~ReleaseAndReacquirePerObjectLocks((ReleaseAndReacquirePerObjectLocks *)&v10);
  if ( v2 < 0 || v11 != 0x18 )
    return 0i64;
  v3 = (__int64 *)v7;
  if ( v7 + 8 < v7 || v7 + 8 > MmUserProbeAddress )
    v3 = (__int64 *)MmUserProbeAddress;
  v8 = (volatile void *)*v3;
  v4 = v8;
  CurrentProcessWow64Process = PsGetC
最低0.47元/天 解锁文章
IT老涵
关注
专栏目录
【权限提升】 Windows10 本地提权漏洞复现及详细分析(CVE-2021-1732)
做自己喜欢的事,并将其发挥到极致!
12-07 4807
CVE-2021-1732 是蔓灵花(BITTER)APT 组织在某次被披露的攻击行动中使用的 0day 漏洞,该高危漏洞可以在本地将普通用户进程的权限提升至最高的 。属于windows系统级别的二进制漏洞
cve_2021_1732
04-10
cve_2021_1732 2021年2月,Microsoft在win32kfull.sys中发布了一个针对CVE-2021-1732漏洞的修补程序,该漏洞涉及窗口类额外字节的处理。 简要回顾一下win32漏洞利用的历史,在2000年代有一长串公开披露的漏洞,遵循着类似的模式,在Tarjei Mandt关于win32回调的论文中有描述[1]:攻击者使用指向攻击者设计的回调的指针,触发该回调(即通过窗口创建,销毁,消息处理等),然后利用其行为破坏窗口或其他桌面对象的类属性。 从那时起,MS通过更改窗口类结构的cbWndExtra / cbWndExtraSize成员缓解了其中一些情况,并引入了一些关注点分离。 现在,为客户端和服务器窗口额外的字节提供了单独的内存句柄(和关联的大小成员)。 窗口状态标志中的一个位bServerSideWindowProc指示应使用哪个。 但是,此更改引入了
CVE-2021-1732:Windows Win32k提权
Fly_鹏程万里
03-16 509
影响范围 Windows Server, version 20H2 (Server Core Installation) Windows 10 Version 20H2 for ARM64-based Systems Windows 10 Version 20H2 for 32-bit Systems Windows 10 Version 20H2 for x64-based Systems Windows Server, version 2004 (Server Core install...
WIN10开机突然,过一会就自动重启蓝屏DRIVER_IRQL_NOT_LESS_OR_EQUAL
最新发布
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
07-12 1090
Win10 专业版DELL7080。
CVE-2021-1732_Windows本地提权漏洞
weixin_45715461的博客
06-30 2576
CVE-2021-1732_Windows本地提权漏洞
【POC公开】CVE-2021-1732: Microsoft Windows本地提权漏洞通告
爱国小白帽
03-10 2296
报告编号:B6-2021-031002 报告来源:360CERT 报告作者:360CERT 更新日期:2021-03-10 0x01漏洞简述 2021年03月10日,360CERT监测发现CVE-2021-1732漏洞细节与POC已经公开,漏洞等级:高危,漏洞评分:7.8。 成功利用该漏洞的Windows本地攻击者可以提升到system权限。 该漏洞poc已经公开 对此,360CERT建议广大用户及时更新Winodws补丁。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。 0x02风险等级 360.
[CVE-2021-1732] win32k内核提权漏洞分析
further_eye的博客
04-23 1077
CVE-2021-1732是今年二月份被披露的蔓灵花(BITTER)APT组织在某次攻击行动中使用的0Day漏洞【1】【2】【3】。该漏洞利用Windows操作系统win32k内核模块一处用户态回调机会,破坏函数正常执行流程,造成窗口对象扩展数据的属性设置错误,最终导致内核空间的内存越界读写。当受影响版本的Windows操作系统用户执行攻击者构造的利用样本时,将会触发该漏洞,造成本地权限提升【4】。 1. 漏洞原理分析 CVE-2021-1732漏洞形成的根本原因是: Windows窗口创建(C.
