科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Microsoft MUP超长请求内核缓冲区溢出漏洞

Microsoft MUP超长请求内核缓冲区溢出漏洞

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

microsoft 的MS04-020公告描述了POSIX子系统的权限提升漏洞,公告地址:   http://www.microsoft.com/technet/security/bulletin/MS04-020.mspx

来源:中国IT实验室 2009年7月22日

关键字: 系统漏洞 缓冲区溢出

  • 评论
  • 分享微博
  • 分享邮件

  一. 漏洞介绍

  microsoft 的MS04-020公告描述了POSIX子系统的权限提升漏洞,公告地址:

  http://www.microsoft.com/technet/security/bulletin/MS04-020.mspx

  CVE 公告:

  http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0210

  很明显,这是一个本地权限提升的漏洞,存在于POSIX子系统中.

  二. 漏洞分析

  microsoft的POSIX系统由一个psxss的进程负责处理, posix.exe运行起来的程序会通过LPC来和psxss通讯,psxss进程的权限是SYSTEM, 很不幸的是,posix.exe传递给psxss的数据中,如果包含过长的字符串会导致psxss一个堆栈溢出,如果我们精心构造这些字符串,很明显会得到SYSTEM权限的控制权.

  出问题的地方在psxss.exe的在sub_4A7861BE处:

  +----------------------------------------------------------------------------------+

  .text:4A7861BE sub_4A7861BE  proc near        ; CODE XREF: sub_4A785BBC+175p

  .text:4A7861BE

  .text:4A7861BE var_500     = dword ptr -500h

  .text:4A7861BE var_400     = dword ptr -400h

  .text:4A7861BE var_201     = byte ptr -201h

  .text:4A7861BE var_200     = dword ptr -200h

  .text:4A7861BE arg_0      = dword ptr 8

  .text:4A7861BE arg_4      = dword ptr 0Ch

  .text:4A7861BE

  .text:4A7861BE         push  ebp

  .text:4A7861BF         mov   ebp, esp

  .text:4A7861C1         sub   esp, 500h

  .text:4A7861C7         push  ebx

  .text:4A7861C8         push  esi

  .text:4A7861C9         push  edi

  .text:4A7861CA         mov   eax, large fs:18h

  .text:4A7861D0         mov   eax, [eax+30h]

  .text:4A7861D3         cmp   dword ptr [eax+1D4h], 0

  .text:4A7861DA         jz   short loc_4A78620B  ;这里会跳转

  .text:4A7861DC         mov   eax, large fs:18h

  .text:4A7861E2         mov   eax, [eax+30h]

  .text:4A7861E5         push  offset dword_4A7814A4

  .text:4A7861EA         push  dword ptr [eax+1D4h]

  .text:4A7861F0         lea   eax, [ebp+var_200]

  .text:4A7861F6         push  offset aSessions_0 ; "\\Sessions"

  .text:4A7861FB         push  offset aSDS   ; "%s\\%d%s"

  .text:4A786200         push  eax

  .text:4A786201         call  _sprintf

  .text:4A786206         add   esp, 14h

  .text:4A786209         jmp   short loc_4A78621A

  .text:4A78620B ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?

  .text:4A78620B

  .text:4A78620B loc_4A78620B:              ; CODE XREF: sub_4A7861BE+1Cj

  .text:4A78620B         mov   esi, offset dword_4A7814A4

  .text:4A786210         lea   edi, [ebp+var_200]

  .text:4A786216         movsd

  .text:4A786217         movsd

  .text:4A786218         movsd

  .text:4A786219         movsb

  .text:4A78621A

  .text:4A78621A loc_4A78621A:              ; CODE XREF: sub_4A7861BE+4Bj

  .text:4A78621A         mov   eax, [ebp+arg_4]

  .text:4A78621D         or   ebx, 0FFFFFFFFh

  .text:4A786220         mov   ecx, ebx

  .text:4A786222         lea   edx, [ebp+var_200]

