华为生成的错误报告在哪可以找到_CVE-2019-1315:基于错误报告机制的Windows提权漏洞...

最新推荐文章于 2022-06-29 06:30:48 发布
最新推荐文章于 2022-06-29 06:30:48 发布
阅读量559 收藏
点赞数
文章标签: 华为生成的错误报告在哪可以找到
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39883433/article/details/111344474
版权

cd8b4df3ede45bfe8801309dba7feffa.png

该漏洞由@clavoillotte于2019年10月8日公布

影响产品:Windows 10,Windows Server 2019(旧版本可能也受影响,但并没有测试)

漏洞类型:本地权限提升

概要:Windows错误报告服务会对普通用户可写文件执行一些敏感的文件(涉及权限)操作,这可能被攻击者利用来重命名/移动只有SYSTEM特权才能读取修改的文件。普通权限用户可以利用它来提升权限。

此漏洞已被Windows于2019年10月发布的安全补丁修复。

是由David Cash独立发现的。

描述

当Windows的错误报告服务被触发时(例如在程序崩溃之后),wermgr.exe进程将在%ProgramData%MicrosoftWindowsWERReportQueue*_*_*_*_*的目录下寻找报告文件,其中%ProgramData%MicrosoftWindowsWERReportQueue目录可被普通用户读取。在服务找到现有报告文件Report.wer并读取后,会创建一个临时文件Report.wer.tmp,再对其进行写入,最后将该文件重命名(SetRenameInformationFile)为Report.wer,以覆盖已存在的报告文件。

如下所示,在通过PowerShell的FailFast()生成报告时,可以从Procmon中观察到文件重命名操作:

675f6a145785b4c8007e22f7f21fc8f0.png


而这些操作是在SYSTEM权限的情况下执行的,而操作所涉及的文件和目录是普通用户通过WerFault.exe就可以创建的,并不需要符号链接的帮忙。

因此,普通权限用户可利用该漏洞,以SYSTEM权限重命名/移动文件。

实际上,用户可以控制这些操作所针对的目录,因为普通用户可以通过NTFS junction将某个目录指向任意位置,修改文件内容也会影响所指向的其他敏感文件。

虽然在默认情况下普通用户不能创建“真实的”针对系统文件的NTFS符号链接,但他们可以将解析到RPC Control的对象目录挂载点与解析到目标的对象管理符号链接关联起来,构造一个“伪符号链接”,就像James Forshaw所展示的一样(1和2)。有关这方面的更多信息,请参阅详细说明文件。

因此,通过以下设置:

  • C:ProgramDataMicrosoftWindowsWERReportQueuea_b_c_d_e -> RPC Control (NTFS junction)
  • RPC ControlReport.wer -> C:WindowsSystem32evil.dll(object manager symbolic link)

C:ProgramDataMicrosoftWindowsWERReportQueuea_b_c_d_eReport.wer有关的创建文件操作将会直接影响C:WindowsSystem32evil.dll文件的出现。

当然,要实现稳定的利用,还需要克服一些障碍,比如wermgr读取的文件必须是有效的报告文件,以及链接操作的时间,但是通过oplocks(锁操作)可以轻松解决这些问题。

普通用户可以利用重命名操作,设置以下“伪符号链接”来创建或替换只有SYSTEM权限才能操作的文件:

  • C:ProgramDataMicrosoftWindowsWERReportQueuea_b_c_d_eReport.wer -> C:WindowsSystem32evil.dll
  • C:ProgramDataMicrosoftWindowsWERReportQueuea_b_c_d_eReport.wer.tmp -> C:pathtopayload.dll

最后,重命名操作将把C:pathtopayload.dllSYSTEM权限移动到C:WindowsSystem32evil.dll

PoC

我针对Windows 10 1903提供了一个PoC演示,具体是在你运行Test-Exploit函数时,创建普通用户可写的%SystemRoot%evil.txt文件,文件内容为test

以下是一个展示视频,利用该漏洞植入一个恶意DLL文件,并获得一个SYSTEM权限的shell:

f78565c013f0e3693783c97cc3b9d135.png 
视频地址:https://offsec.almond.consulting/videos/windows-error-reporting-arbitrary-file-move-eop/demo_wermgr.mp4

修复

微软已经发布了安全补丁和警告,用户可通过日常渠道进行更新。

参考文献

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1315

时间线

2019-09-22:漏洞报告给厂商

2019-09-23:厂商确认漏洞

2019-09-27:厂商回复说这个漏洞将在下周二的补丁中修复

2019-10-08:厂商发布了补丁和修复建议

2019-10-08:漏洞详情公布

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场

来源:CVE-2019-1315:基于错误报告机制的Windows提权漏洞|NOSEC安全讯息平台 - 白帽汇安全研究院

原文:https://offsec.almond.consulting/windows-error-reporting-arbitrary-file-move-eop.html

