腾讯QQ/TIM本地特权提升(CVE-2023-34312)

最新推荐文章于 2024-06-20 18:40:54 发布
最新推荐文章于 2024-06-20 18:40:54 发布
阅读量338 收藏 3
点赞数 5
文章标签: stm32 嵌入式硬件 单片机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60894143/article/details/139560058
版权

受影响的产品:

QQ 9.7.1.28940 ~ 9.7.8.29039
TIM 3.4.5.22071 ~ 3.4.7.22084


受影响的组件:

QQProtect.exe 4.5.0.9424(在 TIM 3.4.5.22071 中)
QQ权限.exe 4.5.0.9426(QQ 9.7.1.28940 中)
QQProtectEngine.dll 4.5.0.9424(在 TIM 3.4.5.22071 中)
QQ引擎.dll 4.5.0.9426(QQ 9.7.1.28940中)

⼀、总结
腾讯QQ和TIM是深圳市腾讯计算机系统有限公司开发的两款即时通讯软件。它们都有⼀个组件QQProtect.exe,位
于 %ProgramFiles(x86)%\Common Files\Tencent\QQProtect\bin . QQProtect.exe作为名为**QPCore的
Windows 服务安装,并 NT Authority\SYSTEM 在系统启动时⾃动运⾏。组件QQProtect.exe及其依赖的DLL
QQProtectEngine.dll均存在任意地址写⼊漏洞。低权限攻击者可以结合这两个漏洞在QQProtect.exe进程中加载恶
意DLL并获取 NT Authority\SYSTEM shell。

2. 漏洞
第⼀个漏洞是QQProtect.exe+0x40c9f8处的代码:
其中 a2 是⼀个可以被攻击者控制的指针, dword_41a740 是⼀个全局变量,其值为 0x00000001 。因此攻击者可
以在任何地址写⼊该值 DWORD(1) 。

第⼆个漏洞是QQProtectEngine.dll+0x3B4F6处的代码:
其中 v3 是可以被攻击者控制的指针。因此攻击者可以 std::bit_cast<DWORD>(ptr) + 4 在任何给定地址写⼊该
值 ptr 。
QQProtect.exe 由于 QQProtect.exe 没有ASLR保护,攻击者可以轻易篡改驻留的函数指针并利⽤ROP链执⾏任
意代码。

3. 概念证明
 poc代码是⽤Rust语⾔编写的。您应该使⽤ i686-pc-windows-msvc ⼯具链来编译它。

cd poc
cargo +stable-i686-pc-windows-msvc build --release --config "build.rustflags = [\"-C\",
\"target-feature=+crt-static\"]"

你将得到两个 DLL:

target\release\tinyxml.dll
target\release\evil.dll


然后将上⾯的两个Dll放在 %ProgramFiles(x86)%\Common Files\Tencent\QQProtect\bin\QQProtect.exe ⼀
个⽂件夹中。


NT Authority\SYSTEM 最后⽤⼀个命令获取shell:

