沙盒逃逸编年史:对CVE-2019-0880漏洞的深入分析

最新推荐文章于 2024-05-10 19:13:22 发布
最新推荐文章于 2024-05-10 19:13:22 发布
阅读量539 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/systemino/article/details/108359911
版权

0x01 漏洞分析

这篇文章描述了splwow64.exe中的一个可利用的任意指针取消引用漏洞。此漏洞可以从Internet Explorer渲染器进程触发,并允许沙盒逃逸。

该漏洞允许通过将特定的LPC消息制作到splwow64.exe进程,从而从低完整性进程中任意写入splwow64.exe的地址空间。

该漏洞已经在Windows 7 x64和Windows 10 x64计算机上进行了测试。

在本文中,我将描述该漏洞的位置以及如何利用该漏洞从Internet Explorer沙盒中实现完整的沙盒逃逸。

该漏洞似乎未在Windows 7上进行修补,因此,我不会发布用于利用此漏洞的源代码。

漏洞描述

该漏洞在于处理对splwow64.exe进程的特定LPC调用,独步从而可以使用任意参数在splwow64地址空间中调用memcpy函数。这为攻击者提供了极为强大的原语,因为它允许在不依赖内核漏洞的情况下,在更高完整性进程的内存中进行写操作,并逃逸浏览器沙箱。

splwow64.exe进程

Splwow64.exe是一个Microsoft可执行文件,每当32位应用程序访问你已安装的打印机之一时,该文件便会执行。此进程特别有趣,因为它是Internet Explorer策略列入白名单的进程之一。换句话说,任何来自低完整性IE渲染器进程的调用都将生成此进程,这将导致splwow64.exe作为中等完整性进程被加载。

在深入分析漏洞本身之前,让我们尝试深入了解Splwow64流程的实际工作方式。

LPC端口创建

开始执行后,splwow64.exe将通过调用ZwCreatePort API创建LPC端口,并将开始等待传入连接。

让我们看一下ZwCreatePort函数。

 NTSTATUS NTAPI ZwCreatePort(PHANDLE,POBJECT_ATTRIBUTES,ULONG,ULONG,ULONG);

如你所见,第二个参数是指向“对象属性”结构的指针,该结构将指向UNICODE_STRING函数,该函数包含由进程创建的LPC端口的名称。

为了连接到该LPC端口,我们需要了解的第一件事是如何生成LPC端口名称!如果你将检查ZwCreatePort的Object Attributes指针参数多次(每次重新引导计算机后),你会注意到LPC端口名的一部分将在每次重新引导后更改。