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

weixin_39883433
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
认识与分析日志文件
wer0735的博客
11-28 1850
1 什么是日志文件   1.1 日志文件的重要性 解决系统方面的错误解决网路服务的问题过往事件记录簿   1.2 Linux常见的日志文件名          日志文件可以帮助我们了解很多系统重要的事件,包括登录者的部分信息,因此日志文件的限通常是设置为仅有root能够读取而已。那么常见的日志文件有那些?       /var/log/cron
华为生成错误报告在哪可以找到_还在滴水鉴屏?如何科学地鉴别华为Mate40系列屏幕供应商...
热门推荐
weixin_39963287的博客
12-09 1万+
屏幕混用问题再一次成为华为Mate40系列不能承受之痛。广大对屏幕敏感的用户也为此费尽心思,有的买显微镜、有的“滴水认亲”,太难了!本文就来告诉大家,如何通过开发者模式下载错误报告,科学地查询华为Mate40系列屏幕供应商。进入开发者模式,下载错误报告我们打开设置-关于手机-找到“版本号”一栏,连续点击7次,手机会示“您正处于开发者模式!”这时退出本页,点击“系统和更新”—“开发人员选项”—“发...
获取手机文件管理器里错误报告文件的路径
a521314963的博客
02-25 3403
获取系统文件路径失败的处理方法
华为错误报告在哪个文件夹_华为手机隐藏的这7个秘密小技能,现在开启,手机还能再用3年...
weixin_39678304的博客
12-09 2992
日常使用华为手机,如果这7秘密小技能还没开启,建议现在就开启哦,手机好用不止一点点。1.手机文件夹华为手机中有很多文件夹,可能大家都不知道是什么意思,也不知道哪个可以删除,哪个不能碰。其实华为手机文件夹中,有一个很占手机内存的文件夹,就是Tencent,这里全是微信、QQ等腾讯应用的缓存数据,占用内存巨大,清理一下肯定会有意外收获。2.手机补电之前我们听过很多人说手机有隐藏电池,但是只针对可拆卸电...
华为错误报告存放路径_华为松山湖“火了”,我的鸿蒙HelloWorld没事吧
weixin_39580749的博客
11-29 1486
松山湖着火了,还好我的鸿蒙HelloWorld没事昨晚,终于跑通了HarmonyOS的HelloWorld,本来预期半小时能搞定的事,我差不多花了整整5个小时!今天,惊闻东莞松山湖高新区华为在建工地着火,但愿没有伤亡。大家好,我是前端Copy攻城狮胡琦,从事前端已有4年多,按理来说,跑个鸿蒙OSHelloWorld不应该花那么大力气,毕竟环境安装也简单,编辑器DevEco Studio也贼好用,D...
华为欧拉系统 EulerOS-V2.0SP5-x86_64-dvd.part4.rar
12-09
华为欧拉系统 EulerOS-V2.0SP5-x86_64-dvd文件分割成 五个 压缩包,必须集齐 五个 文件后才能一起解压一起使用: EulerOS-V2.0SP5-x86_64-dvd.part5.rar ... EulerOS-V2.0SP5-x86_64-dvd.part4.rar ...
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
在2023年,OpenSSH发现了一个名为CVE-2023-38408的安全漏洞,这个漏洞可能允许攻击者在特定条件下绕过身份验证或执行未授的操作,对系统安全构成威胁。为了保护您的系统不受此漏洞影响,及时升级到OpenSSH 9.5p1...
银河麒麟高级服务器操作系统V10 使能NFS支持tcp-wrappers解决“CVE-1999-0554”问题
最新发布
10-28
在这个特定的情境中,我们关注的是如何通过使能NFS(Network File System)支持tcp-wrappers来解决一个名为"CVE-1999-0554"的安全漏洞。 NFS是一种广泛使用的网络文件共享协议,允许不同的操作系统之间共享文件和...
华为笔试题java-sec-daily-2019:2019年天融信阿尔法实验室在微信公众号发布的所有安全资讯汇总
06-03
fd漏洞 PS4 CVE-2018-4386 Exploit [工具] blc: 以插件的形式在IDA中集成Ghidra反编译器 dlinject: 不使用ptrace将共享库注入到Linux进程 qc_image_unpacker: 从Android设备中取并unpack镜像 purgeable: Purge
华为服务器客服电话_漏洞扫描设备参数.pdf
11-16
在系统功能方面,华为服务器的漏洞扫描设备要求能够对系统漏洞、网站漏洞和无线安全漏洞进行全面扫描,并在扫描完成后生成详细的安全评估报告,通过电子邮件、FTP等方式发送。设备应支持多种告警方式,如短信、邮件...
