首页
社区
课程
招聘
[分享]Windows CLFS 权限提升漏洞CVE-2023-28252
发表于: 2023-8-2 17:34 14642

[分享]Windows CLFS 权限提升漏洞CVE-2023-28252

2023-8-2 17:34
14642

做个记录,文章写的不好,建议直接看参考链接里的文章
参考文章:
https://mp.weixin.qq.com/s/Qlst6CX_z1A698Tvvx-bIQ
https://www.anquanke.com/post/id/288808
https://github.com/fortra/CVE-2023-28252
https://www.zscaler.com/blogs/security-research/technical-analysis-windows-clfs-zero-day-vulnerability-cve-2022-37969-part2-exploit-analysis
https://bbs.kanxue.com/thread-278241.htm

MD5:0624FBFA7618628E1EDE80FCC3C36B25
样本有 Themida – Winlicense 壳
过壳方法:https://github.com/VenTaz/Themidie
##利用步骤
0, 清空对应的工作目录
图片描述
1, 通过HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion获得系统版本,根据系统版本判断是否支持利用,并确定 Token 和 PreviousMode 偏移。
图片描述
2, 获得一些基础信息。
获取系统版本
图片描述
之后获取对应系统及当前进程的内核偏移,并初始化一系列内存。

通过动态地址获取的方式分别从clfs.sys/ntoskrnl.exe中获取函数ClfsEarlierLsn,ClfsMgmtDeregisterManagedClient,RtlClearBit/ PoFxProcessorNotification,SeSetAccessStateGenericMapping
图片描述
图片描述

3, 检测当前进程的访问令牌的句柄是否存在于系统句柄列表中。
图片描述
图片描述
之后在0x5000000位置分配0x1000000长度的内存
图片描述

4, 创建 C:\Users\Public\p_%08d 文件并获得其 _FILE_OBJECT 的地址。
图片描述


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2023-11-6 15:36 被kanxue编辑 ,原因:
收藏
免费 5
支持
分享
最新回复 (13)
雪    币: 220
活跃值: (721)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
最后没有EXP?
2023-8-2 18:26
0
雪    币: 233
活跃值: (6701)
能力值: ( LV7,RANK:105 )
在线值:
发帖
回帖
粉丝
3
dayang 最后没有EXP?
https://github.com/fortra/CVE-2023-28252
2023-8-3 09:34
0
雪    币: 15187
活跃值: (16852)
能力值: (RANK:730 )
在线值:
发帖
回帖
粉丝
4
师傅,有几个图片挂了。过程已经很细了,感谢师傅分享
2023-8-3 09:36
0
雪    币: 3059
活跃值: (30876)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
感谢分享
2023-8-3 09:48
1
雪    币: 220
活跃值: (721)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
hml189 https://github.com/fortra/CVE-2023-28252
https://github.com/fortra/CVE-2023-28252
在WIN2016X64下测试直接蓝屏了,我怎么记得WIN10和WIN2016的offset都是0x4b8呢?还需要修改其他的地方吗?有没样本下载?
2023-8-3 13:49
0
雪    币: 233
活跃值: (6701)
能力值: ( LV7,RANK:105 )
在线值:
发帖
回帖
粉丝
7
dayang https://github.com/fortra/CVE-2023-28252 在WIN2016X64下测试直接蓝屏了,我怎么记得WIN10和WIN2016的offset都是0x4b8呢?还需要修 ...
MD5:0624FBFA7618628E1EDE80FCC3C36B25 去微步沙箱就能下
2023-8-3 14:18
0
雪    币: 220
活跃值: (721)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
WIN2016,2019全部蓝掉
2023-8-29 21:28
0
雪    币: 220
活跃值: (721)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
CVE-2023-36900新出的同类型的,请分析下,,
2023-8-30 21:26
0
雪    币: 233
活跃值: (6701)
能力值: ( LV7,RANK:105 )
在线值:
发帖
回帖
粉丝
10
dayang CVE-2023-36900新出的同类型的,请分析下,,
这个师傅你看一下360发的那篇,poc很好还原,exp我目前不会写
2023-9-8 18:28
0
雪    币: 26
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
11
这篇文章也可以参考一下:https://www.bilibili.com/read/cv23786768/
2023-12-12 18:44
0
雪    币: 2
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
12
dayang https://github.com/fortra/CVE-2023-28252 在WIN2016X64下测试直接蓝屏了,我怎么记得WIN10和WIN2016的offset都是0x4b8呢?还需要修 ...
不只偏移变了,而且想要在2016上成功需要修改一堆地方。
2023-12-16 17:03
0
雪    币: 114
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
13
您好,有个问题想麻烦请教下,过壳的那个插件是可疑动态调试,但是我看您的静态图逻辑也很清楚,这个是怎么做到的呢?是脱壳了吗?
2024-1-18 10:53
0
雪    币: 39
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
14
大佬怎么联系你 我有个windows的客户端需要你协助看下!
2024-1-29 17:27
0
游客
登录 | 注册 方可回帖
返回
//