首页
社区
课程
招聘
[分享]Windows CLFS 权限提升漏洞CVE-2023-28252
发表于: 2023-8-2 17:34 14866

[分享]Windows CLFS 权限提升漏洞CVE-2023-28252

2023-8-2 17:34
14866

做个记录,文章写的不好,建议直接看参考链接里的文章
参考文章:
4d8K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8W2q4D9M7%4b7$3b7#2S2Q4y4h3k6*7x3f1p5$3z5e0S2f1N6Y4k6^5i4K6u0V1j5V1W2c8
fdeK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2S2L8Y4q4#2j5h3&6C8k6g2)9J5k6h3y4G2L8g2)9J5c8Y4m8G2M7%4c8Q4x3V1k6A6k6q4)9J5c8U0t1^5z5o6R3H3z5l9`.`.
05fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6X3L8%4u0@1M7X3q4Q4x3V1k6o6g2V1g2Q4x3X3b7J5x3o6t1K6i4K6u0V1x3U0R3J5y4e0t1`.
c2bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2*7M7$3y4S2L8r3g2J5i4K6u0W2j5$3!0E0i4K6u0r3j5X3I4G2k6%4y4Q4x3V1k6K6k6h3y4#2M7X3W2@1P5g2)9J5k6s2u0W2M7$3g2S2M7X3y4Z5i4K6u0r3N6r3g2U0K9r3&6A6j5$3q4D9i4K6u0V1j5h3&6S2L8s2W2K6K9i4y4Q4x3X3c8%4K9h3&6V1L8%4N6K6i4K6u0V1j5$3I4X3M7#2)9J5k6s2A6W2M7X3!0Q4x3X3c8V1j5i4W2Q4x3X3c8$3N6h3I4F1k6i4u0S2j5X3W2D9K9i4c8&6i4K6u0V1j5%4k6W2i4K6u0V1x3U0l9J5x3W2)9J5k6o6x3%4z5e0j5&6i4K6u0V1M7r3q4J5N6o6u0Q4x3X3c8W2P5s2m8D9L8$3W2@1i4K6u0V1j5h3&6S2L8s2W2K6K9i4x3`.
https://bbs.kanxue.com/thread-278241.htm

MD5:0624FBFA7618628E1EDE80FCC3C36B25
样本有 Themida – Winlicense 壳
过壳方法:158K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6h3k6h3&6f1j5i4A6Q4x3V1k6f1K9r3g2E0K9h3c8A6k6b7`.`.
##利用步骤
0, 清空对应的工作目录
图片描述
1, 通过HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion获得系统版本,根据系统版本判断是否支持利用,并确定 Token 和 PreviousMode 偏移。
图片描述
2, 获得一些基础信息。
获取系统版本
图片描述
之后获取对应系统及当前进程的内核偏移,并初始化一系列内存。

通过动态地址获取的方式分别从clfs.sys/ntoskrnl.exe中获取函数ClfsEarlierLsn,ClfsMgmtDeregisterManagedClient,RtlClearBit/ PoFxProcessorNotification,SeSetAccessStateGenericMapping
图片描述
图片描述

3, 检测当前进程的访问令牌的句柄是否存在于系统句柄列表中。
图片描述
图片描述
之后在0x5000000位置分配0x1000000长度的内存
图片描述

4, 创建 C:\Users\Public\p_%08d 文件并获得其 _FILE_OBJECT 的地址。
图片描述


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2023-11-6 15:36 被kanxue编辑 ,原因:
收藏
免费 5
支持
分享
最新回复 (13)
雪    币: 220
活跃值: (801)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
最后没有EXP?
2023-8-2 18:26
0
雪    币: 284
活跃值: (6761)
能力值: ( LV7,RANK:105 )
在线值:
发帖
回帖
粉丝
3
dayang 最后没有EXP?
f60K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6X3L8%4u0@1M7X3q4Q4x3V1k6o6g2V1g2Q4x3X3b7J5x3o6t1K6i4K6u0V1x3U0R3J5y4e0t1`.
2023-8-3 09:34
0
雪    币: 15588
活跃值: (16947)
能力值: (RANK:730 )
在线值:
发帖
回帖
粉丝
4
师傅,有几个图片挂了。过程已经很细了,感谢师傅分享
2023-8-3 09:36
0
雪    币: 4082
活跃值: (31171)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
感谢分享
2023-8-3 09:48
1
雪    币: 220
活跃值: (801)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
hml189 311K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6X3L8%4u0@1M7X3q4Q4x3V1k6o6g2V1g2Q4x3X3b7J5x3o6t1K6i4K6u0V1x3U0R3J5y4e0t1`.
104K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6X3L8%4u0@1M7X3q4Q4x3V1k6o6g2V1g2Q4x3X3b7J5x3o6t1K6i4K6u0V1x3U0R3J5y4e0t1`.
在WIN2016X64下测试直接蓝屏了,我怎么记得WIN10和WIN2016的offset都是0x4b8呢?还需要修改其他的地方吗?有没样本下载?
2023-8-3 13:49
0
雪    币: 284
活跃值: (6761)
能力值: ( LV7,RANK:105 )
在线值:
发帖
回帖
粉丝
7
dayang defK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6X3L8%4u0@1M7X3q4Q4x3V1k6o6g2V1g2Q4x3X3b7J5x3o6t1K6i4K6u0V1x3U0R3J5y4e0t1`. 在WIN2016X64下测试直接蓝屏了,我怎么记得WIN10和WIN2016的offset都是0x4b8呢?还需要修 ...
MD5:0624FBFA7618628E1EDE80FCC3C36B25 去微步沙箱就能下
2023-8-3 14:18
0
雪    币: 220
活跃值: (801)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
WIN2016,2019全部蓝掉
2023-8-29 21:28
0
雪    币: 220
活跃值: (801)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
CVE-2023-36900新出的同类型的,请分析下,,
2023-8-30 21:26
0
雪    币: 284
活跃值: (6761)
能力值: ( LV7,RANK:105 )
在线值:
发帖
回帖
粉丝
10
dayang CVE-2023-36900新出的同类型的,请分析下,,
这个师傅你看一下360发的那篇,poc很好还原,exp我目前不会写
2023-9-8 18:28
0
雪    币: 26
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
11
这篇文章也可以参考一下:a0eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1K9h3I4A6j5X3W2D9K9g2)9J5k6h3y4G2L8g2)9J5c8Y4u0W2j5h3c8Q4x3V1k6U0N6U0t1K6y4K6R3$3y4K6j5^5i4K6u0r3
2023-12-12 18:44
0
雪    币: 2
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
12
dayang 9e0K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6X3L8%4u0@1M7X3q4Q4x3V1k6o6g2V1g2Q4x3X3b7J5x3o6t1K6i4K6u0V1x3U0R3J5y4e0t1`. 在WIN2016X64下测试直接蓝屏了,我怎么记得WIN10和WIN2016的offset都是0x4b8呢?还需要修 ...
不只偏移变了,而且想要在2016上成功需要修改一堆地方。
2023-12-16 17:03
0
雪    币: 114
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
13
您好,有个问题想麻烦请教下,过壳的那个插件是可疑动态调试,但是我看您的静态图逻辑也很清楚,这个是怎么做到的呢?是脱壳了吗?
2024-1-18 10:53
0
雪    币: 39
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
14
大佬怎么联系你 我有个windows的客户端需要你协助看下!
2024-1-29 17:27
0
游客
登录 | 注册 方可回帖
返回