CVE-2021-34486 ETW权限提升漏洞分析

最新推荐文章于 2024-06-14 09:32:35 发布
最新推荐文章于 2024-06-14 09:32:35 发布
阅读量426 收藏
点赞数
文章标签: 安全 运维 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2203/article/details/129858503
版权

前言

CVE-2021-34486是在ETW请求更新周期性捕获中的UAF漏洞,可以通过分配可控的缓冲区,释放,二次使用该缓冲区来执行任意代码。

**01 **影响版本

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34486

**02 **ETW相关

ETW是内核中一个高效的事件追踪机制,可以记录系统内核或者应用程序的事件到日志文件。

ETW主要由三部分组成:

Controllers(事件控制器),用来开关event trace 会话 和 Providers。

Providers(事件提供器), 用来提供事件。

Consumers(事件消耗器),用来处理事件。

Sessions(事件管理器),用来管理和刷新事件。

**03 **逆向分析

在NtTraceControl函数中,通过FunctionCode(0x25)来控制调用EtwpUpdatePeriodicCaptureState函数。

__int64 __fastcall NtTraceControl(  
unsigned int a1,  
unsigned int *a2,  
unsigned int a3,  
volatile void *a4,  
unsigned int Length,  
unsigned int *a6)  
{  
···  
case 0x25u:  
if ( v18 < 0xC )  
goto LABEL_61;  
NumOfGuids = *((unsigned __int16 *)LoggerId + 4);  
if ( (unsigned int)NumOfGuids <= 0x10 )  
{  
DueTime = *((_DWORD *)LoggerId + 1);  
if ( DueTime - 1 > 3 )  
{  
if ( 16 * NumOfGuids + 12 == v18 )  
{  
if ( (_WORD)NumOfGuids )  
Guids = (char *)LoggerId + 12;  
EtwpUpdatePeriodicCaptureState(*(_DWORD *)LoggerId, DueTime, NumOfGuids, Guids);  
···  
}

EtwpUpdatePeriodicCaptureState函数的参数的逆向,其中第二个参数DueTime来源于EtwpUpdatePeriodicCaptureState函数中相关使用进行逆向得出,由于第二个参数DueTime只在函数最后使用,而ExSetTimer是用来设置定时器的时间,所以可知参数二为定时器时间。

__int64 __fastcall EtwpUpdatePeriodicCaptureState(  
unsigned int LoggerId,  
unsigned int DueTime,  
unsigned __int16 NumOfGuids,  
char *Guids)  
{  
···  
v18 = 0xFFFFFFFFFF676980ui64 * DueTime;  
LoggerContext_->RelativeTimerDueTime = v18;  
ExSetTimer((ULONG_PTR)PeriodicCaptureStateTimer, v18, 0i64, (__int64)&v24);  
···  
}

再配合动态调试可知,第一次进入EtwpUpdatePeriodicCaptureState,rdx为0,因为并未设置定时器时间,然后观察参数3
r8和r9内存的值可知,参数3代表GUID的数量,参数4代表GUID。

0: kd> ba e1 nt!EtwpUpdatePeriodicCaptureState  
0: kd> g  
Breakpoint 0 hit  
nt!EtwpUpdatePeriodicCaptureState:  
fffff801`7793aeb4 48895c2410      mov     qword ptr [rsp+10h],rbx  
1: kd> r  
rax=ffffab0db805824c rbx=000000000000001c rcx=000000000000001f  
rdx=0000000000000000 rsi=ffffab0db8058240 rdi=0000000000000000  
rip=fffff8017793aeb4 rsp=ffffcc8e375c69d8 rbp=ffffcc8e375c6b80  
r8=0000000000000001  r9=ffffab0db805824c r10=fffff80177000000  
r11=0000000000001001 r12=ffffab0db805824c r13=000000f50d73f420  
r14=000000000000001c r15=ffffe50a8e67b000  
iopl=0         nv up ei pl nz na pe nc  
cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b             efl=00040202  
nt!EtwpUpdatePeriodicCaptureState:  
fffff801`7793aeb4 48895c2410      mov     qword ptr [rsp+10h],rbx ss:0018:ffffcc8e`375c69e8=000000000000001c  
1: kd> dd r9  
ffffab0d`b805824c  14f8138e 580b3b61 09264b54 60e48a37  
ffffab0d`b805825c  006d0061 03030000 3066744e 00780065  
ffffab0d`b805826c  00000065 b6a5d9a0 ffffab0d b8142468  
ffffab0d`b805827c  ffffab0d 03ccb'586 000000a0 00000000  
ffffab0d`b805828c  00000000 0303ff00 74705041 0064006e  
ffffab0d`b805829c  0077006f 42424242 42424242 42424242  
ffffab0d`b80582ac  42424242 42424242 42424242 00380061  
ffffab0d`b80582bc  00340031 03030000 64536553 00320065

