-
-
[原创]Windows Service Tracing 权限提升漏洞(CVE-2020-0668)
-
发表于: 2023-2-22 18:26 10649
-
Windows Service Tracing中存在任意文件移动漏洞,该功能旨在提供有关运行服务和模块的一些基本调试信息,可以由任何本地用户配置。
服务或模块与注册表项相关联。每个键包含 6 个值。我们关注的 3 个值是:
EnableFileTracing (启用/禁用“跟踪”)、
FileDirectory(设置输出日志文件的位置)、
MaxFileSize(设置日志文件的最大文件大小)。
启用服务后(EnableFileTracing ),目标服务将会在指定的位置(FileDirectory)写入目录文件,当日志文件的大小达到设置的最大值时,文件将会被移动,并新建一个日志文件。
使用AccessChk Windows Sysinternals 工具套件,可以看到普通用户具有几乎所有子键的读写权限。
b3bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6D9k6h3q4J5L8W2)9J5k6h3#2A6j5%4u0G2M7$3!0X3N6q4)9J5k6h3y4G2L8g2)9J5c8X3g2F1i4K6u0V1N6i4y4Q4x3V1k6K6P5i4y4A6L8Y4c8W2M7X3&6S2L8s2y4Q4x3V1k6V1L8%4N6F1L8r3!0S2k6s2y4Q4x3V1k6S2j5$3y4W2M7%4y4U0K9r3D9`.
RASTAPI模块被 IKEEXT 服务使用。因此,可以通过启动虚拟 VPN 连接轻松触发日志事件。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\RASTAPI
Name Possible values Description
EnableFileTracing 0 - 1 开始或停止写入log文件
FileDirectory A String 目录的绝对路径
MaxFileSize 0x00000000 - 0xffffffff 输出日志文件的最大大小
日志文件由NT AUTHORITY\SYSTEM写入
当输出的日志文件大于设置的最大文件值时,它将被移动(扩展名被替换)并创建一个新的日志文件。
SetRenameInformationFile将其从移动C:\LOGS\RASTAPI.LOG到C:\LOGS\RASTAPI.OLD.
可以通过控制EnableFileTracing|FileDirectory|MaxFileSize 值,在任意目录(如C:\Windows\system32\)下写入文件,目前可以做到在FileDirectory指定的目录创建一个文件大小大于MaxFileSize的RASTAPI.LOG,这样它可以被移动并改为RASTAPI.OLD
但是还不能控制文件名,和要写入的位置
这就要用到符号链接技术
有请chatgpt:
里面提到创建符号链接需要管理员权限,搜到了微软的一篇文章
9adK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4M7#2)9J5k6i4N6A6L8X3c8G2N6%4y4Q4x3X3g2U0L8$3#2Q4x3V1k6%4K9h3&6V1L8%4N6K6k6r3g2$3k6h3I4G2M7r3g2J5i4K6u0r3x3U0l9I4y4W2)9J5c8U0p5J5i4K6u0r3x3o6u0Q4x3V1k6K6P5h3#2D9K9h3&6C8M7#2)9J5k6s2N6A6L8X3c8G2N6%4y4Q4x3X3b7I4x3q4)9J5c8R3`.`.
里面说到从 Windows 10 Insiders build 14972 开始,符号链接对开发者将不再需要管理员权限,这可以让开发者像在 Linux 或 macOS 上一样高效地工作。googleprojectzero项目可以不用管理员权限创捷符号链接
c4fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6Y4L8$3!0Y4L8r3g2H3M7X3!0B7k6h3y4@1P5X3g2J5L8#2)9J5c8Y4y4&6L8h3u0G2L8r3W2U0L8r3W2F1K9#2)9J5k6s2c8W2M7%4c8A6L8X3N6Q4x3X3c8@1L8$3!0D9M7H3`.`.
Project Zero中的开源项目有详细解释符号链接
可以做如下的尝试
结果E:\Log\1.txt中的内容就是1,代入场景:如果一个高权限用户,要向一个低权限用户可控的目录中写入文件,那么低权限用户可以将目标文件通过符号链接重定向到另外一个无权限的文件,甚至达到任意代码执行。
在CVE-2020-0668中创建两个符号链接,
RASTAPI.LOG-》大于MaxFileSize的文件,
RASTAPI.OLD-》C:\Windows\System32\WindowsCoreDeviceInfo.dll
这样就实现了任意文件移动
该漏洞的利用流程为
在DiagTrack服务中回去调用一个不存在的dll,windowscoredeviceinfo.dll
通过劫持这个dll来提升权限
通过劫持不存在的系统dll来提升权限还由该研究员的这篇文章,all editions of Windows Server, from 2008R2 to 2019
4bdK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6A6N6r3@1@1L8W2)9J5k6h3N6A6N6r3S2#2j5W2)9J5k6h3W2G2i4K6u0r3N6$3W2F1k6r3!0%4M7#2)9J5k6s2y4W2M7Y4k6W2M7W2)9J5k6r3&6W2N6r3#2S2L8W2)9J5k6r3c8D9L8q4)9J5k6r3S2A6K9X3q4U0K9$3W2F1k6#2)9J5c8R3`.`.
