当前位置: 王朝网络 >> other >> MicrosoftMUP超长请求内核缓冲区溢出漏洞

MicrosoftMUP超长请求内核缓冲区溢出漏洞

王朝other·作者佚名 2008-05-19

窄屏简体版字體: 小|中|大|超大

一. 漏洞介绍

microsoft 的MS04-020公告描述了POSIX子系统的权限提升漏洞,公告地址:

http://www.microsoft.com/technet/security/bulletin/MS04-020.mspx

CVE 公告:

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0210

很明显,这是一个本地权限提升的漏洞,存在于POSIX子系统中.

二. 漏洞分析

microsoft的POSIX系统由一个psxss的进程负责处理, posix.exe运行起来的程序会通过LPC来和psxss通讯,psxss进程的权限是SYSTEM, 很不幸的是,posix.exe传递给psxss的数据中,如果包含过长的字符串会导致psxss一个堆栈溢出,如果我们精心构造这些字符串,很明显会得到SYSTEM权限的控制权.

出问题的地方在psxss.exe的在sub_4A7861BE处:

+----------------------------------------------------------------------------------+

.text:4A7861BE sub_4A7861BE

proc near

; CODE XREF: sub_4A785BBC+175p

.text:4A7861BE

.text:4A7861BE var_500

= dword ptr -500h

.text:4A7861BE var_400

= dword ptr -400h

.text:4A7861BE var_201

= byte ptr -201h

.text:4A7861BE var_200

= dword ptr -200h

.text:4A7861BE arg_0

= dword ptr

.text:4A7861BE arg_4

= dword ptr

0Ch

.text:4A7861BE

push

ebp

.text:4A7861BF

mov

ebp, esp

.text:4A7861C1

sub

esp, 500h

.text:4A7861C7

push

ebx

.text:4A7861C8

push

esi

.text:4A7861C9

push

edi

.text:4A7861CA

mov

eax, large fs:18h

.text:4A7861D0

mov

eax, [eax+30h]

.text:4A7861D3

cmp

dword ptr [eax+1D4h], 0

.text:4A7861DA

short loc_4A78620B

;这里会跳转

.text:4A7861DC

mov

eax, large fs:18h

.text:4A7861E2

mov

eax, [eax+30h]

.text:4A7861E5

push

offset dword_4A7814A4

.text:4A7861EA

push

dword ptr [eax+1D4h]

.text:4A7861F0

lea

eax, [ebp+var_200]

.text:4A7861F6

push

offset aSessions_0 ; "\\Sessions"

.text:4A7861FB

push

offset aSDS

; "%s\\%d%s"

.text:4A786200

push

eax

.text:4A786201

call

_sprintf

.text:4A786206

add

esp, 14h

.text:4A786209

jmp

short loc_4A78621A

.text:4A78620B ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?

.text:4A78620B

.text:4A78620B loc_4A78620B:

; CODE XREF: sub_4A7861BE+1Cj

.text:4A78620B

mov

esi, offset dword_4A7814A4

.text:4A786210

lea

edi, [ebp+var_200]

.text:4A786216

movsd

.text:4A786217

movsd

.text:4A786218

movsd

.text:4A786219

movsb

.text:4A78621A

.text:4A78621A loc_4A78621A:

; CODE XREF: sub_4A7861BE+4Bj

.text:4A78621A

mov

eax, [ebp+arg_4]

.text:4A78621D

ebx, 0FFFFFFFFh

.text:4A786220

mov

ecx, ebx

.text:4A786222

lea

edx, [ebp+var_200]

.text:4A786228

mov

edi, [eax+4]

;eax+4是LPC传递过来的数据

.text:4A78622B

xor

eax, eax

.text:4A78622D

repne scasb

.text:4A78622F

not

ecx

;计算大小

.text:4A786231

sub

edi, ecx

.text:4A786233

mov

esi, edi

.text:4A786235

mov

edi, edx

.text:4A786237

mov

edx, ecx

.text:4A786239

mov

ecx, ebx

.text:4A78623B

repne scasb

.text:4A78623D

mov

ecx, edx

.text:4A78623F

dec

edi

.text:4A786240

shr

ecx, 2

.text:4A786243

rep movsd

.text:4A786245

mov

ecx, edx

.text:4A786247

lea

edx, [ebp+var_400]

.text:4A78624D

and

ecx, 3

.text:4A786250

rep movsb

;直接拷贝给ebp-0x200处的buffer

............

...........

+----------------------------------------------------------------------------------+

引起漏洞的地方类似:

unsigned char buf[0x200]

....

memcpy(buf,MessageData,strlen(MessageData));

...

从这里我们可以看出只要我们的MessageData大小0x200, 就可以覆盖ebp,eip等结构.

经过调试分析我们可以知道这个MessageData其实是用户运行posix程序所在当前的路径.