$ QQProtect.exe <PATH TO evil.dll>

参考链接
https://github.com/vi3t1/qq-tim-elevation

C9ccc00
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
QQ安全防护驱动(QQProtect)彻底删除方法
吴家齐的专栏
06-02 2万+
来源:http://hi.baidu.com/391616001/item/87f83a5a7d5e14c09e2667e4 为了能用上去广告显IP版的QQ,必须要删除掉这东西,不然每次安装或者使用破解版的QQ2013,他就会删除掉QQ的主程序。 但是要删除这货其实挺不容易的,这里我推荐大家使用工具来辅助删除,工具的下载链在文章最后会附上。 1、使用搜索功
HTTP/2 中的漏洞CVE-2023-44487
2301_80115097的博客
10-19 8334
最近安全圈公布了一个利用 HTTP/2 快速重置机制进行 DDoS 攻击的 0day 漏洞,,鉴于 HTTP/2 协议已经在 Internet 上广泛使用,所以该漏洞一经发布,在业界引起广泛关注。我们介绍过,雷池 WAF 使用 Nginx 作为其代理模式下的流量转发引擎,Nginx 已经在其官网介绍了。简单来说,Nginx 作为一款久经考验的,其本身就提供过了多种方式来缓解 DDoS 攻击。需要说明的是,Nginx 1.19.7 及其之后版本是通过。
CVE-2023-21839漏洞本地简单复现
crowsec
02-27 4864
CVE-2023-21839漏洞复现
CVE-2023-38831 WinRAR 逻辑漏洞原因分析
CuiXY's Blog
08-29 1816
漏洞编号:CVE-2023-38831 漏洞类型:逻辑漏洞 软件名称:RARLAB WinRAR 模块名称:WinRAR.exe 历史漏洞:根据 vuldb 显示,历史漏洞并不是很多,能稳定利用的更是少之又少
CVE-2023-28708 原理剖析
Armandhe的博客
03-26 3274
CVE-2023-28708 原理剖析
CVE-2023-0386:Overlay 文件系统 copy-up 本地提权漏洞分析
个人笔记
06-16 2473
SUID 、文件系统挂载都是我们常见的提权方式,复现 CVE-2023-0386 可以让我们更好的认识 Linux 本地提权的途径,更好的了解 Linux 安全特性。再回到漏洞本身, 总结一下 CVE-2023-0386 利用的流程:① 创建 FUSE 文件系统,libfuse 允许我们以普通权限修改文件系统内任意文件属性,但是此文件系统被挂载为nosuid
【OPNEGIS】Geoserver原地升级jetty,解决Apache HTTP/2拒绝服务漏洞 (CVE-2023-44487)
zhoulizhu的博客
12-11 3719
Geoserver是我们常用的地图服务器,在开源系统中的应用比较广泛。在实际环境中,我们可能会选用官方的二进制安装包进行部署,这样只要服务器上有java环境就可以运行,方便在现场进行部署。
CVE-2023-33246 RCE漏洞复现
七堇年的博客
06-08 1870
在RocketMQ 5.1.0及以下版本在一定条件下,会存在远程命令执行风险;由于RocketMQ的NameServer、Broker、Controller等多个组件暴露在外网且缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外攻击者还可以通过伪造 RocketMQ 协议内容来达到同样的效果。
curl&libcurl存在缓冲区溢出高危漏洞 (CVE-2023-38545)解决
qq_40619119的博客
10-13 3573
目前该漏洞只影响libcurl 7.69.0 ~ 8.3.0版本,不受漏洞影响的版本:libcurl < 7.69.0 和 >= 8.4.0。
权限提升漏洞(CVE-2023-2478)
m0_74025111的博客
05-12 1018
在复制过程中,会发生uid映射错误,攻击者可实现在目标系统上提升至ROOT权限。GitLab CE/EE多个受影响的版本中,某些情况下实例上经过身份证验证的任何GitLab用户都可以利用该漏洞,使用GraphQL端点将恶意运行程序附加到实例上的任意项目,成功利用可能导致敏感信息泄露或代码执行等。启明星辰VSRC检测到GitLab官方发布更新公告,修复了GitLab社区版(CE)和企业版(EE)中的一个代码执行漏洞(CVE-2023-2478)该漏洞的CVSSv3评分为9.6。
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响的 NetScaler ADC 和 NetScaler Gateway 客户尽快安装相关的更新版本。 NetScaler ADC 和 ...
CVE-2023-21768 Windows AFD 本地提权漏洞 C 源码
08-23
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。 AFD (Ancillary Function Driver)是Windows操作系统中的一个内核模式驱动程序。 漏洞原理: 该漏洞存在于AFD驱动程序处理用户...
CVE-2023-28252 CLFS Windows 本地提权漏洞 POCC 源码
08-23
CVE-2023-28252 是一个存在于 clfs.sys(通用日志文件系统驱动程序)中的越界写入漏洞。 卡巴斯基披露该在野0day提权漏洞是一个越界写入(增量)漏洞,当目标系统试图扩展元数据块时被利用来获取system权限———...
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
一键备份升级Openssh9.5p1 解决CVE-2023-38408,具体步骤见
STM32高级控制定时器(STM32F103):计数模式
mftang的博客
06-17 1223
本文主要介绍STM32F10X定时器计数功能的相关知识,其包括各个计数功能的特点,应用实例以及波形图。
STM32面试题
道亦无名
06-16 230
请注意,具体的面试题会根据职位要求和面试官的偏好有所不同。在准备面试时,除了复习上述问题,建议深入了解STM32的官方文档、技术手册以及实际项目经验,以便能够更全面地展示你的能力和知识。STM32面试题通常涉及STM32微控制器的特性、功能、应用以及编程知识。
关于STM32上用HID HOST调鼠标数据的解析
留在街角的博客
06-16 1160
通过Cuemx配置USB HOST,实现STM32读取鼠标键盘并在界面显示,并且解决鼠标漂移问题
我在高职教STM32——LCD液晶显示(2)
最新发布
gmc832002的博客
06-20 824
关注LCD1602的显示地址与字符、状态字节、读写时序和相关指令。
帮我生成一个py脚本,可以爬取https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23415中的操作系统名称,Security Only补丁的下载链接
03-31
以下是一个爬取CVE-2023-23415漏洞页面中操作系统名称和Security Only补丁下载链接的Python脚本: ```python import requests from bs4 import BeautifulSoup url = 'https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23415' response = requests.get(url) soup = BeautifulSoup(response.content, 'html.parser') # 获取操作系统名称 os_names = [os.text.strip() for os in soup.find_all('h2', {'class': 'osName'})] # 获取Security Only补丁下载链接 patch_links = [] for link in soup.find_all('a', {'class': 'downloadLink'}): if 'Security Only' in link.text: patch_links.append(link['href']) # 打印结果 print('操作系统名称:', os_names) print('Security Only补丁下载链接:', patch_links) ``` 运行该脚本,即可输出CVE-2023-23415漏洞页面中的操作系统名称和Security Only补丁下载链接。需要注意的是,该脚本依赖于requests和BeautifulSoup库,如果没有安装需要先安装。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

C9ccc00

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值