[求助]cve-2019-0708 如何分配内存？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]cve-2019-0708 如何分配内存？

2019-8-6 18:34 5540

[求助]cve-2019-0708 如何分配内存？

coolboyme

2019-8-6 18:34

5540

一直在研究cve-2019-0708，目前到了第三步骤：

1. Establish an RDP connection with the MS_T120 virtual channel.

2. Send specific data on MS_T120 virtual channel to free channel control structure.

3. Invoke allocations via call to ExAllocatePoolWithTag in IcaChannelInputInternal such that the freed memory space is occupied with our data.

4. Control EIP via vtable call by placing function pointer to our shellcode at [edi + 50] within our fake allocated channel control structure.

5. Break the connection to trigger UAF

6. Obtain RCE

那么问题来了，怎样才能够向已经关闭的channel发送数据包，让它分配内存呢？卡住好久，百思不得其解，求助万能的坛友。。。

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

收藏・1

点赞・0

打赏

最新回复 (20)
Aimeier 雪币： 3715 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 1 关注私信	Aimeier 2019-8-7 11:59 2 楼 0 0.0 最后于 2020-7-7 16:56 被Aimeier编辑，原因：补充
coolboyme 雪币： 1206 活跃值： (637) 能力值： ( LV13，RANK：245 ) 在线值：发帖 23 回帖 101 粉丝 12 关注私信	coolboyme 3 2019-8-9 16:27 3 楼 1 Aimeier 慢慢调试rdesktop即可。这个steps是完全正确的，按照这个完全写得出来。其实step3已经提示得超级明显了。多谢鼓励，再接再厉~
Adventure 雪币： 4398 活跃值： (1241) 能力值： ( LV7，RANK：113 ) 在线值：发帖 17 回帖 55 粉丝 23 关注私信	Adventure 2019-8-9 16:53 4 楼 2 为啥非要在已经关闭的信道里发送数据呢！你可以同时开启两个信道，关闭和漏洞相关的信道以后，马上往第二个信道里发送数据呀！另外我看Black Hat 2019 有大佬说可以从剪切板数据这个方向考虑一下！
陆晨雪币： 274 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	陆晨 2019-8-12 15:36 5 楼 0 你好，我最近也在研究这个漏洞，目前也是卡在了占坑这个地方，不知道可不可以和你交流一下。最后于 2019-8-12 15:55 被陆晨编辑，原因：写错
palkiver 雪币： 204 活跃值： (714) 能力值： ( LV9，RANK：195 ) 在线值：发帖 1 回帖 108 粉丝 2 关注私信	palkiver 2019-8-12 18:13 6 楼 0 其实人家说的已经很明显了，进一步提示就是你再去研究研究人家第二步所说的“channel control structure.” 最后于 2019-8-12 18:13 被palkiver编辑，原因：
coolboyme 雪币： 1206 活跃值： (637) 能力值： ( LV13，RANK：245 ) 在线值：发帖 23 回帖 101 粉丝 12 关注私信	coolboyme 3 2019-8-12 19:00 7 楼 0 coolboyme 多谢鼓励，再接再厉~ 再次感谢提示鼓励，找到了突破占坑的地方了。下一步构造锁的数据， call eax了。。
coolboyme 雪币： 1206 活跃值： (637) 能力值： ( LV13，RANK：245 ) 在线值：发帖 23 回帖 101 粉丝 12 关注私信	coolboyme 3 2019-8-12 19:01 8 楼 0 谢谢各位！最后于 2019-8-12 19:01 被coolboyme编辑，原因：
coolboyme 雪币： 1206 活跃值： (637) 能力值： ( LV13，RANK：245 ) 在线值：发帖 23 回帖 101 粉丝 12 关注私信	coolboyme 3 2019-8-12 19:02 9 楼 0 Adventure 为啥非要在已经关闭的信道里发送数据呢！你可以同时开启两个信道，关闭和漏洞相关的信道以后，马上往第二个信道里发送数据呀！另外我看Black Hat 2019 有大佬说可以从剪切板数据这个方向考虑一下！[ ... 谢谢 Adventure ，就是剪切板，早点看到你的消息，这个周末就可以安心休息两天了
coolboyme 雪币： 1206 活跃值： (637) 能力值： ( LV13，RANK：245 ) 在线值：发帖 23 回帖 101 粉丝 12 关注私信	coolboyme 3 2019-8-13 20:02 10 楼 0 Adventure 为啥非要在已经关闭的信道里发送数据呢！你可以同时开启两个信道，关闭和漏洞相关的信道以后，马上往第二个信道里发送数据呀！另外我看Black Hat 2019 有大佬说可以从剪切板数据这个方向考虑一下！[ ... 发现剪切板可以发送数据并在对端分配内存，可以控制大小和内容，但是问题来了，剪切板需要在登录以后才会创建信道，这个就尴尬了。
Adventure 雪币： 4398 活跃值： (1241) 能力值： ( LV7，RANK：113 ) 在线值：发帖 17 回帖 55 粉丝 23 关注私信	Adventure 2019-8-14 11:10 11 楼 0 coolboyme 发现剪切板可以发送数据并在对端分配内存，可以控制大小和内容，但是问题来了，剪切板需要在登录以后才会创建信道，这个就尴尬了。鼠标和键盘消息呢？
小旭msx 雪币： 185 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	小旭msx 2019-8-15 07:25 12 楼 0 我也卡了在占坑这了，我看github上边的未完成的poc里一般都是创建了好几个t120通道，一直在想应该和占坑有关系
小旭msx 雪币： 185 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	小旭msx 2019-8-15 07:33 13 楼 0 qq137747998，加下我，一起讨论下，进度可能快些
陆晨雪币： 274 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	陆晨 2019-8-15 11:52 14 楼 0 更新一下进度，目前还是在寻找可以发送数据的地方，可发数据的通道目前知道的是IO通道和rdpdr通道，或者创建多个t120通道，IO通道看了所有使用icachannelinput的地方，用键盘数据目前50%几率可以占坑，但是可控字节不足。rdpdr通道和t120通道都存在free问题，在free掉t120通道后这两个通道也会free掉，导致无法到达allocate，qq547079826，可以加我讨论一下。
coolboyme 雪币： 1206 活跃值： (637) 能力值： ( LV13，RANK：245 ) 在线值：发帖 23 回帖 101 粉丝 12 关注私信	coolboyme 3 2019-8-15 16:42 15 楼 0 594137965 欢迎加群讨论，仅限poc技术交流
