ITPub博客

首页 > Linux操作系统 > Linux操作系统 > MicrosoftMUP超长请求内核缓冲区溢出漏洞(转)

MicrosoftMUP超长请求内核缓冲区溢出漏洞(转)

原创 Linux操作系统 作者:ilg 时间:2019-04-29 15:51:06 0 删除 编辑
MicrosoftMUP超长请求内核缓冲区溢出漏洞(转)

  一. 漏洞介绍

  microsoft 的MS04-020公告描述了POSIX子系统的权限提升漏洞,公告地址:

  http://www.microsoft.com/technet/security/bulletin/MS04-020.mspx

  CVE 公告:

  http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0210

  很明显,这是一个本地权限提升的漏洞,存在于POSIX子系统中.

  二. 漏洞分析

  microsoft的POSIX系统由一个psxss的进程负责处理, posix.exe运行起来的程序会通过LPC来和psxss通讯,psxss进程的权限是SYSTEM, 很不幸的是,posix.exe传递给psxss的数据中,如果包含过长的字符串会导致psxss一个堆栈溢出,如果我们精心构造这些字符串,很明显会得到SYSTEM权限的控制权.

  出问题的地方在psxss.exe的在sub_4A7861BE处:

  +----------------------------------------------------------------------------------+

  .text:4A7861BE sub_4A7861BE

  proc near

  ; CODE XREF: sub_4A785BBC+175p

  .text:4A7861BE

  .text:4A7861BE var_500

  = dword ptr -500h

  .text:4A7861BE var_400

  = dword ptr -400h

  .text:4A7861BE var_201

  = byte ptr -201h

  .text:4A7861BE var_200

  = dword ptr -200h

  .text:4A7861BE arg_0

  = dword ptr

  8

  .text:4A7861BE arg_4

  = dword ptr

  0Ch

  .text:4A7861BE

  .text:4A7861BE

  push

  ebp

  .text:4A7861BF

  mov

  ebp, esp

  .text:4A7861C1

  sub

  esp, 500h

  .text:4A7861C7

  push

  ebx

  .text:4A7861C8

  push

  esi

  .text:4A7861C9

  push

  edi

  .text:4A7861CA

  mov

  eax, large fs:18h

  .text:4A7861D0

  mov

  eax, [eax+30h]

  .text:4A7861D3

  cmp

  dword ptr [eax+1D4h], 0

  .text:4A7861DA

  jz

  short loc_4A78620B

  ;这里会跳转

  .text:4A7861DC

  mov

  eax, large fs:18h

  .text:4A7861E2

  mov

  eax, [eax+30h]

  .text:4A7861E5

  push

  offset dword_4A7814A4

  .text:4A7861EA

  push

  dword ptr [eax+1D4h]

  .text:4A7861F0

  lea

  eax, [ebp+var_200]

  .text:4A7861F6

  push

  offset aSessions_0 ; "\Sessions"

  .text:4A7861FB

  push

  offset aSDS

  ; "%s\%d%s"

  .text:4A786200

  push

  eax

  .text:4A786201

  call

  _sprintf

  .text:4A786206

  add

  esp, 14h

  .text:4A786209

  jmp

  short loc_4A78621A

  .text:4A78620B ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?

  .text:4A78620B

  .text:4A78620B loc_4A78620B:

  ; CODE XREF: sub_4A7861BE+1Cj

  .text:4A78620B

  mov

  esi, offset dword_4A7814A4

  .text:4A786210

  lea

  edi, [ebp+var_200]

  .text:4A786216

  movsd

  .text:4A786217

  movsd

  .text:4A786218

  movsd

  .text:4A786219

  movsb

  .text:4A78621A

  .text:4A78621A loc_4A78621A:

  ; CODE XREF: sub_4A7861BE+4Bj

  .text:4A78621A

  mov

  eax, [ebp+arg_4]

  .text:4A78621D

  or

  ebx, 0FFFFFFFFh

  .text:4A786220

  mov

  ecx, ebx

  .text:4A786222

  lea

  edx, [ebp+var_200]

  .text:4A786228

  mov

  edi, [eax+4]

  ;eax+4是LPC传递过来的数据

  .text:4A78622B

  xor

  eax, eax

  .text:4A78622D

  repne scasb

  .text:4A78622F

  not

  ecx

  ;计算大小

  .text:4A786231

  sub

  edi, ecx

  .text:4A786233

  mov

  esi, edi

  .text:4A786235

  mov

  edi, edx

  .text:4A786237

  mov

  edx, ecx

  .text:4A786239

  mov

  ecx, ebx

  .text:4A78623B

  repne scasb

  .text:4A78623D

  mov

  ecx, edx

  .text:4A78623F

  dec

  edi

  .text:4A786240

  shr

  ecx, 2

  .text:4A786243

  rep movsd

  .text:4A786245

  mov

  ecx, edx

  .text:4A786247

  lea

  edx, [ebp+var_400]

  .text:4A78624D

  and

  ecx, 3

  .text:4A786250

  rep movsb

  ;直接拷贝给ebp-0x200处的buffer

  ............

  ...........

  +----------------------------------------------------------------------------------+

  引起漏洞的地方类似:

  unsigned char buf[0x200]

  ....

  memcpy(buf,MessageData,strlen(MessageData));

  ...

