首页
社区
课程
招聘
[原创]CVE-2021-3438打印机驱动SSPORT.sys提权(内核写内存)分析
发表于: 2021-7-22 15:17 9432

[原创]CVE-2021-3438打印机驱动SSPORT.sys提权(内核写内存)分析

2021-7-22 15:17
9432

偶然看到一篇文章提到打印机驱动SSPORT.sys提权,想着有sys提权就必然伴随着内核读写,网上并没有相关文章遂自己分析,IDA打开SSPORT.sys,直接进入MajorFunction[14], 原始,然后调整结构体及变量名得到如下 23

能操作的控制码只有一个--0x9C402408

从下往上看当v14不为0时从用户缓冲区拷贝内存到驱动空间,为0时从驱动空间拷贝内存到用户缓冲区,Dest是驱动空间中的data段内存,该空间长度为0x1000,再往上v14取决于上边的的while逐个比较qword_11030中字符串, 图片描述

所以输入缓冲区为'AA'的时候while走3次,v13为0的时候v14被设为0.

利用:
1.若在第一个strncpy溢出,修改dest空间后的不可写空间----蓝
图片描述
2.若v14不为0时在第二个strncpy溢出,修改用户缓冲区后的内存,可以修改内存,但不一定覆盖得到可利用的指针或内存。

结论:除非踩了天大的狗屎运否则屁用没有,如果有朋友提供更好的利用方式小弟不胜感激。

引用:
https://threatpost.com/hp-printer-driver-bug-windows/167944/

3


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2021-7-22 17:35 被CIVIL哈编辑 ,原因:
收藏
免费 1
支持
分享
最新回复 (1)
雪    币: 1
活跃值: (398)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2

表情包拿了

最后于 2021-7-23 09:48 被sky5编辑 ,原因:
2021-7-23 09:44
0
游客
登录 | 注册 方可回帖
返回
//