coolboyme 雪币： 1206 活跃值： (637) 能力值： ( LV13，RANK：245 ) 在线值：发帖 23 回帖 101 粉丝 12 关注私信	coolboyme 3 2019-8-15 16:42 16 楼 0 小旭msx qq137747998，加下我，一起讨论下，进度可能快些 594137965 欢迎加群讨论，仅限poc技术交流
coolboyme 雪币： 1206 活跃值： (637) 能力值： ( LV13，RANK：245 ) 在线值：发帖 23 回帖 101 粉丝 12 关注私信	coolboyme 3 2019-8-15 16:44 17 楼 0 Adventure 鼠标和键盘消息呢？[em_1] 键盘鼠标消息，目前可以成功占坑，内容是否可控目前还未知，目前遇见的困难是占坑分配的内存很快释放了，还来不及到use的地方。
coolboyme 雪币： 1206 活跃值： (637) 能力值： ( LV13，RANK：245 ) 在线值：发帖 23 回帖 101 粉丝 12 关注私信	coolboyme 3 2019-9-2 11:22 18 楼 0 搞定了xp 2003，结贴。由于目前还是有很多没有打补丁的机器，暂时不打算公开具体细节。也许一年以后等热度不那么高了，补丁都打上了，会公开相关细节和poc。遗憾的是win7 和 2008没有搞定地址随机化问题，对于这个点有任何新想法的求加 qq 646535763 不吝赐教最后于 2019-9-2 11:54 被coolboyme编辑，原因：
coolboyme 雪币： 1206 活跃值： (637) 能力值： ( LV13，RANK：245 ) 在线值：发帖 23 回帖 101 粉丝 12 关注私信	coolboyme 3 2019-9-6 15:44 19 楼 0 再次更新进展：目前可以搞定xp， 2003，非常稳定。但是win7 2008地址随机化搞不定，大家有没有什么新的思路啊... 我目前了解的情况好像都不是正解 1. 用ms17_010漏洞写0xffffd000的（都有ms17_010的漏洞了，还有0708什么事呢，脱了裤子打屁，多此一举） 2. cve-2019-0703 smb信息泄露（要求有smb user权限认证，某些情况下可以用，不够完美，也没有进一步研究0703 exp） 3. 360某论坛分享(rdp里面任意地址写漏洞。 v5 = v6; (_QWORD *)(v6 + 8) = v5; 的确存在任意地址写，但是写的内容v5，必须是一个地址，才疏学浅的我窃以为用它来实现一些PPT所述功能(构造页表入口，构造可执行页，构造跳转代码)吹牛的成分更大一点) 4. 360说有一个信息泄露，但是调试发现是登录以后才能触发，用不了 5. 欢迎大家分享自己踩的坑，一起交流进步。
killpy 雪币： 83 活跃值： (1047) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 651 粉丝 45 关注私信	killpy 2 2019-9-8 19:45 20 楼 0 好鼓励
葫芦娃雪币： 916 活跃值： (3414) 能力值： ( LV8，RANK：120 ) 在线值：发帖 10 回帖 167 粉丝 311 关注私信	葫芦娃 1 2019-9-8 21:55 21 楼 0 coolboyme 再次更新进展：目前可以搞定xp， 2003，非常稳定。但是win7 2008地址随机化搞不定，大家有没有什么新的思路啊... 我目前了解的情况好像都不是正解 1. 用ms17_010漏洞写0x ... 就在你写这条回复的时候msf已经有人提交rce exp了 currently targets 64-bit versions of Windows 7 and Windows Server 2008 R2. https://github.com/rapid7/metasploit-framework/pull/12283 最后于 2019-9-8 21:56 被葫芦娃编辑，原因：
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