  从这里我们可以看出只要我们的MessageData大小>0x200, 就可以覆盖ebp,eip等结构.

  经过调试分析我们可以知道这个MessageData其实是用户运行posix程序所在当前的路径.

  比如我们在d:aaa目录下运行posix /P c:winntsystem32pax.exe /C pax 的话,MessageData的内容就是d:aaa

  并且在前面加上"DosDevices".

  因为windows下默认目录长度最大只能到256,似乎不能触发这个漏洞,其实不然.因为数据是通过LPC传递过去的,

  我们完全可以伪造这个数据.

  要利用这个漏洞有如下几个办法:

  1. 自己伪造LPC请求,然后传递我们伪造的数据.

  2. 利用HOOK技术,hook posix.exe程序的获得当前路径GetCurrentDirectoryA API调用.返回超长的字符串.

  3. 静态修改posix.exe,直接让程序传递我们的数据

  4. 动态修改进程内部空间,动态申请内存空间,然后写数据,再让程序传递我们的数据.

  1的难度是可想而知的.psxss 的LPC通讯是由3个port来进行的,想完全模拟这三个port的数据实在太难.

  2的话HOOK不是我的特长,而且假设传递给GetCurrentDirectoryA API的第二个参数< 0x200怎么办的问题比较难处理.

  3的话比较容易,但调试不方便,而且担心修改的程序会出错.

  4的话比较直接,传递的数据由我们掌握控制(谢谢eyas的idea @.@).

  我们来看看posix.exe负责传递数据的地方:

  +----------------------------------------------------------------------------------+

  .text:0100343D

  mov

  edi, offset dword_10126B8

  .text:01003442

  push

  edi

  .text:01003443

  push

  105h

  .text:01003448

  call

  GetCWD

  < --- 这里会调用GetCurrentDirectoryA()

  .text:0100344D

  push

  [esp+1Ch+arg_8]

  .text:01003451

  push

  esi

  .text:01003452

  push

  [esp+24h+arg_0]

  .text:01003456

  push

  edi

  .text:01003457

  push

  ebp

  .text:01003458

  push

  [esp+30h+arg_4]

  .text:0100345C

  call

  StartProcess

  .text:01003461

  test

  eax, eax

  .text:01003463

  jnz

  short loc_1003475

  .text:01003465

  push

  5

  +----------------------------------------------------------------------------------+

  .text:01003514 GetCWD

  proc near

  ; CODE XREF: main+177p

  .text:01003514

  .text:01003514 FindFileData

  = _WIN32_FIND_DATAA ptr -140h

  .text:01003514 nBufferLength

  = dword ptr

  4

  .text:01003514 lpBuffer

  = dword ptr

  8

  .text:01003514

  .text:01003514

  sub

  esp, 140h

  .text:0100351A

  push

  ebx

  .text:0100351B

  push

  ebp

  .text:0100351C

  push

  esi

  .text:0100351D

  mov

  esi, [esp+14Ch+lpBuffer]

  .text:01003524

  push

  edi

  .text:01003525

  push

  esi

  ; lpBuffer

  .text:01003526

  push

  [esp+154h+nBufferLength] ; nBufferLength

  .text:0100352D

  call

  ds:_imp__GetCurrentDirectoryA

  .text:01003533

  movsx

  eax, byte ptr [esi]

  .text:01003536

  push

  

本文来自:http://www.linuxpk.com/30812.html

-->linux电子图书免费下载和技术讨论基地

·上一篇:老鸟成长之路:菜鸟入门八种安全工具

·下一篇:PowerChuteBusinessEdition未明拒绝服务漏洞
 
     最新更新
·注册表备份和恢复

·低级格式化的主要作用

·如何防范恶意网站

·常见文件扩展名和它们的说明

·专家:警惕骇客骗局,严守企业信息

·PGPforWindows介紹基本设定(2)

·解剖安全帐号管理器(SAM)结构

·“恶作剧之王”揭秘

·绿色警戒

·黑客反击战

·网络四大攻击方法及安全现状描述

·可攻击3种浏览器代码流于互联网

·黑客最新的兴趣点,下个目标会是谁?

·“僵尸”——垃圾邮件的主要传播源

·Lebreat蠕虫惊现3变种

·POSTFIX反病毒反垃圾Ų…

·在FreeBSD上用PHP实现在线添加FTP用户

·简单让你在FreeBSDADSL上…

·安全版本:OpenBSD入门技巧解析

·Internet连接共享上网完全攻略

·关于ADSL上网网速常识

·静态缓存和动态缓存的比较

·最友好的SQL注入防御方法

·令网站提速的7大秘方

·网络基础知识大全

·路由基本知识

·端口映射的几种实现方法

·VLAN经典诠释

·问题分析与解决——ADSL错误代码

·问题分析——关于2条E1的线路绑定


关于我们 | 联系方式 | 广告合作 | 诚聘英才 | 网站地图 | 网址大全 | 友情链接 | 免费注册

Copyright © 2004 - 2007 All Rights Reserved

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/14102/viewspace-117483/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2002-06-18

  • 博文量
    1715
  • 访问量
    1300057