  .text:4A786228         mov   edi, [eax+4]  ;eax+4是LPC传递过来的数据

  .text:4A78622B         xor   eax, eax

  .text:4A78622D         repne scasb

  .text:4A78622F         not   ecx    ;计算大小

  .text:4A786231         sub   edi, ecx

  .text:4A786233         mov   esi, edi

  .text:4A786235         mov   edi, edx

  .text:4A786237         mov   edx, ecx

  .text:4A786239         mov   ecx, ebx

  .text:4A78623B         repne scasb

  .text:4A78623D         mov   ecx, edx

  .text:4A78623F         dec   edi

  .text:4A786240         shr   ecx, 2

  .text:4A786243         rep movsd

  .text:4A786245         mov   ecx, edx

  .text:4A786247         lea   edx, [ebp+var_400]

  .text:4A78624D         and   ecx, 3

  .text:4A786250         rep movsb    ;直接拷贝给ebp-0x200处的buffer

  ............

  ...........

  +----------------------------------------------------------------------------------+

  引起漏洞的地方类似:

  unsigned char buf[0x200]

  ....

  memcpy(buf,MessageData,strlen(MessageData));

  ...

  从这里我们可以看出只要我们的MessageData大小>0x200, 就可以覆盖ebp,eip等结构.

  经过调试分析我们可以知道这个MessageData其实是用户运行posix程序所在当前的路径.

  比如我们在d:\aaa\目录下运行posix /P c:\winnt\system32\pax.exe /C pax 的话,MessageData的内容就是d:\aaa

  并且在前面加上"\DosDevices\".

  因为windows下默认目录长度最大只能到256,似乎不能触发这个漏洞,其实不然.因为数据是通过LPC传递过去的,

  我们完全可以伪造这个数据.

  要利用这个漏洞有如下几个办法:

  1. 自己伪造LPC请求,然后传递我们伪造的数据.

  2. 利用HOOK技术,hook posix.exe程序的获得当前路径GetCurrentDirectoryA API调用.返回超长的字符串.

  3. 静态修改posix.exe,直接让程序传递我们的数据

  4. 动态修改进程内部空间,动态申请内存空间,然后写数据,再让程序传递我们的数据.

  1的难度是可想而知的.psxss 的LPC通讯是由3个port来进行的,想完全模拟这三个port的数据实在太难.

  2的话HOOK不是我的特长,而且假设传递给GetCurrentDirectoryA API的第二个参数< 0x200怎么办的问题比较难处理.

  3的话比较容易,但调试不方便,而且担心修改的程序会出错.

  4的话比较直接,传递的数据由我们掌握控制(谢谢eyas的idea @.@).

  我们来看看posix.exe负责传递数据的地方:

  +----------------------------------------------------------------------------------+

  .text:0100343D         mov   edi, offset dword_10126B8

  .text:01003442         push  edi

  .text:01003443         push  105h

  .text:01003448         call  GetCWD  < --- 这里会调用GetCurrentDirectoryA()

  .text:0100344D         push  [esp+1Ch+arg_8]

  .text:01003451         push  esi

  .text:01003452         push  [esp+24h+arg_0]

  .text:01003456         push  edi

  .text:01003457         push  ebp

  .text:01003458         push  [esp+30h+arg_4]

  .text:0100345C         call  StartProcess

  .text:01003461         test  eax, eax

  .text:01003463         jnz   short loc_1003475

  .text:01003465         push  5

  +----------------------------------------------------------------------------------+

  .text:01003514 GetCWD     proc near        ; CODE XREF: main+177p

  .text:01003514

  .text:01003514 FindFileData  = _WIN32_FIND_DATAA ptr -140h

  .text:01003514 nBufferLength  = dword ptr 4

  .text:01003514 lpBuffer    = dword ptr 8

  .text:01003514

  .text:01003514         sub   esp, 140h

  .text:0100351A         push  ebx

  .text:0100351B         push  ebp

  .text:0100351C         push  esi

  .text:0100351D         mov   esi, [esp+14Ch+lpBuffer]

  .text:01003524         push  edi

  .text:01003525         push  esi       ; lpBuffer

  .text:01003526         push  [esp+154h+nBufferLength] ; nBufferLength

  .text:0100352D         call  ds:_imp__GetCurrentDirectoryA

  .text:01003533         movsx  eax, byte ptr [esi]

  .text:01003536         push

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章