cpu-z 驱动漏洞利用
前言
其实这种利用大多数是用来做一些外挂的利用,但是我们可以转换思路来用来对抗杀毒软件的保护。
不只是cup-z有这种漏洞,技嘉,戴尔,华硕…等一些大厂都有这种漏洞,并且有些驱动签名还没有失效。
OBOperationRegistration
当某些软件使用openprocess打开了杀毒软件的进程的时候,会触发这个回调,对openprocess的句柄进行降权操作.使得我们无法使用TerminateProcess、WriteProcessMemory、ReadProcessMemory这些需要用到HANDLE的东西对杀毒软件进行XXOO.也就实现了 “进程保护”
例如有些杀毒软件会使用这个方法来保护一些特殊的进程,例如:
lsass.exe
winlogon.exe
如果保护了lsass.exe,即使你有管理员权限,但杀毒软件通过上述方法对你句柄进行降权处理,导致你无法读取lsass.exe的内存,无法获取里面保存的密码,也无法dump下来进行解密。
而且如果想注入这种被保护了的进程也是比较困难的。
有了这种保护,在R3下想要和其对抗还是比较困难的,除非另想他法。
其中一种办法就是利用这个驱动漏洞来获取最高权限的句柄,参考:
https://www.freebuf.com/vuls/220997.html
这篇文章已经说得非常详细了(膜拜一波
huoji120大佬,我的偶像),我就不在这里班门弄斧了。
而且这种攻击方式已经被广泛使用,能找到非常多的例子:
https://www.freebuf.com/articles/system/228338.html
可以通过观察分析别人的攻击方式来拓展自己的攻击思路,还是非常不错的。
至于这些漏洞还能干什么,更多的攻击思路还是交给大家发挥想象力,不要拘泥于传统的办法。
参考项目
https://github.com/huoji120/HandleMaster
https://github.com/hfiref0x/KDU
https://github.com/ASkyeye/CVE-2018-19320
github上还有很多这种项目,大家可以自己找一下