简介:
CVE-2019-1215是ws2ifsl.sys中的一处UAF漏洞,原POC中,主要通过提前释放+堆喷的方式,修改函数执行流程,造成任意内存写的作用。本文主要基于原POC介绍(https://www.anquanke.com/post/id/196893),进行一些深入的分析。
测试环境:
Windows 10 18362.30 x64
背景知识:
ws2ifsl.sys中SocketFile和ProcessFile对象的分配:
在驱动的DispatchCreate函数中,驱动根据上层传入的字符串,判断初始化的对象类型:
(1)NifsSct初始化SocketFile对象 对应的FSContext为sockedData
(2)NifsPvd初始化ProcessFile对象 对应的FSContext为procData
驱动通过FileObject的FSContext对象,区分对象是SocketFile还是ProcessFile
SocketFile: FSContext前4个字节为硬编码0x6B636F53 对应字符串 'kcoS'
ProcessFile: FSContext前4个字节为硬编码0x636F7250 对应字符串 'corP'
(1)CreateProcessFile函数中的 ProcessFile初始化
(2)CreateSocketFile函数中的 SocketFile初始化
ws2ifsl.sys中SocketFile和ProcessFile对象的释放:
释放的位置在DispatchClose函数中,驱动根据FSContext头4个字节的硬编码内容,分别进行释放操作
procData中的KAPC初始化:
在调用CreateProcessFile初始化ProcessFile时,内部会调用InitializeRequestQueue初始化一个APC队列。位置为procData+0x30处
因此procData的主要结构如下,我们的目标,便是在提前释放后利用堆喷,修改KernelRoutine指向我们希望执行的函数(这个函数最好能够进行内存读写的功能)达到利用的目的
procData中的APC分发:
每次在向SocketFile下发读写操作时,驱动会调用DoSocketReadWrite函数,DoSocketReadWrite会先通过socketData获取procData,然后调用QueueRequest,最终调用SignalRequest利用procData中的KAPC分发APC。
漏洞根本原因:
提前关闭了ProcessFile句柄,会导致procData提前释放。但是在SocketFile如果之前有下发读写操作时,procData中的KAPC结构依然在使用,这样在下一次APC调度的时候,造成UAF。
利用步骤:
(1)分配好ProcessFile和SocketFile
(2)提前释放ProcessFile,并往SocketFile中写数据
(3)利用堆喷,占坑PorcessFile释放的位置,其中的关键逻辑是伪造KAPC结构,避免系统检查异常导致蓝屏
(4)调用NtTestAlert强制分发APC,触发任意写,破坏token,之后注入winlogon完成提权。
利用过程:
1.分配好ProcessFile和SocketFile,没什么可说的
在驱动调用CreateProcessHandle初始化完后,procData的结构如下,大小为0x120
注意procData+0x30处的KAPC结构,初始化完毕以后如下。其中的RequestRundownRoutine函数是用来在APC调度完毕后做一些清理操作的函数,如释放DoSocketReadWrite分配的MDL内存,完成R3的IRP请求操作等。QueuedKernelRoutine则是接下来APC分发要调用的函数
2.关闭ProcessFile句柄,并往SocketFile中写数据,之后关闭SocketFile句柄,触发提前释放操作。从堆栈可以看出,其实是因为关闭了socketHandle,间接减少了proHandle的引用计数,触发了内存释放的操作。
释放以后的内存状态如下
3.利用堆喷,占坑ProcessFile释放的位置,其中的关键逻辑是伪造KAPC结构,同时要避免系统检查异常导致蓝屏
这里利用的手法是:利用命名管道的创建和读写进行堆
的占坑的操作。注意在WIN10 18362版本上,DATAENTRY的结构头占0x30字节(参考Npfs!NpAddDataQueueEntry函数)
所以前0x30字节的DATAENTRY头我们是不能进行改写的,但是procData的KAPC恰好位于0x30字节开始处(运气好)
同时占坑的内容为我们精心构造的KAPC结构,我们构造的目的主要有两个:
(1)在APC调度的时候执行我们的代码,我们只需要将KAPC中的KernelRoutine替换成我们的函数即可,这里我们使用的
是SeSetAccessStateGenericMapping,原因是他可以向第二个参数的位置 写入第一个参数指定内容,写入的大小为16个字节(xmm0)。前八字节可控(rdx)
我们在构造的时候,只需要将这两个参数,构造成我们想写的地址,和写的内容即可。注意第一个参数对应KAPC的NormalContext
第二个参数对应KAPC的SystemArgument2参数
这里我们构造的写入地址为当前进程的Token位,目的是启用Privileges的Present和Enabled位(原POC中使用0xffffffffffffffff覆盖)
(2)绕过内核的安全检查
为了避免蓝屏,我们需要保证ApcListEntry字段的正确性。这里我们直接使用当前线程的KTHREAD结构里面的ApcState的链表进行替换即可。
堆喷成功以后,对应的APC结构如下图(PS.原POC将NornalRoutine指定为xHalTimerWatchdogStop,其只有一条ret指令,目的时为了不进行任何处理操作)
4.调用NtTestAlert强制分发APC,触发任意写,破坏token,之后注入winlogon完成提权。
NtTestAlert能够强制当前线程进行APC的分发操作,继而触发SeSetAccessStateGenericMapping的函数调用,向指定的位置写数据。
触发以后的效果,可以看到成功的向Present和Enabled位写入了0xffffffffffffffff,并且可以注入winlogon进程,达到提权的效果。
系统补丁:
参考第二步的利用堆栈。因为根本原因是因为ProcessFile对象提前释放导致的,所以,微软的修改方法就是在初始化ProcessFile时,在procData增加一个内部引用计数,初始化为1。在每次有APC分发时(SignalRequest函数),增加引用计数,APC分发完毕后的清理函数中(RequestRundownRoutine函数),减少引用计数。DispatchClose被触发时,同样减少引用计数,检查引用计数是否为0,如果为0,就直接释放。非0说明此时还有APC在分发,先不进行释放,等到APC分发完毕之后的清理函数中(RequestRundownRoutine)再进行释放。避免了提前释放的情况发生
参考链接:
https://www.anquanke.com/post/id/196893
https://labs.bluefrostsecurity.de/blog/2020/01/07/cve-2019-1215-analysis-of-a-use-after-free-in-ws2ifsl/
https://github.com/bluefrostsecurity/CVE-2019-1215
http://www.alex-ionescu.com/?p=231
[培训]《安卓高级研修班(网课)》月薪三万计划,掌
握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
最后于 2020-2-19 14:47
被我是哥布林编辑
,原因: