首页
社区
课程
招聘
[原创]CVE-2014-4113提权漏洞学习笔记
发表于: 2022-3-11 15:58 24385

[原创]CVE-2014-4113提权漏洞学习笔记

2022-3-11 15:58
24385

该漏洞发生的位置是在驱动文件Win32k.sys中的xxxHandleMenuMessage函数,产生的原因是没有对该函数中调用的xxxMNFindWindowFromPoint函数的返回值进行合法性验证,直接将其作为参数传递给后面的xxxSendMessage函数调用,从而造成了提权漏洞。

操作系统:Win7 x86 sp1 专业版

编译器:Visual Studio 2017

调试器:IDA Pro,WinDbg

通过IDA直接查看xxxHandleMenuMessage函数,可以在其中看到,在该函数中,会首先调用xxxMNFindWindowFromPoint函数,然后将该函数的返回值作为第一个参数被下面的xxxSendMessage函数调用。

xxxSendMessage函数是通过调用xxxSendMessageTimeout函数来实现的,而在xxxSendMessageTimeout中会有如下的代码:

此时esi保存的就是xxxSendMessage第一个参数的值,也就是说此时esi=iRet。因此,如果xxxMNFindWindowFromPoint函数的返回值为-5的话,那么,此时call dword ptr [esi + 0x60]就会是call dword ptr [-5 + 0x60],就等于call dword ptr [0x5B]。此时,可以通过在0x5B处保存要执行的ShellCode的地址,那么此处的call dword ptr [esi+0x60]就会执行指定的ShellCode。

而在xxxMNFindWindowFromPoint函数中,会调用xxxSendMessage来发送一个0x1EB的消息。如果xxxSendMessage函数的返回值非0的话(比如-5),那么该返回值就会作为xxxMNFindWindowFromPoint函数的返回值返回回去。

这里IDA反编译的结果出了问题,在反汇编的代码中是可以看到,此处的xxxSendMessage函数发送的消息是0x1EB的消息:

运行exp,在xxxMNFindWindowFromPoint函数发送消息的地址下断点

中断以后,调用函数发送消息,然后查看返回值可以看到此时的返回值就是-5

继续运行到xxxMNFindWindowFromPoint函数返回前,可以看到此时的返回值为-5

继续向下运行到xxxSendMessageTimeout调用函数处的call dword ptr [esi + 60h],可以看到此时的esi等于-5,而0x5B保存了要执行的ShellCode的地址

继续运行,就会运行ShellCode的代码完成提权

想要成功触发该漏洞,需要使用TrackPopupMenu函数,该函数定义如下:

其中第一个参数hMenu是一个pop-up菜单,第六个参数hWnd则是拥有该菜单的窗口句柄,因此在exp中要创建好这些窗口,然后调用函数触发漏洞:

同时,在主窗口的处理函数中,也需要进行判断。如果窗口处于空闲状态,需要通过PostMessage函数来模拟鼠标和键盘的操作,这样才能成功发送0x1EB的消息来达到漏洞点

为了让xxxSendMessage函数返回-5触发漏洞,还需要通过SetWindowHook来加入钩子函数,

在钩子函数中,拦截0x1EB的消息,通过SetWindowLongA函数来修改菜单窗口的属性。这里的第二个参数传入的是GWL_WNDPROC,意味着修改的是窗口的处理函数

在窗口处理函数中,如果接收的消息是0x1EB的消息,则调用EndMenu函数销毁窗口且返回-5来触发漏洞


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2022-8-5 10:53 被1900编辑 ,原因:
收藏
免费 6
支持
分享
打赏 + 50.00雪花
打赏次数 1 雪花 + 50.00
 
赞赏  Editor   +50.00 2022/04/01 恭喜您获得“雪花”奖励,安全圈有你而精彩!
最新回复 (9)
雪    币: 231
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
问个很菜鸟的问题,Win32k.sys中的xxxHandleMenuMessage函数是它的导出函数吗?在导出表中并没有找到,该怎么找到它的代码实现呢?
2022-4-1 18:35
0
雪    币: 22411
活跃值: (25361)
能力值: ( LV15,RANK:910 )
在线值:
发帖
回帖
粉丝
3
浅汐 问个很菜鸟的问题,Win32k.sys中的xxxHandleMenuMessage函数是它的导出函数吗?在导出表中并没有找到,该怎么找到它的代码实现呢?
没有导出来 你要在IDA里面搜
2022-4-1 20:07
0
雪    币: 159
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
想学习一下,请问没有补丁的镜像在哪里找的呢
2022-6-11 15:34
0
雪    币: 22411
活跃值: (25361)
能力值: ( LV15,RANK:910 )
在线值:
发帖
回帖
粉丝
5
F2zZ 想学习一下,请问没有补丁的镜像在哪里找的呢
MSDN我告诉你上面有很多。。
2022-6-11 15:58
0
雪    币: 159
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
6
1900 MSDN我告诉你上面有很多。。
嗯,我就是在上面下载的,win7 x86 sp1打过补丁了。
0x3,0x11两个检测点偏移也变了
2022-6-11 16:10
1
雪    币: 22411
活跃值: (25361)
能力值: ( LV15,RANK:910 )
在线值:
发帖
回帖
粉丝
7
F2zZ 嗯,我就是在上面下载的,win7 x86 sp1打过补丁了。 0x3,0x11两个检测点偏移也变了
你装系统的时候不要让它自动更新
2022-6-11 17:22
0
雪    币: 234
活跃值: (801)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
师傅,你那有没有编译好的exp的exe,那个2019导入项目有点问题
2022-8-3 17:23
0
雪    币: 22411
活跃值: (25361)
能力值: ( LV15,RANK:910 )
在线值:
发帖
回帖
粉丝
9
筱小 师傅,你那有没有编译好的exp的exe,那个2019导入项目有点问题

这是针对这个漏洞编译好的exp

上传的附件:
2022-8-5 10:27
0
雪    币: 234
活跃值: (801)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
1900 这是针对这个漏洞编译好的exp
好的,谢谢1900大师傅
2022-8-11 09:28
0
游客
登录 | 注册 方可回帖
返回
//