对 UAF 漏洞 CVE-2016-0167 的分析和利用

最新推荐文章于 2025-04-28 19:07:00 发布
最新推荐文章于 2025-04-28 19:07:00 发布
阅读量449 收藏
点赞数
文章标签: django python 数据库 决策树 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javagty6778/article/details/129649640
版权

这篇文章将对 Windows 释放后重用(UAF)内核漏洞 CVE-2016-0167 进行一次简单的分析并构造其利用验证代码。该漏洞在 2016 年据报道称被用于攻击支付卡等目标的数据,并和之前分析的 CVE-2016-0165 在同一个补丁程序中被微软修复。针对该漏洞的分析和测试是在 Windows 7 x86 SP1 基础环境的虚拟机中进行的。

文章链接:xiaodaozhi.com/exploit/135…

该漏洞是弹出菜单 tagPOPUPMENU 对象的释放后重用漏洞,虽然是两年前的“老漏洞”,但由于触发条件特殊,需要同步和异步的消息请求相互配合才能最终实现满足漏洞利用条件的目标弹出菜单对象,所以当前对于学习和研究 win32k 内核漏洞利用来说,该漏洞还是有一定的研究价值。

0x0 前言

这篇文章分析了发生在窗口管理器(User)子系统的菜单管理组件中的 CVE-2016-0167 释放后重用(UAF)漏洞。在内核函数 xxxMNDestroyHandler 调用 xxxSendMessage 向目标弹出菜单对象关联的通知窗口对象发送 WM_UNINITMENUPOPUP 消息期间,执行流存在发生用户回调的可能性;在发送消息的函数调用返回后,函数 xxxMNDestroyHandler 没有重新验证目标弹出菜单对象内存的有效性而继续对其进行访问。

如果用户进程在特殊时机触发菜单取消的操作使作为利用目标的弹出菜单对象的成员标志位 fDelayedFree 被取消置位,并在特定时机调用函数销毁该弹出菜单对象关联的菜单窗口对象,执行流在内核中执行函数 xxxMNDestroyHandler 时发送 WM_UNINITMENUPOPUP 消息期间回调到用户进程中,用户进程对同一菜单窗口对象再次执行销毁操作,在内核中使执行流针对相同的目标弹出菜单对象重复进入函数 xxxMNDestroyHandler 中,并在第二次调用期间销毁目标弹出菜单对象;当执行流回到第一次调用的函数中时,目标弹出菜单对象已被销毁,但函数将在缺少必要的验证的情况下直接对目标弹出菜单对象的成员域进行访问甚至执行重复释放的操作,这将导致 UAF 漏洞的发生。

在触发销毁目标菜单窗口对象之后,用户进程中的利用代码通过巧妙的内存布局,使系统重新分配相同大小的内存区域以占用先前释放的弹出菜单对象的内存块,伪造新的弹出菜单对象并构造相关成员域。借助代码逻辑,实现对特定窗口对象的成员标志位 bServerSideWindowProc 的修改,使系统能够在内核中直接执行位于用户进程地址空间中的自定义窗口消息处理函数,得以通过内核上下文执行用户进程构造的利用代码,实现内核提权的目的。

0x1 原理

漏洞发生在内核模块 win32k.sys 的函数 xxxMNDestroyHandler 中,该函数用于在销毁指定的菜单窗口对象期间执行销毁其关联的弹出菜单 tagPOPUPMENU 对象的任务,目标弹出菜单对象的指针通过参数 popupMenu 传入。

弹出菜单 tagPOPUPMENU 结构体定义如下:

kd> dt win32k!tagPOPUPMENU +0x000 flags: Int4B +0x004 spwndNotify: Ptr32 tagWND +0x008 spwndPopupMenu : Ptr32 tagWND +0x00c spwndNextPopup : Ptr32 tagWND +0x010 spwndPrevPopup : Ptr32 tagWND +0x014 spmenu : Ptr32 tagMENU +0x018 spmenuAlternate: Ptr32 tagMENU +0x01c spwndActivePopup : Ptr32 tagWND +0x020 ppopupmenuRoot : Ptr32 tagPOPUPMENU +0x024 ppmDelayedFree : Ptr32 tagPOPUPMENU +0x028 posSelectedItem: Uint4B +0x02c posDropped : Uint4B