rh_cve_report:红帽 CVE 报告工具
06-16
红帽 CVE 报告生成器 作者:Brandon Williams 描述:此实用程序调用 Red Hat CVE 数据库以检索 CVE 详细信息。 用法:此脚本将 CVE 列表作为输入,并生成包含详细信息、声明和任何相关勘误表链接的报告。 输入文件应该是纯文本,每行一个 CVE。 例如: CVE-2015-0409 CVE-2015-0411 CVE-2015-0432 ... 语法:redhat_cve_report.sh <CVE> 用作输入 CVE_List.txt 包含示例 CVE 列表 CVE_Report.txt 包含示例报告 0.1 版 - 2015 年 2 月 19 日 初始版本 0.1.1 版 - 2015 年 2 月 19 日 修复了报表未正确报告的问题 修复了带有“**”的字符串导致打印目录信息而不是星号字符本身的问题
鸿蒙报错汇总
weixin_44753443的博客
06-29 903
汇总一下见过 网上没有解答的报错
华为生成错误报告在哪可以找到_用了一两年的华为手机,是时候打开"开发者选项",升手机速度...
weixin_39654058的博客
12-15 3229
很多人发现自己的华为手机用一两年,速度明显没有刚开始买的时候那么快。如果你也明显感觉到,手机速度变慢,那么是时候打开"开发者选项",给你的手机升速度。什么是"开发者选项"呢?作用方便开发者进行手机调试,减少反复解锁的麻烦系统和软件开发者测试做准备的一个功能通过一些调节,可以让我们的手机运行速度加快选项存在一定的风险,但是也有一些适合我们普通用户的选项,我们一起来看看。1、升手机流畅度开发者选项...
华为错误报告存放路径_LiteOS云端对接教程07LiteOS基于CoAP对接华为OC平台实战
weixin_39687621的博客
11-22 336
1. LiteOS OC COAP 抽象组件概述为了适应各种各样的使用coap接入华为OC的模式,特采用该层次接口,对上供应用所需的接口,对下允许接入方式的灵活适配。OC COAP AL的api接口声明在中,使用相关的接口需要包含该头文件。配置并连接对接服务器的所有信息保存在结构体oc_config_param_t中,其定义在oc_coap_al.h中,如下:typedef struc...
华为如何在开发者选项观察错误日志_华为Mate40是不是周冬雨屏(绿)的测试方法...
weixin_39625563的博客
11-13 1万+
在网上看到很多买了HUAWEI mate40 的朋友反映,屏幕是周冬雨屏,萌生退货想法。那么怎么知道你的mate40屏幕是不是周冬雨屏呢?首先,什么是周冬雨屏?Mate40pro系列采用了多家屏幕供应商的策略,共有京东方,LG和三星三个版本。总体来说,三星屏幕最好,LG次之,然后是京东方。那么怎么查看测试自己的华为mate40 pro的屏幕采用的是哪家的屏幕呢?方法二:显微镜直接观察。...
华为错误报告在哪个文件夹_[掌设]轻松逼死强迫症——华为Nova4 高配版手机评测...
weixin_39794385的博客
11-19 706
对于一个不经常研究手机的人来说,我是搞不懂为什么现在手机已经成为了第一数码生产力。当你打开微博数码区,当你打开中关村APP,当你打开某些数码产品网站大部分内容全部是手机内容,好像除了手机以外其他产品都不属于数码产品了。对于我这样的木头脑袋确实是搞不清楚,但是这篇文章希望能给大家一些产品上的参考。希望各位能选择一款自己喜欢的产品,而不是别人认识对的产品。对于产品的包装来说,其实没啥可说的,...
华为生成错误报告在哪可以找到_华为P40pro两周个人体验
weixin_39661345的博客
12-15 2881
我从S20+换成P40pro了。一直选不下手P40pro的,网上看了不少测评,吐槽的是LPDDR4X,而不是5,胶囊开孔,单扬声器,屏幕当听筒有点闷,当然还有溢价的水分(P40便宜但阉割了不少功能),最让人不安的是周冬雨排列。让我举棋不定。某日,看中了三星S20的小屏身材却又杠杠的配置:骁龙865,12+128,无线充电及IP68一应俱全,加之Note系列的推出让S系列有降价的理由。上某宝一看,居...
华为手机运行崩溃不显示报错信息的解决办法
小太阳的专栏
07-26 5533
拨号键盘输入*#*#2846579#*#*,然后选择ProhectMenu,然后后台设置,然后LOG设置,LOG打开。
2022年HW前沿漏洞利用库.pdf
06-30
其中,系统漏洞部分着重于远程代码执行(RCE)漏洞漏洞,指出即使旧漏洞也可能在实际攻击中重现。此外,还包括设备厂商如H3C、华为、金山等的产品漏洞,以及常见的钓鱼攻击手段。 这份文档的目录结构清晰,为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值