所以可得出当前的结构为

typedef struct _ETW_UPDATE_PERIODIC_CAPTURE_STATE  
{  
ULONG     LoggerId;  
ULONG     DueTime;      
ULONG     NumOfGuids;  
GUID     Guids[ANYSIZE_ARRAY];  
} ETW_UPDATE_PERIODIC_CAPTURE_STATE, * PETW_UPDATE_PERIODIC_CAPTURE_STATE;

而EtwpUpdatePeriodicCaptureState函数中的TimerContextInfo结构,分配了EtwU池标记的 0x30
字节的pool,只能配合逆向进行动态调试得到相关结构为:

typedef struct _CONTEXTINFO  
{  
WORK_QUEUE_ITEM     WorkItem;  
ULONG64            Unknown;  
USHORT            LoggerId;  
UCHAR            Padding[6];     //不重要数据用padding填充  
} CONTEXTINFO, *PCONTEXTINFO;
</
最低0.47元/天 解锁文章
网安员阿道夫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2020-0688 Exchange 远程代码执行分析
smellycat000的专栏
03-01 1103
聚焦源代码安全,网罗国内外最新资讯!关于如何利用该漏洞,ZDI的博客中已有介绍。但是关于这个漏洞的细节还未看到有更多的披露。本篇将补充分析漏洞的细节。01.漏洞简介Microsoft...
Windows Print Spooler服务最新漏洞CVE-2021-34527详细分析
爱国小白帽
07-09 1万+
0x00 前言 近日,有安全研究员在github上公开了"CVE-2021-1675"的exp PrintNightmare,后经验证公开的exp是一个与CVE-2021-1675不同的漏洞,微软为其分配了新的编号CVE-2021-34527。这篇文章记录了CVE-2021-34527的复现过程,并对漏洞成因进行了简单的分析。 0x01 漏洞复现 这里记录域控环境下使用普通权限域账户实现RCE反弹nt authority\system shell的过程。下面的漏洞复现和漏洞分析都是基..
漏洞通告】Windows 内核信息泄漏漏洞CVE-2021-31955
爱国小白帽
06-29 2654
漏洞名称 : Windows 内核信息泄漏漏洞 组件名称 : Windows 影响范围 : Windows 10 21h1/20h2/1809/1909/2004 Windows Server 2016 20h2/2004 Windows Server 2019 漏洞类型 : 信息泄漏 利用条件 : 1、用户认证:不需要用户认证 2、触发方式:远程 综合评价 : 1、用户认证:不需要用户认证 2、触发方式:本地 漏洞分析 1 组件****介绍 Microsoft Windows操作系统是美国微软公司研发的一
CVE-2021-3156 Sudo 漏洞修复方法
猴赛雷
01-29 2031
1.1 官网https://www.sudo.ws/download_mirrors.html 1.2 测试是否存在漏洞 # 基本都存在 [******@localhost ~]$ sudoedit -s '\' `perl -e 'print "A" x 65536'` Segmentation fault -显示这个基本就存在漏洞了 # 升级建议 sudo=>1.9.5p2 1.3 下载各系统安装包 centos 5 https://github.com/sudo-p...
fontdrvhost占用高_迄今为止有关Windows 10安全机制最深入的分析
weixin_39837352的博客
12-21 3467
概要微软在北京时间2015年1月22日,公布了其新一代操作系统Windows 10的新技术预览版,并在随后的北京时间1月24日向公众开放了该预览版本的下载(Build:9926)。在这个新的Windows10预览版中,内核版本直接从6.4提升到了10.0,同时也带来了一些新的产品形态和用户体验上的诸多改进。作为国际顶尖的安全厂商,360除了在第一时间为使用Windows 10新预览版的用户提供安全...
2019年度优秀安全内容合集
热门推荐
anquanzushiye的博客
01-06 3万+
2019信息源与信息类型占比微信公众号推荐昵称_英语weixin_no标题网址安全祖师爷PowerShell渗透–帝国https://mp.weixin.qq.com/s/giBR-rn...
Windows10和Spartan浏览器 产品与技术特性简介
weixin_34041003的博客
03-08 475