弹出菜单 tagMENUSTATE 结构体的定义

在函数中存在向目标弹出菜单对象的成员域 spwndNotify 指向的通知窗口对象发送 WM_UNINITMENUPOPUP 消息的调用语句:

if ( *(_DWORD *)popupMenu & 0x200000 )// fSendUninit
{spwndNotify = popupMenu->spwndNotify;if ( spwndNotify ){ptl = gptiCurrent->ptl;gptiCurrent->ptl = (_TL *)&ptl;pwndTarg = spwndNotify;++spwndNotify->head.cLockObj;pmenu = popupMenu->spmenu;if ( pmenu )hmenu = p->head.h;xxxSendMessage(popupMenu->spwndNotify,0x125,// WM_UNINITMENUPOPUP(WPARAM)hmenu,(LPARAM)(((*(_DWORD *)popupMenu >> 2) & 1) << 13) << 16);ThreadUnlock1();}
}

函数 xxxMNDestroyHandler 存在发送消息的调用

其中,作为判断依据的成员标志位 fSendUninit 早在目标弹出菜单对象初始化期间默认被置位;而通知窗口对象成员域 spwndNotify 也会在初始化期间被赋值为作为菜单拥有者的窗口对象的地址。这将导致函数 xxxMNDestroyHandler 的执行流存在回调到用户进程上下文的可能性。

接下来函数通过对目标弹出菜单对象成员标志位 fDelayedFree 进行判断,以决定是否立即为目标弹出菜单对象调用 MNFreePopup 执行具体的释放操作。函数 MNFreePopup 调用 HMAssignmentUnlock 等函数解除 spwndPopupMenu 等各个对象成员域的赋值锁。在执行相应的预处理之后,函数调用 ExFreePoolWithTag 释放传入的弹出菜单 tagPOPUPMENU 对象缓冲区。

由于在前面函数 xxxMNDestroyHandler 发送 WM_UNINITMENUPOPUP 消息期间执行流可能回调到用户进程中,因此,攻击者可以在用户进程中触发逻辑使目标弹出菜单 tagPOPUPMENU 对象的内存被释放或重新分配,这将导致目标参数 popupMenu 指向内存区域中存在不可控的数据。如果攻击代码对在原位置重新分配的内存块中的数据进行刻意构造,那么在对某个保存特殊对象地址的对象成员域进行解锁时,将使内核上下文的执行流可能直接进入位于用户进程地址空间的利用代码函数中。

0x2 追踪

函数 xxxMNDestroyHandler 是用于在销毁指定的菜单窗口对象期间执行销毁其关联的弹出菜单 tagPOPUPMENU 对象任务的函数,仅在菜单窗口对象指定的消息处理函数 xxxMenuWindowProc 处理 WM_FINALDESTROY 消息时调用。

xxxMNDestroyHandler

该函数接收通过参数 tagPOPUPMENU *popupMenu 传入的弹出菜单对象作为目标对象。在函数开始位置,判断目标弹出菜单成员域 spwndNextPopup 是否指向真实的子菜单窗口对象,如是则表明当前菜单存在已弹出的子菜单。因此函数向成员域 spwndPopupMenu 指向的当前菜单窗口对象(如果为空则向子菜单窗口对象)发送 MN_CLOSEHIERARCHY 以关闭当前菜单的子菜单。该消息最终在 xxxMenuWindowProc 函数中接收并对目标窗口对象关联的弹出菜单对象调用 xxxMNCloseHierarchy 以处理关闭子菜单的任务。

if ( popupMenu->spwndNextPopup )
{pwnd = popupMenu->spwndPopupMenu;if ( !pwnd )pwnd = popupMenu->spwndNextPopup;ptl = gptiCurrent->ptl;gptiCurrent->ptl = (_TL *)&ptl;++pwnd->head.cLockObj;xxxSendMessage(pwnd, 0x1E4, 0, 0); // xxxMNCloseHierarchyThreadUnlock1();
}