LPC端口名称如下所示

在Windows 10上

 \\RPC Control\\UmpdProxy_1_VARIABLEPART_0_2000

在Windows 7上

 \\RPC Control\\UmpdProxy_1_VARIABLEPART_0_0

每次重新启动计算机后,VARIABLEPART都会更改。

这意味着要能够从IE Sandboxed进程实际连接到该LPC端口,我们将需要了解如何生成LPC端口名称。

对我们来说幸运的是,生成LPC端口名的可变部分的算法非常简单,看起来像这样

最低0.47元/天 解锁文章
systemino
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE10大漏洞总结【网络安全】
heikeyouyou的博客
05-19 3056
网络安全之cve十大漏洞总结
AI Security3-通用漏洞披露(CVE: Common Vulnerabilities and Exposures)
学渣的博客
12-25 1万+
这是目录1 漏洞的来源2 漏洞分析2.1 数据来源2.2 数据分析3 举例 回顾之前的内容 逃逸攻击 投毒攻击 在前文中,我们介绍了Attack AI的基础概念,即黑客对AI发起的攻击,主要可以分为三种攻击类型,破坏模型完整性、可用性和机密性的攻击。 在本文,我们将介绍破坏模型可用性的一些攻击示例。 模型的可用性主要是指模型能够被正常使用。这一块的攻击面主要是算法系统依赖的底层框架、依赖库,攻击方式主要是对模型代码或底层依赖库的代码进行漏洞挖掘和利用,如溢出攻击、DDos攻击。 由于在野0day的信息无法
2024年CVE-2024-26923漏洞分析_cve-2024–26923,三年老网络安全经验面经
最新发布
2301_82056337的博客
05-10 879
本次漏洞产生的主要原因是计算机账户关键属性的ACL设置问题和ADCS检查客户端身份不严格导致,结合之前的samAccountName欺骗漏洞,AD域中涉及身份认证标识的问题不止一次,微软在AD域中不用具有唯一性的自动编号字段SID而是其他字段作为身份认证标识在安全方面着实欠妥。本次漏洞利用简单,流量特征不明显难以检测,同时获取的AD域证书有效时间长,因此对于AD域的提权和权限维持都有很高的利用价值。
漏洞原理CVE-2019-0808内核利用分析
anquanniu的博客
05-21 2726
漏洞概述 CVE-2019-0808是微软在2019年3月修补的内核漏洞,该漏洞只影响Windows 7和Windows Server 2008,漏洞允许攻击者提升权限并在内核模式下执行任意代码。在谷歌威胁分析团队的报告中发现该漏洞用于进行Chrome沙箱逃逸,和CVE-2019-5786 Chrome 远程代码执行漏洞配合使用。 补丁分析 通过对Win7上3月份的补丁进行对比可以知道问题出现在x...
CFG保护机制校验逻辑分析
Sven的忘却日记
09-24 1299
CFG是微软推出的漏洞利用缓解基址,从Windows 8.1开始引入,并且需要编译器的支持,编译器的版本为Virtual Studio 2015 Updated 2版本以上。 在开启了CFG支持以后,编译生成exe程序中,所有间接调用前面都会插入一个_guard_check_icall的检查函数,如果系统不支持CFG机制,则该函数不会生效。 如: eax,[esi] ecx, eax call _...
Redis Lua 沙盒逃逸漏洞CVE-2022-0543)
chaojixiaojingang
03-18 7633
1.漏洞描述 Redis是著名的开源Key-Value数据库,其具备在沙箱中执行Lua脚本的能力。Debian以及Ubuntu发行版的源在打包Redis时,在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。 2.漏洞原理 Redis一直有一个攻击点,就是在用户连接redis后,可以通过eval命令执行lua脚本,但这个脚本跑在沙箱里,正常情况下无法执行命令,读取文件。Ubuntu/D...
cve-2019-1003000-jenkins-rce-poc:Jenkins RCE概念证明:SECURITY-1266 CVE-2019-1003000(脚本安全),CVE-2019-1003001(管道:Groovy),CVE-2019-1003002(管道:声明式)
02-05
PoC:Jenkins RCE SECURITY-1266 / CVE-2019-... 更新: 的文章解释了利用CVE-2018-1000861和CVE-2019-1003000的漏洞利用链,绕过了对预身份验证RCE的总体/读取权限的需求: : 安装 $ git clone https://github.co
逃逸IE浏览器沙箱-在野0Day漏洞利用复现
10-13
