搜索

[7306] 2021-05-07_猫鼠游戏:Windows内核提权样本狩猎思路分享

文档创建者:s7ckTeam
浏览次数:37
最后更新:2025-01-17
2021-05-07_猫鼠游戏:Windows内核提权样本狩猎思路分享 W i n d o w s E   2 0 2 1 - 0 5 - 0 7   W i n d o w s b y   · 0 1 W i n d o w s ( C h r o m e ,   E d g e ,   I E ) ( O f f i c e ,   A d o b e   R e a d e r ) W i n d o w s W i n d o w s 0 d a y 2 0 1 7 - 2 0 2 1 ( ) W i n d o w s 0 d a y   .
W i n d o w s A P T W i n d o w s K a s p e r s k y W i n d o w s 0 d a y C h e c k P o i n t 3 ( ) 0 2 C / C + + w i n 3 2 k C a l l b a c k U A F w i n 3 2 k U A F W i n d o w s   N T W i n d o w s w i n 3 2 k ( 线 ) w i n 3 2 k
W i n d o w s   N T 4 ( 线 ) w i n 3 2 k . s y s 3 0 1   ( 1 1 0 0 + s y s c a l l s ) 0 2   ( U s e r - m o d e   C a l l b a c k ) 0 3   ( S h a r e d   d a t a ) 3 W i n d o w s 2 0 1 1 B l a c k h a t   U S A T a r j e i   M a n d t W i n 3 2 k   U s e r - M o d e   C a l l b a c k w i n 3 2 k U s e r - M o d e   C a l l b a c k w i n 3 2 k U A F
0 3     ( )      
P E u s e r 3 2 . d l l w i n 3 2 k C r e a t e W i n d o w E x A   /   C r e a t e W i n d o w E x W R e g i s t e r C l a s s E x A   /   R e g i s t e r C l a s s E x W D e s t r o y W i n d o w C r e a t e M e n u C r e a t e P o p u p M e n u W i n 3 2 k   U s e r - M o d e   C a l l b a c k H o o k ( 6 4 ) m o v   r a x ,   g s : [ 6 0 h ] l e a   r a x ,   [ r a x + 5 8 h ] m o v   r a x ,   [ r a x ] r e t U A F D r i v e r   V i r i f i e r U A F D r i v e r   V i r i f i e r 0 d a y D r i v e r   V i r i f i e r C V E - 2 0 2 1 - 1 7 3 2 W i n d o w s B i t m a p s C V E - 2 0 1 8 - 8 4 5 3 ( C r e a t e A c c e l e r a t o r T a b l e ) C V E - 2 0 1 7 - 8 4 6 5 t a g C L S L P E v u l n e r a b i l i t i e s   e x p l o i t a t i o n   o n   W i n d o w s   1 0   A n n i v e r s a r y   U p d a t e P P T 3 6 W i n d o w s G i t h u b ( ) W i n d o w s W i n d o w s     =   0 d a y ( )
W i n d o w s   1 7 0 3 ( R e d s t o n e   2 ) H M V a l i d a t e H a n d l e ( 1 8 0 3 )   H M V a l i d a t e H a n d l e 线 H M V a l i d a t e H a n d l e P V O I D   f i n d _ H M V a l i d a t e H a n d l e ( P V O I D   p I s M e n u ) {         U L O N G   H M V a l i d a t e H a n d l e A d d r   =   0 ;         w h i l e   ( T R U E )         {                 i f   ( * ( B Y T E * ) p I s M e n u   = =   0 x E 8 )                 {                         H M V a l i d a t e H a n d l e A d d r   =   * ( D W O R D * ) ( ( U L O N G ) p I s M e n u   +   1 ) ;                         H M V a l i d a t e H a n d l e A d d r   + =   ( U L O N G ) p I s M e n u   +   0 x 0 5   -   0 x 1 0 0 0 0 0 0 0 0 ;                         r e t u r n   ( P V O I D ) H M V a l i d a t e H a n d l e A d d r ;                 }                 p I s M e n u   =   ( B Y T E * ) p I s M e n u   +   1 ;         }         r e t u r n   0 ; }