函数 xxxMNDestroyHandler 的代码片段

接着函数判断目标弹出菜单对象的成员标志位 fSendUninit 是否处于置位状态。该标志位决定在弹出菜单对象销毁之后系统是否应向接收通知的窗口对象发送 WM_UNINITMENUPOPUP 消息。在根弹出菜单对象或子弹出菜单对象初始化期间,系统通常在函数 xxxTrackPopupMenuExxxxMNOpenHierarchy 中置位该标志位。

如果成员标志位 fSendUninit 处于置位状态,那么函数向成员域 spwndNotify 指向的用于接收通知的窗口对象发送 WM_UNINITMENUPOPUP(0x125) 消息,以使拥有者窗口能在第一时间清理与将被销毁的弹出菜单相关的数据。

if ( *(_DWORD *)popupMenu & 0x200000 )// fSendUninit
{spwndNotify = popupMenu->spwndNotify;if ( spwndNotify ){ptl = gptiCurrent->ptl;gptiCurrent->ptl = (_TL *)&ptl;pwndTarg = spwndNotify;++spwndNotify->head.cLockObj;pmenu = popupMenu->spmenu;if ( pmenu )hmenu = (tagMENU *)p->head.h;xxxSendMessage(
最低0.47元/天 解锁文章
哈喽沃德er
关注
UAF 漏洞 CVE-2015-2546 的分析利用
javagty6778的博客
03-19 347
这篇文章分析了发生在窗口管理器(User)子系统的菜单管理组件中的 CVE-2015-2546 UAF(释放后重用)漏洞。在内核函数调用向目标菜单窗口对象发送消息期间,执行流存在发生用户回调的可能性;在发送消息的函数调用返回后,函数没有重新获取目标菜单窗口对象所关联的弹出菜单对象的地址,而直接使用在发送消息之前就存储在寄存器ebx中的弹出菜单对象地址,将该对象地址作为参数传递给函数调用,并在该函数中对目标弹出菜单对象进行访问。
linux 内核漏洞,Linux内核漏洞CVE-2016-0728的分析利用
weixin_42183486的博客
04-29 1818
介绍Perception Point研究团队已经在Linux操作系统的内核中发现了一个0 day漏洞,这是一个本地提权漏洞。这个漏洞从2012年开始就存在于Linux的内核中了,但是我们的团队最近才发现了这个漏洞,并将漏洞的详细信息报告给了内核安全团队。在此之后,我们还发布了一个针对此漏洞的概念验证利用实例。截止至漏洞披露的那一天,这个漏洞已经影响了大约数千万的安装了Linux操作系统的个人计算机...
CVE-2016-0167分析
qq_41252520的博客
08-12 864
文章目录CVE-2016-01670x1 前言0x2 漏洞描述0x3 影响版本0x4 评级0x5 漏洞分析■ xxxMNDestroyHandler逆向分析■ MNFreePopup逆向分析■ HMAssignmentUnlock逆向分析■ MNFlushDestroyedPopups■ xxxMNDestroyHandler简要执行流程图■ xxxTrackPopupMenuEx逆向分析■ xxxMNLoop逆向分析■ 一条通往xxxMNDestroyHandler的路径分析0x6 漏洞利用漏洞触发■
新版师傅银行木马出来了 这次主要是更新了漏洞利用方式CVE-2016-0167
weixin_34216036的博客
09-01 252
师傅银行木马是一款Windows恶意程序,在2015 年首次发现。师傅基于Shiz源代码构建,使用了Zeus所使用的技术。攻击者使用师傅在全球各网上银行网站窃取证书凭据,最早在俄罗斯,后来日本、英国、意大利其他国家也发现了它的身影。 Arbor Unit 42研究发现,师傅作者已经在2016 年更新了这个银行木马恶意软件。师傅银行木马现...
【信息安全服务】FireEye 红队工具被盗事件-已公开的漏洞列表(持续更新)
全网唯一认证 | 信息安全圈 | 知识星球 | 网安社区 | 共筑网安长城
12-15 977