7. **技术分析**:深入剖析漏洞的工作原理,可能包括内存布局、堆栈溢出、类型混淆等技术细节。 通过这份报告,读者不仅可以了解具体的漏洞信息,还能学习到漏洞利用和沙箱逃逸的通用技术,这对于提升网络安全防护...
ElasticSearch 远程代码执行漏洞分析(CVE-2015-1427)&高级利用方法1
08-08
ElasticSearch 远程代码执行漏洞分析(CVE-2015-1427)&高级利用方法1 ElasticSearch 是一个基于 Lucene 的搜索引擎,提供了强大的搜索功能。然而,在 2015 年,一种远程代码执行漏洞CVE-2015-1427)被发现,影响...
SnatchBox(CVE-2020-27935)是一个沙盒逃逸漏洞漏洞,影响到版本10.15.x以下的macOS。-Swift开发
05-27
SnatchBox(CVE-2020-27935)是一个沙盒逃逸漏洞和影响,影响到版本10.15.x之前的macOS。SnatchBox SnatchBox(CVE-2020-27935)是一个沙盒逃逸漏洞,影响到版本10.15和早期Beta版的macOS。 macOS 11.0版本。 ...
leetcode分类-sandbox-algorithm-LeetCode:沙盒算法-LeetCode
06-29
leetcode 分类 到目前为止 (2016-08-01),有361算法 / 13数据库 / 4 Shell 问题。...最近问题越来越多。...更多问题和解决方案,可以查看我的仓库。...我会继续更新以获得完整的摘要和更好的解决方案。...容易
CVE——通用漏洞披露
四问四不知的博客
07-30 570
Common Vulnerabilities & Exposures官网
微软CVE-2023-28252漏洞
菜鸟学渗透
04-15 2155
微软最新CVE-2023-28252内核提权漏洞
Windows 0day提权漏洞分析CVE-2019-0859
blackorbird的博客
04-15 1205
CVE-2019-0859MicrosoftWin32k特权提升漏洞[CVE-2019-0859] 当Win32k组件无法正确处理内存中的对象时,Windows中存在一...
【网络安全】CVE漏洞分析以及复现
Android_wxf的博客
04-21 1715
这个比 Shiro550、Shiro721 要增加一些东西,首先看 pom.xml 这个配置文件,因为漏洞是 shiro 1.0.0 版本的。Shiro 在路径控制的时候,未能对传入的 url 编码进行 decode 解码,导致攻击者可以绕过过滤器,访问被过滤的路径。的 bypass 方式也是合理的,可能一些其他特殊字符也是可以的,前提是对请求并不造成影响,像。继续往下走,判断 html 的目录与当前请求的目录是否相同,因为我们请求被拆分出来是。的匹配范围,这里之前我们设定的访问方式是。
漏洞发现】|多个严重CVE漏洞被发现,系内存类安全漏洞
m0_73736695的博客
02-20 508
近日,云起无垠的无垠代码模糊测试系统通过对json parse库、MojoJson进行检测发现多个CVE漏洞漏洞编号为:CVE-2023-23083 ~ CVE-2023-23088,该系列漏洞皆为内存类漏洞漏洞允许攻击者执行恶意代码进行攻击,从而造成严重后果。其中,CVE-2023-23086~CVE-2023-23088已公开。
CVE 漏洞的分析及复现
mkl7717的博客
05-20 1559
往下,调用了StringUtils.tokenizeToStringArray()方法,之前的/secret.html转化成了["secret.html"]这个数组,/./secret.html转换成了[".","secret.html"]/secret.html的 bypass 方式也是合理的,可能一些其他特殊字符也是可以的,前提是对请求并不造成影响,像..,#这类字符就会产生问题。继续往下走,判断 html 的目录与当前请求的目录是否相同,因为我们请求被拆分出来是。先说 PoC,未标准化路径造成。
浅谈漏洞来源(CVE,NVD,CNVD,CNNVD)
热门推荐
TT成长博客
02-23 2万+
网络安全人士可能会问这样一个问题,安全漏洞是哪里来的,什么渠道,可靠吗。那么多的安全产品,他们的漏洞库都是自己整理的吗?(怎么可能撒),虽然各安全厂商都搞自己的威胁情报中心,但是威胁情报除了自研的,很多还是靠类似公益的机构来支持,比如业界大家都知道的几个平台,我们就简单和大家掰扯掰扯吧。
"金融科技、监管沙盒与体制创新:不完全契约视角研究
总的来说,本文对金融监管在不完全契约下的剩余权利配置问题进行了深入探讨,并提出了监管沙盒的概念以及其在金融科技领域的应用。文章旨在引起人们对金融监管新情境下的思考,促进金融监管体系的不断完善和创新,为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值