【权限提升】 Windows10 本地提权漏洞复现及详细分析(CVE-2021-1732)
创始人
2024-03-25 08:41:50

文章目录

  • 声明
  • 一、漏洞前言
  • 二、漏洞描述
  • 三、漏洞原理
  • 四、漏洞以及EXP分析
  • 五、本地复现
  • 六、修复补丁


声明

本篇文章仅用于技术研究和漏洞复现,切勿将文中涉及操作手法用于非授权下的渗透攻击行为,出现后果与本作者无关,切记!!!

一、漏洞前言

CVE-2021-1732 是蔓灵花(BITTER)APT 组织在某次被披露的攻击行动中使用的 0day 漏洞,该高危漏洞可以在本地将普通用户进程的权限提升至最高的 SYSTEM 权限属于windows系统级别的二进制漏洞。


二、漏洞描述

  • 漏洞发生在Windows 图形驱动win32kfull!NtUserCreateWindowEx函数中的一处内核回调用户态分配内存与tagWND->flag属性设置不同步导致的漏洞。使得可以伪造这个tagWND->offset值发生内存越界。
  • 当驱动win32kfull.sys调用NtUserCreateWindowEx创建窗口时会判断t agWND->cbWndExtra(窗口实例额外分配内存数),该值不为空时调用 win32kfull!xxxClientAllocWindowClassExtraBytes函数回调用户层 user32.dll!__xxxClientAllocWindowClassExtraBytes分配空间,分配后的地址使用 NtCallbackReturn函数修正堆栈后重新返回内核层并保存并继续运行,而当 tagWND->flag值包含0x800属性后该保存值变成了一个offset。
  • 攻击者可以Hook user32.dll!_xxxClientAllocWindowClassExtraBytes函数调用 NtUserConsoleControl修改tagWND->flag包含0x800属性值后使用 NtCallbackReturn返回一个自定义的值到内核tagWND->offset。

三、漏洞原理

  • 漏洞发生在Windows 图形驱动win32kfull!NtUserCreateWindowEx中。
  • 当驱动win32kfull.sys调用NtUserCreateWindowEx创建窗口时会判断tagWND->cbWndExtra(窗口实例额外分配内存数),该值不为空时调用win32kfull!xxxClientAllocWindowClassExtraBytes函数回调用户层user32.dll!__xxxClientAllocWindowClassExtraBytes创建内存,分配后的地址使用NtCallbackReturn函数修正堆栈后重新返回内核层并保存并继续运行,而当tagWND->flag值包含0x800属性时候对该值采用offset 寻址。
  • 使用NtUserConsoleControl修改flag包含0x800属性。

一句话概括:漏洞是由win32kfull!xxxCreateWindowEx函数内一处由用户态回调导致的flag位设置与对应偏移设置不同步所导致的。

四、漏洞以及EXP分析

请参考链接:

http://tttang.com/archive/1369/ ---- 漏洞原理分析
https://www.secpulse.com/archives/158112.html ---- 内核提权分析
https://www.anquanke.com/post/id/241804#h3-15 ---- exp原理分析

五、本地复现

本地实验环境 Windows 10 x64 (1909系列版本)
在这里插入图片描述
系统下载地址:https://msdn.itellyou.cn/

受影响的系统版本

Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server, version 2004 (Server Core installation)
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows Server, version 1909 (Server Core installation)
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems

编译好的利用程序下载地址:

(1)https://github.com/shanfenglan/test/blob/master/cve-2021-1732.exe
(2)https://github.com/Ascotbe/Kernelhub/tree/master/CVE-2021-1732/CVE-2021-1732.exe

Exp下载地址:(需自行编译)

https://github.com/KaLendsi/CVE-2021-1732-Exploit
https://github.com/Pai-Po/CVE-2021-1732

使用Microsoft Visual Studio 2022 进行编译

将下载好的exp文件夹载入到VS中,在 VS 侧面的源文件处右击,添加一个现有项,选择刚下载的 CVE-2021-1732_Exploit.cpp
在这里插入图片描述
这里切换成 Debug x64
在这里插入图片描述
配置项目属性
将 C/C++ -> 优化 -> 优化 设置为 禁用:
在这里插入图片描述
将 C/C++ -> 代码生成 -> 运行库 设置为 多线程调试(MTd),将运行库静态链接到可执行文件中,否则在虚拟机中运行时可能会报找不到 dll 的错。
在这里插入图片描述
将 链接器 -> 调试 -> 生成调试信息 设置为 生成经过优化以共享和发布的调试信息(/DEBUG:FULL),这是为了后面用 ida 加载 pdb 时有符号。
在这里插入图片描述
将 链接器 -> 高级 -> 随机基址 设置为 否(/DYNAMICBASE:NO),固定基址 设置为 是(/FIXED),这是为了动调的时候方便下断点。
在这里插入图片描述
应用后选择上方的 生成 -> 生成解决方案,生成好后就能在项目所在的文件夹下看到一个 x64 文件夹,进入其中的 Debug 文件夹,就能看到生成的 exepdb 了:
在这里插入图片描述
提权复现