在win10上还可以使用CVE -2023-21746中所写的劫持打印机的dll(msf生成的shell就行)
C:\Windows\System32\spool\drivers\x64\3\PrintConfig.dll
再通过已system进行身份验证的CLSID
(不过直接使用CVE -2023-21746提权就好了,只是记录下学习dll劫持提权的知识)
参考链接:
6bfK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6A6N6r3@1@1L8W2)9J5k6h3N6A6N6r3S2#2j5W2)9J5k6h3W2G2i4K6u0r3j5%4k6W2i4K6u0V1x3U0l9J5x3q4)9J5k6o6l9$3y4U0S2Q4x3X3c8%4K9h3&6V1L8%4N6K6i4K6u0V1M7$3g2J5N6X3W2U0k6g2)9J5k6s2c8J5j5h3y4A6L8X3N6Q4x3X3c8W2L8%4m8Q4x3V1j5`.
ebeK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5i4W2D9L8$3q4V1M7#2)9J5k6h3!0F1L8r3W2F1k6g2)9J5c8X3q4J5j5$3S2A6N6X3g2J5M7#2)9J5c8U0t1H3x3U0m8Q4x3X3b7H3x3#2)9J5k6o6t1I4i4K6u0r3x3g2)9J5c8R3`.`.
d79K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6A6N6r3@1@1L8W2)9J5k6h3N6A6N6r3S2#2j5W2)9J5k6h3W2G2i4K6u0r3N6i4y4G2k6r3I4D9L8r3!0S2k6r3g2J5i4K6u0V1M7r3q4J5N6o6q4Q4x3V1k6Q4x3U0y4X3L8%4u0W2N6$3!0J5k6l9`.`.
efcK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4M7#2)9J5k6i4N6A6L8X3c8G2N6%4y4Q4x3X3g2U0L8$3#2Q4x3V1k6%4K9h3&6V1L8%4N6K6k6r3g2$3k6h3I4G2M7r3g2J5i4K6u0r3x3U0l9I4y4W2)9J5c8U0p5J5i4K6u0r3x3o6u0Q4x3V1k6K6P5h3#2D9K9h3&6C8M7#2)9J5k6s2N6A6L8X3c8G2N6%4y4Q4x3X3b7I4x3q4)9J5c8R3`.`.
f68K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2N6$3q4D9N6r3g2J5L8s2k6Q4x3X3g2U0L8$3#2Q4x3V1k6H3L8%4y4@1i4K6u0r3L8Y4c8X3M7#2)9J5k6r3I4A6L8X3E0Q4x3X3c8U0L8$3#2H3j5i4u0A6M7$3!0F1M7#2)9J5k6h3S2@1L8h3H3`.
9dfK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6F1K9i4S2Z5j5h3y4C8k6i4u0Q4x3X3g2U0L8$3#2Q4x3V1k6#2L8X3c8W2M7Y4y4@1j5h3&6V1K9h3&6Y4i4K6u0V1j5h3&6V1i4K6u0V1k6i4S2H3L8r3!0A6N6r3W2F1k6#2)9J5k6s2y4&6L8h3u0G2L8r3W2U0i4K6u0V1L8r3W2F1K9#2)9J5k6r3W2F1i4K6u0V1N6$3W2F1k6r3!0%4M7#2)9J5c8R3`.`.
CreateSymLink.exe C:\Log\
1.txt
E:\Log\
1.txt
echo
1
> C:\Log\
1.txt
CreateSymLink.exe C:\Log\
1.txt
E:\Log\
1.txt
echo
1
> C:\Log\
1.txt
1
、创建(或复制)一个大小大于
0x8000
(
32
,
768
) 字节的文件。
2
、创建一个新目录(C:\EXPLOIT\mountpoint\例如)并将其设置为\RPC Control.
3
、创建以下符号链接:
\RPC Control\RASTAPI.LOG
-
> \??\C:\EXPLOIT\FakeDll.dll (owner
=
current user)
\RPC Control\RASTAPI.OLD
-
> \??\C:\Windows\System32\WindowsCoreDeviceInfo.dll
4
、在注册表中配置以下值:
FileDirectory
=
C:\EXPLOIT\mountpoint
MaxFileSize
=
0x8000
(
32
,
768
bytes)
EnableFileTracing
=
1
5
、RasDial使用Windows API 中的函数触发 RASTAPI 相关事件。
6
、触发 Update Session Orchestrator 服务以在 的上下文中加载 DLL NT AUTHORITY\SYSTEM。
1
、创建(或复制)一个大小大于
0x8000
(
32
,
768
) 字节的文件。
2
、创建一个新目录(C:\EXPLOIT\mountpoint\例如)并将其设置为\RPC Control.
3
、创建以下符号链接:
\RPC Control\RASTAPI.LOG
-
> \??\C:\EXPLOIT\FakeDll.dll (owner
=
current user)
\RPC Control\RASTAPI.OLD
-
> \??\C:\Windows\System32\WindowsCoreDeviceInfo.dll
4
、在注册表中配置以下值:
FileDirectory
=
C:\EXPLOIT\mountpoint
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课