coolboyme

发帖

101

回帖

245

RANK

关注

私信

他的文章

[原创]chrome v8漏洞CVE-2021-37975浅析

[原创]chrome v8漏洞CVE-2021-30632浅析

[原创]cve-2019-0708_bluekeep_xp_rce

[求助]cve-2019-0708 如何分配内存？

[原创]ctf2018 第二题数据结构

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
Aimeier 雪币： 3715 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 1 关注私信	Aimeier 2019-8-7 11:59 2 楼 0 0.0 最后于 2020-7-7 16:56 被Aimeier编辑，原因：补充
coolboyme 雪币： 1206 活跃值： (637) 能力值： ( LV13，RANK：245 ) 在线值：发帖 23 回帖 101 粉丝 12 关注私信	coolboyme 3 2019-8-9 16:27 3 楼 1 Aimeier 慢慢调试rdesktop即可。这个steps是完全正确的，按照这个完全写得出来。其实step3已经提示得超级明显了。多谢鼓励，再接再厉~
Adventure 雪币： 4398 活跃值： (1241) 能力值： ( LV7，RANK：113 ) 在线值：发帖 17 回帖 55 粉丝 23 关注私信	Adventure 2019-8-9 16:53 4 楼 2 为啥非要在已经关闭的信道里发送数据呢！你可以同时开启两个信道，关闭和漏洞相关的信道以后，马上往第二个信道里发送数据呀！另外我看Black Hat 2019 有大佬说可以从剪切板数据这个方向考虑一下！
陆晨雪币： 274 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	陆晨 2019-8-12 15:36 5 楼 0 你好，我最近也在研究这个漏洞，目前也是卡在了占坑这个地方，不知道可不可以和你交流一下。最后于 2019-8-12 15:55 被陆晨编辑，原因：写错
palkiver 雪币： 204 活跃值： (714) 能力值： ( LV9，RANK：195 ) 在线值：发帖 1 回帖 108 粉丝 2 关注私信	palkiver 2019-8-12 18:13 6 楼 0 其实人家说的已经很明显了，进一步提示就是你再去研究研究人家第二步所说的“channel control structure.” 最后于 2019-8-12 18:13 被palkiver编辑，原因：
coolboyme 雪币： 1206 活跃值： (637) 能力值： ( LV13，RANK：245 ) 在线值：发帖 23 回帖 101 粉丝 12 关注私信	coolboyme 3 2019-8-12 19:00 7 楼 0 coolboyme 多谢鼓励，再接再厉~ 再次感谢提示鼓励，找到了突破占坑的地方了。下一步构造锁的数据， call eax了。。
coolboyme 雪币： 1206 活跃值： (637) 能力值： ( LV13，RANK：245 ) 在线值：发帖 23 回帖 101 粉丝 12 关注私信	coolboyme 3 2019-8-12 19:01 8 楼 0 谢谢各位！最后于 2019-8-12 19:01 被coolboyme编辑，原因：
coolboyme 雪币： 1206 活跃值： (637) 能力值： ( LV13，RANK：245 ) 在线值：发帖 23 回帖 101 粉丝 12 关注私信	coolboyme 3 2019-8-12 19:02 9 楼 0 Adventure 为啥非要在已经关闭的信道里发送数据呢！你可以同时开启两个信道，关闭和漏洞相关的信道以后，马上往第二个信道里发送数据呀！另外我看Black Hat 2019 有大佬说可以从剪切板数据这个方向考虑一下！[ ... 谢谢 Adventure ，就是剪切板，早点看到你的消息，这个周末就可以安心休息两天了
coolboyme 雪币： 1206 活跃值： (637) 能力值： ( LV13，RANK：245 ) 在线值：发帖 23 回帖 101 粉丝 12 关注私信	coolboyme 3 2019-8-13 20:02 10 楼 0 Adventure 为啥非要在已经关闭的信道里发送数据呢！你可以同时开启两个信道，关闭和漏洞相关的信道以后，马上往第二个信道里发送数据呀！另外我看Black Hat 2019 有大佬说可以从剪切板数据这个方向考虑一下！[ ... 发现剪切板可以发送数据并在对端分配内存，可以控制大小和内容，但是问题来了，剪切板需要在登录以后才会创建信道，这个就尴尬了。
Adventure 雪币： 4398 活跃值： (1241) 能力值： ( LV7，RANK：113 ) 在线值：发帖 17 回帖 55 粉丝 23 关注私信	Adventure 2019-8-14 11:10 11 楼 0 coolboyme 发现剪切板可以发送数据并在对端分配内存，可以控制大小和内容，但是问题来了，剪切板需要在登录以后才会创建信道，这个就尴尬了。鼠标和键盘消息呢？
小旭msx 雪币： 185 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	小旭msx 2019-8-15 07:25 12 楼 0 我也卡了在占坑这了，我看github上边的未完成的poc里一般都是创建了好几个t120通道，一直在想应该和占坑有关系
