首页
社区
课程
招聘
[分享] Windows Backup Service 本地提权漏洞(CVE-2023-21752)
发表于: 2023-4-3 15:41 9769

[分享] Windows Backup Service 本地提权漏洞(CVE-2023-21752)

2023-4-3 15:41
9769

最近学习了一下CVE-2023-21752这个漏洞,分享一些看到的相关的帖子,并记录下自己学习时遇到的疑惑的点
首先是zoemurmure大佬的分析文章,写的很详细了
https://www.zoemurmure.top/posts/cve_2023_21752_1/

 

Windows的文件DACL(禁止访问控制列表)是一种权限设置,允许或禁止用户或用户组对特定文件或文件夹进行访问、修改、执行或删除等操作。DACL是Windows的安全模型的一部分,是一种定义文件或文件夹访问权限的方式。它可以控制特定用户或用户组对文件或文件夹的访问权限,以此保证文件或文件夹的安全性和私密性。
Windows Installer Service是Windows操作系统的组件之一,它允许安装、修改或卸载应用程序。在安装或卸载某些应用程序时,Windows Installer Service可能创建一个名为C:\Config.Msi的文件夹,其中包含一些与安装和卸载过程有关的信息。

 

在C:\Config.Msi目录下,Windows Installer Service可能会创建以下类型的文件:

 

.rbs文件:回滚脚本文件(Rollback Script File,.rbs文件)记录了在安装过程中需要撤消的更改列表。如果安装出现错误,.rbs文件将允许Windows Installer Service自动回滚安装。

 

.rbf文件:回滚文件(Rollback File,.rbf文件)记录在安装过程中所做的更改的详细信息。这些信息包括更改的名称、位置、时间戳等。如果需要回滚安装,则Windows Installer Service使用这些文件来还原系统的状态。

 

关于如何从Windows任意文件删除到权限提升的文章
https://www.zerodayinitiative.com/blog/2022/3/16/abusing-arbitrary-file-deletes-to-escalate-privilege-and-other-great-tricks
https://offsec.almond.consulting/intro-to-file-operation-abuse-on-Windows.html

 

关于符号链接的文章
https://nixhacker.com/understanding-and-exploiting-symbolic-link-in-windows/
图片描述
项目
https://github.com/googleprojectzero/symboliclink-testing-tools
该项目使用的目录链接,“\RPC Control”,使用该工具时C:\test应为空目录
这也是exp中要移动临时文件到其他目录中的原因(C:\test也不要在被使用中)
图片描述
图片描述
借用zoemurmure师傅的图
图片描述
在win11 22h2中使用此工具创建符号链接会被win Defender杀掉
win10 21H2可以用,具体能用到那个版本没测

 

安装MSI程序需要管理员权限,exp中带有特制的msi,会触发回滚,这个msi程序不需要管理员权限,可能是没有更改系统注册表等信息的原因?
图片描述
图片描述

 

新建用户随便安装个东西看下Config.msi
图片描述
借用zoemurmure师傅的图,这里创建删除再创建是Windows Installer Service自己的流程
图片描述
图片描述

 

在CVE-2023-21800中提到了Redirection Guard
https://blog.doyensec.com//2023/03/21/windows-installer.html
图片描述
2022 年 10 月,Microsoft 在Windows 10 和 Windows 11 上发布了一项名为 Redirection Guard 的新功能。该更新引入了一种名为ProcessRedirectionTrustPolicy的新型缓解措施和相应的PROCESS_MITIGATION_REDIRECTION_TRUST_POLICY 结构。如果为给定进程启用了缓解,则会额外验证所有已处理的连接。验证首先检查文件系统连接是否由非管理员用户创建,如果是,则策略是否阻止遵循它们。如果操作被阻止,0xC00004BC则返回错误。管理员用户创建的联结被明确允许具有更高的信任级别标签。msiexec是少数几个默认强制执行此缓解措施的应用程序之一。
CVE-2023-21752exp中使用了DDD_NO_BROADCAST_SYSTEM 即仅在当前进程中创建符号链接,不影响到msiexec。
图片描述

 

新手,如有不对请指正,感谢
不清楚如何构造的Msi_Rollback.msi,希望大佬们指教


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 2
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//