1.事件回顾 2020年12月8日,安全公司FireEye发布博客表示,其内部网络遭到某高级组织攻击,FireEye红队工具箱遭窃取。 据FireEye称,此次被盗的红队工具主要用来为其客户提供基本的渗透测试服务,其中并不包含 0day 漏洞利用未公开技术。所涉及工具包含开源工具、开源工具的二次开发版本以及部分自研武器化工具。从工具用途看基本覆盖了包括持久化、权限提升、防御绕过、凭证获取、域内信息收集、横向移动等攻击生命周期的各个阶段。其中部分工具此前已被发布到社区开源虚...
探索与利用:Linux内核VMA-UAF漏洞CVE-2018-17182
gitblog_00066的博客
06-19 396
探索与利用:Linux内核VMA-UAF漏洞CVE-2018-17182 去发现同类优质开源项目:https://gitcode.com/ 项目简介 CVE-2018-17182是一个影响Linux内核的关键安全漏洞,由Google Project Zero的安全研究人员发现并公布。这个漏洞存在于内核版本3.16至4.18.8之间,允许非特权用户通过特定条件提升权限,获取系统的root访问权限。...
[漏洞分析] CVE-2022-32250 netfilter UAF内核提权
热门推荐
Breeze的博客
10-24 1万+
分析CVE-2022-32250 漏洞触发原理以及利用技巧
CVE-2018-17182:Linux内核VMA-UAF提权突破(CVE-2018-17182),0天
03-20
Linux内核VMA-UAF提权突破(CVE-2018-17182) 关于 Google Project Zero的网络安全研究人员发布了详细信息,并针对自内核版本3.16至4.18.8以来Linux内核中存在的高严重性漏洞的概念验证(PoC)漏洞利用。 由白帽...
CVE-2012-4969漏洞分析
02-29
UAF漏洞是指攻击者通过特定手段在某个对象被释放后再次进行访问,这可能会导致内存损坏或者恶意代码的执行。在CVE-2012-4969中,问题出现在IE浏览器的mshtml.dll库文件中的CMshtmlEd::Exec函数。 这个漏洞使得远程...
Django 缓存框架
深圳市多克创新科技有限公司
04-28 626
动态网站的一个基本权衡是它们是动态的。每当用户请求页面时,Web 服务器进行各种计算,从数据库查询到模板渲染到业务逻辑,以创建您网站访问者看到的页面。从处理开销的角度来看,这比标准的从文件系统中读取文件的服务器安排要昂贵得多。对于大多数 Web 应用程序,这种开销并不是什么大问题。大多数 Web 应用程序不像或那样大型,它们是小到中等规模的站点,流量一般。但对于中等到高流量的站点来说,尽量减少开销是非常重要的。这就是缓存的用武之地。缓存是指保存昂贵计算的结果,以便下次无需再次执行计算。
Django之旅:第七节--模版继承
偷得浮生半日闲
04-25 394
Django模板继承
django admin.E035 处理办法
最新发布
计算机辅助工程
04-28 362
Django 的管理界面(admin)中,如果你遇到了错误 E035,这通常指的是一个问题与模型(Model)的定义或注册有关。如果你不需要指定特定的字段显示顺序,你可以省略 fields 属性,让 Django 使用默认的字段显示顺序。在 Django 的 admin 配置中,当你为模型定义一个 ModelAdmin 类并使用 fields 属性来指定在 admin 界面中显示的字段时,不应该将其设置为 None。确保你的数据库迁移是最新的,并且所有必要的迁移都已经应用。
django admin 中更新表数据 之后再将数据返回管理界面
计算机辅助工程
04-27 456
Django中,更新数据库中的数据并将其重新显示在Django Admin界面上通常涉及到几个步骤。这里我将详细说明如何在Django Admin中更新表数据,并确保更新后的数据能够立即在管理界面上显示。如果你在Admin类中重写了get_queryset方法,确保在更新数据后调用self.model._default_manager.all()或者在视图函数中重新获取查询集。或者,如果你使用的是局部缓存(如只在视图函数中使用),确保在更新数据后清除相应的缓存项。方法2: 强制刷新页面。
基于Django的个性化股票交易管理系统
小宝的博客
04-25 1430