H M V a l i d a t e H a n d l e u s e r 3 2 . d l l u s e r 3 2 . d l l u s e r 3 2 . d l l H M V a l i d a t e H a n d l e W i n d o w s t a g W N D B i t m a p P a l e t t e M e n u A P I S e t W i n d o w L o n g * M e n u u s e r 3 2 . d l l S e t W i n d o w L o n g A   /   S e t W i n d o w L o n g W S e t W i n d o w L o n g P t r A   /   S e t W i n d o w L o n g P t r W G e t M e n u I t e m R e c t   /   S e t M e n u I t e m I n f o G e t M e n u B a r I n f o ( C V E - 2 0 2 1 - 1 7 3 2 ) A P I G e t B i t m a p B i t s   /   S e t B i t m a p B i t s   /   C r e a t e C o m p a t i b l e B i t m a p   /   C r e a t e B i t m a p I n d i r e c t   /   C r e a t e D i s c a r d a b l e B i t m a p   /   C r e a t e D I B i t m a G e t P a l e t t e E n t r i e s   /   S e t P a l e t t e E n t r i e s S e t W i n d o w T e x t A   /   S e t W i n d o w T e x t W   /   I n t e r n a l G e t W i n d o w T e x t N t U s e r D e f S e t T e x t W i n d o w s T o k e n E P R O C E S S ( 退 ) T o k e n ( S y s t e m ) T o k e n T o k e n S y s t e m
0 4 W i n d o w s W i n d o w s W i n d o w s & W i n d o w s 线 W i n d o w s W i n d o w s W i n d o w s   7 K A S L R K A S L R h t t p s : / / g i t h u b . c o m / s a m - b / w i n d o w s _ k e r n e l _ a d d r e s s _ l e a k s W i n d o w s   8 . 1 S M E P   ( S u p e r v i s o r   M o d e   E x e c u t i o n   P r e v e n t i o n ) ( 2 0 1 1 )   C R 4 2 0 C P U R i n g 0 R i n g 3 C V E - 2 0 1 5 - 2 3 6 0   D u q u   2 . 0 使 使 0 0 0 0 C V E - 2 0 1 8 - 8 1 2 0 W i n d o w s   8 W i n d o w s   1 0   1 6 0 7   ( R e d s t o n e 1 B y p a s s   K A S L R G D I _ C E L L p K e r n e l A d d r e s s G d i S h a r e d H a n d l e T a b l e S e t W i n d o w T e x t t a g W N D . s t r N a m e t a g W N D . s t r N a m e   ( C V E - 2 0 1 5 - 2 3 6 0 C V E - 2 0 1 6 - 7 2 5 5 ) A p p C o n t a i n e r w i n 3 2 k ( C V E - 2 0 1 6 - 7 2 5 6 C V E - 2 0 2 0 - 0 9 3 8 W i n d o w s   1 0 ) W i n d o w s   1 0   1 7 0 3   ( R e d s t o n e 2 ) B y p a s s   K A S L R g S h a r e d I n f o p v S c a n 0 W i n 3 2 C l i e n t I n f o u l C l i e n t D e l t a u l C l i e n t D e l t a t a g W N D S e t W i n d o w L o n g P t r E x t r a B y t e s t a g W N D . s t r N a m e B i t m a p B i t m a p 8
W i n d o w s   1 0   1 7 0 9   ( R e d s t o n e 3 ) W i n 3 2 k   T y p e   I s o l a t i o n   f o r   B i t m a p B i t m a p   h e a d e r B i t m a p   d a t a B i t m a p P a l e t t e D e m y s t i f y i n g   W i n d o w s   K e r n e l   E x p l o i t a t i o n b y   A b u s i n g   G D I   O b j e c t s W i n d o w s   1 0   1 8 0 3   ( R e d s t o n e 4 ) W i n 3 2 k   T y p e   I s o l a t i o n   f o r   P a l e t t e P a l e t t e T y p e   I s o l a t i o n C V E - 2 0 1 8 - 8 4 5 3 O v e r v i e w   o f   t h e   l a t e s t   W i n d o w s   O S   k e r n e l   e x p l o i t s   f o u n d   i n   t h e   w i l d H M V a l i d a t e H a n d l e H M V a l i d a t e H a n d l e t a g W N D W i n d o w s   1 0   1 8 0 9   ( R e d s t o n e 5 ) B y p a s s   K A S L R A P I D E V E L O P M E N T   O F   A   N E W   W I N D O W S   1 0   K A S L R   B Y P A S S   ( I N   O N E   W I N D B G   C O M M A N D ) W i n d o w s   1 0 1 9 0 3 C V E - 2 0 2 1 - 1 7 3 2 s p m e n u G e t M e n u B a r I n f o / S e t W i n d o w L o n g W i n d o w s   2 0 H 2 0 5 w i n 3 2 k C h r o m e / E d g e ( C h r o m i u m - b a s e d ) W i n 3 2 k   L o c k d o w n C h r o m e 2 0 1 6 C h r o m e + W i n d o w s   8 . 1 w i n 3 2 k A P I w i n 3 2 k C V E - 2 0 1 8 - 8 6 1 1 C V E - 2 0 2 0 - 1 7 0 8 7 E d g e ( C h a k r a ) W i n 3 2 k   S y s t e m   C a l l   F i l t e r W i n d o w s   8 . 1 w i n 3 2 k   A P I R S 3 E d g e 3 4 9 w i n 3 2 k   A P I R S 4 E d g e w i n 3 2 k   A P I 7 8 G D I E d g e 使 w i n 3 2 k   A P I D i r e c t X S u b v e r t i n g   D i r e c t   X   K e r n e l   F o r   G a i n i n g   R e m o t e   S y s t e m
