提升权限_Win 10计划任务本地权限提升0 day POC

bd13a4ec85ea0c42b5e4b4b75e1e5653.gif

db528e25bae8d3567a0c579e678ec6c2.png

该漏洞利用是自去年8月起安全研究人员SandboxEscaper发现的第5个Windows 漏洞利用。SandboxEscaper利用该漏洞利用可以进行本地权限提升,获取SYSTEM和TrustedInstaller等特权用户对温泉的完全控制权限。

6c8fe9e94a163e4e18fe5f93376da43d.png定时任务文件

这次,SandboxEscaper关注的还是计划任务工具(Task Scheduler),并用它来从其他系统中导入遗留任务。在Windows XP系统中,计划任务是.job格式的,并且可以添加到新版的操作系统中。

问题是计划任务工具导入的JOB文件是任意DACL(discretionary access control list,强制访问控制列表)控制权限的。因为缺乏DACL,系统会授予任意用户完全访问权限。

研究人员解释说该bug可以通过导入遗留任务文件到Windows 10中的计划任务中来进行利用。运行使用复制自老版本系统中的可执行文件schtasks.exe和schedsvc.dll命令会导致到_SchRpcRegisterTask的远程过程调用RPC,_SchRpcRegisterTask是在服务器上注册任务的方法。

研究人员猜测可以在不使用复制自老版本系统中的可执行文件schtasks.exe来调用该函数来触发该漏洞,但他不擅长逆向……

POC

研究人员在Windows x86上证明了该漏洞,POC视频如下:

https://github.com/SandboxEscaper/polarbearrepo/blob/master/bearlpe/demo.mp4

CERT/CC的漏洞分析师Will Dormann解释说,该PoC利用的其实是Windows 10计划任务中的一个漏洞,会在遗留的导入任务中设置SetSecurityInfo()。漏洞利用会调用代码,删除文件,然后用指向该文件的NTFS硬链接来再次调用,这样就可以用SetSecurityInfo()获取权限。

Dormann在打补丁的Windows 10 X86系统上进行了测试,成功率为100%。只需要重新编译代码就可以在64位的Windows 10系统和Windows 2016 and 2019上复现。Dormann称不能在Windows 7和Windows 8版本的操作系统上复现该PoC。

6c8fe9e94a163e4e18fe5f93376da43d.png一大波0 day在路上

SandboxEscaper在博客中说他还有4个未公开的0 day漏洞,其中3个是本地权限提升漏洞,一个是沙箱逃逸漏洞。SandboxEscaper应该是想出售这3个本地权限提升漏洞给非西方人士,每个售价至少为60000。但不清楚交易的货币单位是美元还是欧元。

2018年SandboxEscaper先后发布过4个0 day漏洞,分别是:

· 2018年8月的Windows定时任务漏洞https://www.4hou.com/info/news/13323.html

· 2018年10月的Windows 0 day漏洞https://www.4hou.com/vulnerable/14196.html

· 2018年12月的Windows任意文件读0 day POC

· https://www.4hou.com/vulnerable/15369.html

· 2019年1月的Windows 0 day任意数据覆写文件漏洞

· https://www.4hou.com/vulnerable/15495.html

5db156020b6c02583067ebc57b15fed3.png

82bdd8e8e45e7e96780df6241fd9e56a.png

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值