将 ExploitTest.exe 拷贝到虚拟机中,打开dos窗口输入 ExploitTest.exe whoami
在这里插入图片描述
在这里插入图片描述
添加用户并加入管理组
在这里插入图片描述

六、修复补丁

微软官方的补丁:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1732

相关内容

热门资讯

埃菲尔铁塔在哪 中国仿建埃菲尔... 2019年4月26日,广西南宁市,街头惊现一座巨型山寨版埃菲尔铁塔,高约20米,白色塔身,造型逼真,...
北京的名胜古迹 北京最著名的景... 北京从元代开始,逐渐走上帝国首都的道路,先是成为大辽朝五大首都之一的南京城,随着金灭辽,金代从海陵王...
苗族的传统节日 贵州苗族节日有... 【岜沙苗族芦笙节】岜沙,苗语叫“分送”,距从江县城7.5公里,是世界上最崇拜树木并以树为神的枪手部落...
长白山自助游攻略 吉林长白山游... 昨天介绍了西坡的景点详细请看链接:一个人的旅行,据说能看到长白山天池全凭运气,您的运气如何?今日介绍...
世界上最漂亮的人 世界上最漂亮... 此前在某网上,选出了全球265万颜值姣好的女性。从这些数量庞大的女性群体中,人们投票选出了心目中最美...
应用未安装解决办法 平板应用未... ---IT小技术,每天Get一个小技能!一、前言描述苹果IPad2居然不能安装怎么办?与此IPad不...
脚上的穴位图 脚面经络图对应的... 人体穴位作用图解大全更清晰直观的标注了各个人体穴位的作用,包括头部穴位图、胸部穴位图、背部穴位图、胳...
猫咪吃了塑料袋怎么办 猫咪误食... 你知道吗?塑料袋放久了会长猫哦!要说猫咪对塑料袋的喜爱程度完完全全可以媲美纸箱家里只要一有塑料袋的响...
demo什么意思 demo版本... 618快到了,各位的小金库大概也在准备开闸放水了吧。没有小金库的,也该向老婆撒娇卖萌服个软了,一切只...
北京的名胜古迹 北京最著名的景... 北京从元代开始,逐渐走上帝国首都的道路,先是成为大辽朝五大首都之一的南京城,随着金灭辽,金代从海陵王...
埃菲尔铁塔在哪 中国仿建埃菲尔... 2019年4月26日,广西南宁市,街头惊现一座巨型山寨版埃菲尔铁塔,高约20米,白色塔身,造型逼真,...
世界上最漂亮的人 世界上最漂亮... 此前在某网上,选出了全球265万颜值姣好的女性。从这些数量庞大的女性群体中,人们投票选出了心目中最美...
苗族的传统节日 贵州苗族节日有... 【岜沙苗族芦笙节】岜沙,苗语叫“分送”,距从江县城7.5公里,是世界上最崇拜树木并以树为神的枪手部落...
长白山自助游攻略 吉林长白山游... 昨天介绍了西坡的景点详细请看链接:一个人的旅行,据说能看到长白山天池全凭运气,您的运气如何?今日介绍...
猫咪吃了塑料袋怎么办 猫咪误食... 你知道吗?塑料袋放久了会长猫哦!要说猫咪对塑料袋的喜爱程度完完全全可以媲美纸箱家里只要一有塑料袋的响...
应用未安装解决办法 平板应用未... ---IT小技术,每天Get一个小技能!一、前言描述苹果IPad2居然不能安装怎么办?与此IPad不...
脚上的穴位图 脚面经络图对应的... 人体穴位作用图解大全更清晰直观的标注了各个人体穴位的作用,包括头部穴位图、胸部穴位图、背部穴位图、胳...
demo什么意思 demo版本... 618快到了,各位的小金库大概也在准备开闸放水了吧。没有小金库的,也该向老婆撒娇卖萌服个软了,一切只...