首页
社区
课程
招聘
[原创][原创]CVE-2021-31956 Ntfs.sys 在野漏洞简析
发表于: 2021-8-2 11:45 22710

[原创][原创]CVE-2021-31956 Ntfs.sys 在野漏洞简析

2021-8-2 11:45
22710

CVE-2021-31956 Ntfs.sys 在野漏洞简析

前言

2021年6月份,卡巴斯基捕获在野0day chrome full chain 利用链,其组织为PuzzleMaker[1],该利用链使用了Chrome 1day CVE-2021-21220/CVE-2021-21224 V8 RCE 漏洞实现远程代码执行,并串联了内核信息泄露漏洞CVE-2021-31955,Ntfs.sys 内核提权漏洞CVE-2021-31956 来实现沙盒逃逸。

 

CVE-2021-31956 为整数下溢漏洞,可导致内核池溢出,可从低完整度提升到system 权限

分析

漏洞发生在ntfs.sys 中NtfsQueryEaUserEaList 函数

 

 

通过构造不同的EA query,其中PreEaPadding 长度可以为0,1,2,3

 

 

而在使用API NtQueryEaFile时,可以通过控制buffer 长度,在合理设置的情况下进一步使UserBufferLength 为0

 

为此当UserBufferLength - PrevEaPadding 出现 0 - 1/2/3 的情况时,eax 会为0xffffffff/...

 

 

于是突破了“if ( RawEaSize <= UserBufferLength - PrevEaPadding )” 的限制,“memmove(NextFullEa, ThisEa, RawEaSize)” 中NextFullEa 为于内核分页池中,将发生池溢出的情况。

利用

该漏洞利用较为简单,我们可以控制溢出的数据和大小,直接使用SegmentHeap aligned chunk confusion 来构造任意读,之后通过fake eprocess 来构造任意减,从而修改privileges,进一步获取SeDebugPrivileges 权限,通过远程线程注入winlogon 来弹出cmd.

 

以下视频为21h1 系统上利用

 

<video id="video" control="" preload="none" poster="">
<source id="mp4" src="1.mp4" type="video/mp4">
</video>

 

不知道传exp 合法不

链接

  1. https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2021-8-2 11:48 被lifeandi编辑 ,原因: 图片显示
上传的附件:
收藏
免费 2
支持
分享
最新回复 (5)
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2



经过逆向lfh,问题已解决了。

最后于 2021-12-21 21:53 被wx_暮光之眼编辑 ,原因:
2021-12-12 17:21
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
3
555
2022-1-6 16:53
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
弄不来啊,这exp就给一个执行效果,执行谁不会啊,关键是exp弄不来啊
2022-1-6 16:54
0
雪    币: 102
活跃值: (1356)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
国服猪儿虫 弄不来啊,这exp就给一个执行效果,执行谁不会啊,关键是exp弄不来啊
多大点事,不就是没EXP吗,自己写一个不就行了,执行EXP这么难的操作你都会,写个EXP应该不难吧。
2022-1-7 16:02
0
雪    币: 4
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
6
大佬能不能给个exp啊
2022-4-23 17:41
0
游客
登录 | 注册 方可回帖
返回
//