小旭msx 雪币： 185 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	小旭msx 2019-8-15 07:33 13 楼 0 qq137747998，加下我，一起讨论下，进度可能快些
陆晨雪币： 274 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	陆晨 2019-8-15 11:52 14 楼 0 更新一下进度，目前还是在寻找可以发送数据的地方，可发数据的通道目前知道的是IO通道和rdpdr通道，或者创建多个t120通道，IO通道看了所有使用icachannelinput的地方，用键盘数据目前50%几率可以占坑，但是可控字节不足。rdpdr通道和t120通道都存在free问题，在free掉t120通道后这两个通道也会free掉，导致无法到达allocate，qq547079826，可以加我讨论一下。
coolboyme 雪币： 1206 活跃值： (637) 能力值： ( LV13，RANK：245 ) 在线值：发帖 23 回帖 101 粉丝 12 关注私信	coolboyme 3 2019-8-15 16:42 15 楼 0 594137965 欢迎加群讨论，仅限poc技术交流
coolboyme 雪币： 1206 活跃值： (637) 能力值： ( LV13，RANK：245 ) 在线值：发帖 23 回帖 101 粉丝 12 关注私信	coolboyme 3 2019-8-15 16:42 16 楼 0 小旭msx qq137747998，加下我，一起讨论下，进度可能快些 594137965 欢迎加群讨论，仅限poc技术交流
coolboyme 雪币： 1206 活跃值： (637) 能力值： ( LV13，RANK：245 ) 在线值：发帖 23 回帖 101 粉丝 12 关注私信	coolboyme 3 2019-8-15 16:44 17 楼 0 Adventure 鼠标和键盘消息呢？[em_1] 键盘鼠标消息，目前可以成功占坑，内容是否可控目前还未知，目前遇见的困难是占坑分配的内存很快释放了，还来不及到use的地方。
coolboyme 雪币： 1206 活跃值： (637) 能力值： ( LV13，RANK：245 ) 在线值：发帖 23 回帖 101 粉丝 12 关注私信	coolboyme 3 2019-9-2 11:22 18 楼 0 搞定了xp 2003，结贴。由于目前还是有很多没有打补丁的机器，暂时不打算公开具体细节。也许一年以后等热度不那么高了，补丁都打上了，会公开相关细节和poc。遗憾的是win7 和 2008没有搞定地址随机化问题，对于这个点有任何新想法的求加 qq 646535763 不吝赐教最后于 2019-9-2 11:54 被coolboyme编辑，原因：
coolboyme 雪币： 1206 活跃值： (637) 能力值： ( LV13，RANK：245 ) 在线值：发帖 23 回帖 101 粉丝 12 关注私信	coolboyme 3 2019-9-6 15:44 19 楼 0 再次更新进展：目前可以搞定xp， 2003，非常稳定。但是win7 2008地址随机化搞不定，大家有没有什么新的思路啊... 我目前了解的情况好像都不是正解 1. 用ms17_010漏洞写0xffffd000的（都有ms17_010的漏洞了，还有0708什么事呢，脱了裤子打屁，多此一举） 2. cve-2019-0703 smb信息泄露（要求有smb user权限认证，某些情况下可以用，不够完美，也没有进一步研究0703 exp） 3. 360某论坛分享(rdp里面任意地址写漏洞。 v5 = v6; (_QWORD *)(v6 + 8) = v5; 的确存在任意地址写，但是写的内容v5，必须是一个地址，才疏学浅的我窃以为用它来实现一些PPT所述功能(构造页表入口，构造可执行页，构造跳转代码)吹牛的成分更大一点) 4. 360说有一个信息泄露，但是调试发现是登录以后才能触发，用不了 5. 欢迎大家分享自己踩的坑，一起交流进步。
killpy 雪币： 83 活跃值： (1047) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 651 粉丝 45 关注私信	killpy 2 2019-9-8 19:45 20 楼 0 好鼓励
葫芦娃雪币： 916 活跃值： (3414) 能力值： ( LV8，RANK：120 ) 在线值：发帖 10 回帖 167 粉丝 311 关注私信	葫芦娃 1 2019-9-8 21:55 21 楼 0 coolboyme 再次更新进展：目前可以搞定xp， 2003，非常稳定。但是win7 2008地址随机化搞不定，大家有没有什么新的思路啊... 我目前了解的情况好像都不是正解 1. 用ms17_010漏洞写0x ... 就在你写这条回复的时候msf已经有人提交rce exp了 currently targets 64-bit versions of Windows 7 and Windows Server 2008 R2. https://github.com/rapid7/metasploit-framework/pull/12283 最后于 2019-9-8 21:56 被葫芦娃编辑，原因：
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复