比如我们在d:\aaa\目录下运行posix /P c:\winnt\system32\pax.exe /C pax 的话,MessageData的内容就是d:\aaa

并且在前面加上"\DosDevices\".

因为windows下默认目录长度最大只能到256,似乎不能触发这个漏洞,其实不然.因为数据是通过LPC传递过去的,

我们完全可以伪造这个数据.

要利用这个漏洞有如下几个办法:

1. 自己伪造LPC请求,然后传递我们伪造的数据.

2. 利用HOOK技术,hook posix.exe程序的获得当前路径GetCurrentDirectoryA API调用.返回超长的字符串.

3. 静态修改posix.exe,直接让程序传递我们的数据

4. 动态修改进程内部空间,动态申请内存空间,然后写数据,再让程序传递我们的数据.

1的难度是可想而知的.psxss 的LPC通讯是由3个port来进行的,想完全模拟这三个port的数据实在太难.

2的话HOOK不是我的特长,而且假设传递给GetCurrentDirectoryA API的第二个参数< 0x200怎么办的问题比较难处理.

3的话比较容易,但调试不方便,而且担心修改的程序会出错.

4的话比较直接,传递的数据由我们掌握控制(谢谢eyas的idea @.@).

我们来看看posix.exe负责传递数据的地方:

+----------------------------------------------------------------------------------+

.text:0100343D

mov

edi, offset dword_10126B8

.text:01003442

push

edi

.text:01003443

push

105h

.text:01003448

call

GetCWD

< --- 这里会调用GetCurrentDirectoryA()

.text:0100344D

push

[esp+1Ch+arg_8]

.text:01003451

push

esi

.text:01003452

push

[esp+24h+arg_0]

.text:01003456

push

edi

.text:01003457

push

ebp

.text:01003458

push

[esp+30h+arg_4]

.text:0100345C

call

StartProcess

.text:01003461

test

eax, eax

.text:01003463

jnz

short loc_1003475

.text:01003465

push

+----------------------------------------------------------------------------------+

.text:01003514 GetCWD

proc near

; CODE XREF: main+177p

.text:01003514

.text:01003514 FindFileData

= _WIN32_FIND_DATAA ptr -140h

.text:01003514 nBufferLength

= dword ptr

.text:01003514 lpBuffer

= dword ptr

.text:01003514

sub

esp, 140h

.text:0100351A

push

ebx

.text:0100351B

push

ebp

.text:0100351C

push

esi

.text:0100351D

mov

esi, [esp+14Ch+lpBuffer]

.text:01003524

push

edi

.text:01003525

push

esi

; lpBuffer

.text:01003526

push

[esp+154h+nBufferLength] ; nBufferLength

.text:0100352D

call

ds:_imp__GetCurrentDirectoryA

.text:01003533

movsx

eax, byte ptr [esi]

.text:01003536

push

点击展开全文

上一篇：PowerChuteBusinessEdition未明拒绝服务漏洞

下一篇：老鸟成长之路：菜鸟入门八种安全工具

免责声明：本文为网络用户发布，其观点仅代表作者个人观点，与本站无关，本站仅提供信息存储服务。文中陈述内容未经本站证实，其真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。

没有找到您想要的？点此查看更多相关文章
相关文章▶

2023年上半年GDP全球前十五强
百态 2023-10-24

美众议院议长启动对拜登的弹劾调查
百态 2023-09-13

上海、济南、武汉等多地出现不明坠落物
探索 2023-09-06

印度或要将国名改为“巴拉特”
百态 2023-09-06

男子为女友送行，买票不登机被捕
百态 2023-08-20

手机地震预警功能怎么开？
干货 2023-08-06

女子4年卖2套房花700多万做美容：不但没变美脸，面部还出现变形
百态 2023-08-04

住户一楼被水淹还冲来8头猪
百态 2023-07-31

女子体内爬出大量瓜子状活虫
百态 2023-07-25

地球连续35年收到神秘规律性信号，网友：不要回答！
探索 2023-07-21

全球镓价格本周大涨27%
探索 2023-07-09

钱都流向了那些不缺钱的人，苦都留给了能吃苦的人
探索 2023-07-02

倩女手游刀客魅者强控制（强混乱强眩晕强睡眠）和对应控制抗性的关系
百态 2020-08-20

美国5月9日最新疫情：美国确诊人数突破131万
百态 2020-05-09

荷兰政府宣布将集体辞职
干货 2020-04-30

倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观：鹏程万里
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案神机营：射石饮羽
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山：拔刀相助
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案天工阁：鬼斧神工
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道：单枪匹马
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：与虎谋皮
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：李代桃僵
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：指鹿为马
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案金陵：小鸟依人
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案金陵：千金买邻
干货 2019-11-12