本项目基于Python3.6、Django2.1、MySql8.0(最好不要使用5.6,字符集等方面均不兼容,否则导入数据库会出错)与股票信息工具包TuShare实现。创建或激活对应Python开发环境这里使用了conda来管理环境,强烈推荐,避免不同环境包干扰、依赖的问题。(Webdev)$
django admin 去掉新增 删除
计算机辅助工程
04-27 434
如果你想隐藏“新增”“删除”按钮,可以通过重写change_list_template或使用ModelAdmin的has_add_permissionhas_delete_permission属性来实现。如果你想要更灵活地控制权限,可以在视图的装饰器中控制,但这通常不推荐用于控制Django Admin的UI元素。你可以在ModelAdmin类中设置has_add_permissionhas_delete_permission属性为False来禁用新增删除功能。
django admin 设置字段不可编辑
计算机辅助工程
04-27 317
Django中,如果你想让管理员在后台管理界面中无法编辑某个字段,你可以通过在模型的Meta类中设置editable属性为False,或者在admin.py文件中使用readonly_fields属性来实现。如果你不希望在模型级别禁用编辑,而是想在特定的admin界面中禁用某些字段的编辑,你可以在admin类中使用readonly_fields属性。你可以在模型的Meta类中设置editable属性为False,这样在Django的后台管理界面中,这个字段就不会被显示为可编辑的。
Django的异步任务队列管理_Celery
谢彦的技术博客
04-28 418
Celery 是一个异步任务队列,能够将耗时操作(如发邮件、处理图片、网络爬虫等)从 Django 主线程中分离出来,由后台的 worker 处理,避免阻塞请求。Celery 作为独立运行的后台进程(Worker),持续监听消息队列(Broker),接收并处理任务,而 Django 主线程用于发布任务。Django Celery 通过消息中间件(Broker)进行通信,最常用的选择是 Redis 或 RabbitMQ,因为它们速度快且稳定。注意:由于 memory 维护不佳,建议直接使用 Redis。
django admin AttributeError: ‘UserResorce‘ object has no attribute ‘ID‘
计算机辅助工程
04-27 422
检查你的自定义资源类:如果你在使用 Django Rest Framework 或类似的库来序列化数据,确保你的序列化器或资源类中的字段名称正确。在视图或表单中使用:如果你在视图或表单中引用了 ID,确保使用正确的属性名。自定义模型属性名:如果你在使用自定义的模型,比如扩展了 Django 的 User 模型,确保你在模型定义中正确地命名了你的 ID 字段。检查数据库迁移:确保你的数据库迁移是最新的,并且所有的模型更改都已经被正确应用。通常来说,不需要重命名 id 字段,除非你有特别的理由需要这样做。
django.db.models.query_utils.DeferredAttribute object
计算机辅助工程
04-27 428
为了解决这个问题,你可以在访问延迟加载的字段之前,先调用 .select_related() 或 .prefetch_related() 来确保相关字段已经被加载,或者使用 _state.fields_cache 直接访问字段(尽管这不是推荐的做法,因为它绕过了 Django 的 ORM 安全机制)。当你使用 only() 或 defer() 后,尝试访问被延迟加载的字段时,Django 会抛出一个异常。使用 defer() 时要小心,确保在需要访问延迟加载的字段时,已经采取了措施来确保这些字段被加载。
CVE-2016-6187: Linux内核堆溢出漏洞利用分析
本篇文章主要探讨的是针对Linux内核的漏洞 CVE-2016-6187,也被称为堆大小差一错误的利用。这个漏洞发生在对内存分配管理的过程中,涉及到对数组边界处理的不当,导致了内存越界访问。作者通过一个实例来解释,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值