0 6 W i n d o w s 1 .   W i n d o w s   1 0 2 .   / S a n d b o x A P T / 3 .   w i n 3 2 k 4 .   w i n 3 2 k A P T C V E - 2 0 1 8 - 8 6 1 1 5 .   ( ) 6 .   L o w M e d i u m C h r o m e   M o j o W i n d o w s 0 7 0 d a y   " I n   t h e   W i l d "   ( b y   G o o g l e   P r o j e c t   Z e r o ) h t t p s : / / d o c s . g o o g l e . c o m / s p r e a d s h e e t s / d / 1 l k N J 0 u Q w b e C 1 Z T R r x d t u P L C I l 7 m l U r e o K f S I g a j n S y Y / v i e w # g i d = 1 1 2 3 2 9 2 6 2 5   H u n t i n g   f o r   P r i v i l e g e   E s c a l a t i o n   i n   W i n d o w s   E n v i r o n m e n t   ( b y   K a s p e r s k y ) h t t p s : / / s p e a k e r d e c k . c o m / h e i r h a b a r o v / h u n t i n g - f o r - p r i v i l e g e - e s c a l a t i o n - i n - w i n d o w s - e n v i r o n m e n t   T h r e e   W i n d o w s   z e r o - d a y s   i n   t h r e e   m o n t h s :   h o w   w e   f o u n d   t h e m   i n   t h e   w i l d   ( b y   K a s p e r s k y ) h t t p s : / / w w w . b r i g h t t a l k . c o m / w e b c a s t / 1 5 5 9 1 / 3 4 8 7 0 4 / t h r e e - w i n d o w s - z e r o - d a y s - i n - t h r e e - m o n t h s - h o w - w e - f o u n d - t h e m - i n - t h e - w i l d   O v e r v i e w   o f   t h e   l a t e s t   W i n d o w s   O S   k e r n e l   e x p l o i t s   f o u n d   i n   t h e   w i l d   ( b y   K a s p e r s k y ) h t t p s : / / g i t h u b . c o m / o c t 0 x o r / p r e s e n t a t i o n s / b l o b / m a s t e r / 2 0 1 9 - 0 2 - O v e r v i e w % 2 0 o f % 2 0 t h e % 2 0 l a t e s t % 2 0 W i n d o w s % 2 0 O S % 2 0 k e r n e l % 2 0 e x p l o i t s % 2 0 f o u n d % 2 0 i n % 2 0 t h e % 2 0 w i l d . p d f   R e t r o s p e c t i v e   o n   t h e   l a t e s t   z e r o - d a y s   f o u n d   i n   t h e   w i l d   ( b y   K a s p e r s k y ) h t t p s : / / g i t h u b . c o m / o c t 0 x o r / p r e s e n t a t i o n s / b l o b / m a s t e r / 2 0 2 0 - 0 1 - R e t r o s p e c t i v e % 2 0 o n % 2 0 t h e % 2 0 l a t e s t % 2 0 z e r o - d a y s % 2 0 f o u n d % 2 0 i n % 2 0 t h e % 2 0 w i l d . p d f   G r a p h o l o g y   o f   a n   E x p l o i t   -   H u n t i n g   f o r   e x p l o i t s   b y   l o o k i n g   f o r   t h e   a u t h o r ' s   f i n g e r p r i n t s   ( b y   C h e c k P o i n t ) h t t p s : / / r e s e a r c h . c h e c k p o i n t . c o m / 2 0 2 0 / g r a p h o l o g y - o f - a n - e x p l o i t - v o l o d y a /   E x p l o i t   D e v e l o p e r   S p o t l i g h t :   T h e   S t o r y   o f   P l a y B i t   ( b y   C h e c k P o i n t ) h t t p s : / / r e s e a r c h . c h e c k p o i n t . c o m / 2 0 2 0 / g r a p h o l o g y - o f - a n - e x p l o i t - p l a y b i t /   T h e   S t o r y   o f   J i a n   -   H o w   A P T 3 1   S t o l e   a n d   U s e d   a n   U n k n o w n   E q u a t i o n   G r o u p   0 - D a y   ( b y   C h e c k P o i n t )
回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理