CVE-2021-1732 Win32kfull内核提权漏洞复现
m0_56642842的博客
07-05 413
0x00 简介 安恒威胁情报中心在2020年12月中旬发现的蔓灵花(BITTER)组织的攻击组件的分析过程中发现其利用了win32kfull模块的一个0day漏洞,该漏洞是在 win32kfull.sys 中的可以实现内核提权的漏洞,该漏洞利用Windows操作系统win32k内核模块一处用户态回调机会,破坏函数正常执行流程,造成窗口对象扩展数据的属性设置错误,最终导致内核空间的内存越界读写。 0x01 漏洞概述 该漏洞的根本原因是Windows窗口创建(CreateWindowEx)过程中,在 Windo
CVE2021­-1732 Microsoft Windows10 本地提权漏洞复现
ST0new的博客
03-17 1577
CVE2021­-1732 Microsoft Windows10 本地提权漏洞复现 声明 本文仅供学习参考,请勿用作违法用途,否则后果自负 漏洞概要 漏洞名称: CVE2021­-1732 Microsoft Windows10 本地提权漏洞 漏洞类型: 本地权限提升 漏洞危害: 高 漏洞简介: Microsoft Microsof Windows Win32k是美国微软(Microsoft)公司的一个操作系统。提供一个多任务的图形用户界面。 受影响得版本及应用版本 Windows Server,
CVE-2013-3660-分析改进1
08-03
本文主要探讨的是Microsoft Windows系统中一个名为CVE-2013-3660的安全漏洞,该漏洞源于win32k.sys模块,可能导致本地权限提升。这个漏洞是由Google安全团队的Tavis Ormandy在对win32.sys进行内存压力测试时发现的,...
CVE-2021-1732研究及Exploit开发.pdf
03-30
CVE-2021-1732研究及Exploit开发,详细讲述了CVE-2021-1732漏洞原理以及POC开发和Exploit开发,以及最终的Exp代码。来源于看雪某位大佬
CVE-2021-1732-Exploit:CVE-2021-1732漏洞利用
03-06
CVE-2021-1732-Exploit CVE-2021-1732漏洞利用 仅在Windows10 1909 x64上测试
CVE-2021-26882:PoC
03-12
CVE-2021-26882 远程访问API特权漏洞PoC 步骤1: 双击crash.pbk。 第2步: 触发崩溃。
CVE-2021-1732 分析
qq_41252520的博客
08-03 1217
文章目录CVE-2021-17320x0 漏洞描述0x1 受影响版本0x2 漏洞分析■ 环境■ 分析■ NtUserConsoleControl逆向分析■ xxxSetWindowLong逆向分析■ xxxSetWindowLongPtr逆向分析■ CreateWindowEx生成HWND分析■ CreateMenu逆向分析■ xxxGetMenuBarInfo逆向分析■ Win10 1909泄露内核■ 归纳几个重要的结构体及其偏移0x3 漏洞利用1.获取需要用到的函数地址2.HOOK目标函数3.精心构造3
CVE-2021­-1732 windows 10本地提权漏洞复现
afei001
04-01 458
目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞原理 5.漏洞复现 5.1 Visual Studio生成exe 5.2 g++编译.cpp生成exe 5.3 exploit利用 6.漏洞修复 1.漏洞概述 早在2020年12月中旬,安恒威胁情报中心猎影实验室发布了《蔓灵花(BITTER)组织近期针对我国政府部门、科研机构发起攻击》,并且文中已经给出并分析了该组织攻击的一些组件。在后续的跟进分析中又发现了一个全新的组件,经过分析发现该组件利用了一个未知的W...
漏洞复现 CVE-2021-1732——Windows本地提权漏洞(附poc)
gjgj的博客
04-29 7467
1、漏洞简述 CVE-2021-1732: 权限提升 漏洞发生在Windows图形驱动win32kfull!NtUserCreateWindowEx函数中,该函数存在一处内核回调用户态分配内存与tagWND->flag属性设置不同。 成功利用该漏洞的Windows本地攻击者可以提升到system权限。 2021年03月10日,CVE-2021-1732漏洞细节与POC已经公开。 2、风险等级 漏洞等级:高危,漏洞评分:7.8 评定方式 等级 .
Windows本地提权漏洞(CVE-2021-1732)复现
weixin_47531489的博客
07-20 2204
1 简介 2021年2月10日,微软每月的例行补丁包中修复了一个Windows系统本地提权漏洞,本地攻击者可以利用此漏洞提升到system权限,据称此漏洞被用于定向攻击活动。 2 漏洞概述 该漏洞由函数win32kfull!xxxCreateWi ndowEx 对应用层回调返回数据校验不严导致,本地用户执行漏洞利用程序获取系统权限。 漏洞等级:高危,漏洞评分:7.8。 3 影响范围 Windows Server, version 20H2 (Server Core Installation)
F5 BIG-IP IQ 2021漏洞CVE-2021-22986:远程代码执行风险
CVE-2021-22986是一个针对F5 BIG-IP设备及其附属产品BIG-IP IQ(Intelligence Query)的安全漏洞。该漏洞允许攻击者通过不安全的API调用,进行远程代码执行,威胁到网络基础设施的完整性与安全性。受影响的产品版本...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值