腾讯电脑管家 · 2015/04/10 9:46目录0x00 Windows10产品新特性1、自动选择默认桌面 2、开始菜单回归 3、Metro应用窗口化 4、虚拟桌面 5、智能分屏 6、全局搜索 7、其它产品新特性 8、Windows10产品新特性总结0x01 Windows10内置特性和安全特性1、In-place升级 2、Stay Current保持最新 3、UPAO (User Prote...
一本你不能错过的红蓝攻防鸿篇巨著
等风来
10-27 4603
本书是一本针对安全领域的红蓝攻防对抗的专业书,既能作为安全从业者在红蓝攻防对抗活动中的指导用书,又能成为企业安全部门构建纵深防御体系的参考指南。希望本书所分析、讲述的红蓝双方视角下的攻防对抗手法,能帮助各行业的网络安全从业者增强实践、知己知彼,从企业内部构建起安全防御体系。
【网络安全】你不能错过的一本红蓝攻防鸿篇巨著
zz12345600354的博客
05-25 594
本书是一本针对安全领域的红蓝攻防对抗的专业书,既能作为安全从业者在红蓝攻防对抗活动中的指导用书,又能成为企业安全部门构建纵深防御体系的参考指南。希望本书所分析、讲述的红蓝双方视角下的攻防对抗手法,能帮助各行业的网络安全从业者增强实践、知己知彼,从企业内部构建起安全防御体系。
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
CVE-2021-25646-Apache Druid漏洞POC.py
02-26
CVE-2021-25646-Apache Druid漏洞POC.py
CVE-2021-4034 polkit本地权限提升[pkexec权限问题]
01-27
在 polkit 的 pkexec 中发现的一个权限提升漏洞CVE-2021-4034 ,也称PwnKit),它存在于所有主流的 Linux 发行版的默认配置中。 CentOS 7 polkit-0.112-26.el7_9.1.x86_64 不受影响。
等保测评和安全运维
weixin_64392888的博客
06-11 653
通过将等保测评的标准和流程融入日常的安全运维工作中,企业可以更有效地识别和应对网络安全威胁,构建起一个全面、动态的网络安全防护体系。为了应对这些挑战,企业不仅要实施有效的安全运维措施,还需要通过等保测评确保其信息系统符合国家的安全标准。等保测评提供了一套标准化的安全要求,安全运维团队可以根据这些要求,实施相应的安全措施,如加强访问控制、数据加密、网络安全防护等。通过等保测评,企业可以识别信息系统的安全风险,并根据测评结果制定或调整安全策略,确保安全措施与企业的实际需求相匹配。
《软件定义安全》之六:SDN和NFV安全实践
大龄IT民工
06-11 1411
DDoS检测清洗应用ADS APP的设计思路:借助安全控制平台中流相关的组件,从SDN控制器中获得相应的流量,并根据抗DDoS应用订阅的恶意流特征进行检测,发现恶意流量后,应用可根据细粒度的检测判断是否出现恶意攻击。如是,则下发实时清洗的流指令,即可将恶意流量牵引到清洗设备ADS上。过程如下:➊注册。启动阶段,ADS设备和ADS APP均向安全控制平台注册,提供自己的基本信息,如类型、位置和能力等。➋订阅。为获取并检查可疑流,ADS APP向安全控制器发送订阅。➌流统计获取和检查。
如何确保数据跨域交换安全、合规、可追溯性?
最新发布
文件数据安全交换
06-14 429
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。针对上述问题,推荐采用统一的数据跨域交换管控平台,如飞驰云联《Ftrans MDE多区域文件交换系统》,帮助企业构建统一、安全、高效的数据跨域交换通道,确保数据在多地理区域、多网络区域、多分支机构间准确、高效地传输。问题:明文传输,容易被截获和窃取;
展会邀请 | 龙智即将亮相2024上海国际嵌入式展,带来安全合规、单一可信数据源、可追溯、高效协同的嵌入式开发解决方案
weixin_49715102的博客
06-09 965
凭借在DevSecOps领域的深厚积累,龙智在全球范围内遴选优秀的专业工具,为嵌入式开发行业打造了专属的嵌入式开发解决方案,并提供专业咨询、方案定制、实施部署、专业培训、定制开发等一站式服务支持。等全球专业工具,覆盖嵌入式软件单元测试、静态代码分析、需求管理、版本控制、生命周期管理及项目管理、知识库管理等领域,助力企业实现安全合规、可追溯、单一可信数据源、高效协同的嵌入式开发。并且嵌入式系统往往非常复杂,需要全面的测试覆盖、高效的测试执行,才能确保系统的可靠性和正确性,以及产品的及时交付。
CVE-2021-45105/CVE-2021-44228
07-29
CVE-2021-45105是一个路径遍历漏洞,攻击者可以利用它来读取服务器上受限制的文件。CVE-2021-44228是一个HTTP请求解析漏洞,攻击者可以通过发送恶意的请求导致服务器崩溃或远程代码执行。 为了保护系统安全,建议...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值