POSIX子系统权限提升漏洞分析以及利用

来源：ChinaITLab 收集整理 作者： 出处：巧巧读书 2006-08-08 进入讨论组

关 键 词：cgi  director  dos  windows  winnt  

　　一. 漏洞介绍
　　microsoft 的MS04-020公告描述了POSIX子系统的权限提升漏洞,公告地址:
　　http://www.microsoft.com/technet/security/bulletin/MS04-020.mspx
　　
　　CVE 公告:
　　http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0210
　　
　　很明显,这是一个本地权限提升的漏洞,存在于POSIX子系统中.
　　
　　二. 漏洞分析
　　microsoft的POSIX系统由一个psxss的进程负责处理, posix.exe运行起来的程序会通过LPC来和psxss通讯,psxss进程的权限是SYSTEM, 很不幸的是,posix.exe传递给psxss的数据中,如果包含过长的字符串会导致psxss一个堆栈溢出,如果我们精心构造这些字符串,很明显会得到SYSTEM权限的控制权.出问题的地方在psxss.exe的在sub_4A7861BE处:
　　+----------------------------------------------------------------------------------+
　　.text:4A7861BE sub_4A7861BE proc near ; CODE XREF: sub_4A785BBC+175p
　　.text:4A7861BE
　　.text:4A7861BE var_500 = dword ptr -500h
　　.text:4A7861BE var_400 = dword ptr -400h
　　.text:4A7861BE var_201 = byte ptr -201h
　　.text:4A7861BE var_200 = dword ptr -200h
　　.text:4A7861BE arg_0 = dword ptr 8
　　.text:4A7861BE arg_4 = dword ptr 0Ch
　　.text:4A7861BE
　　.text:4A7861BE push ebp
　　.text:4A7861BF mov ebp, esp
　　.text:4A7861C1 sub esp, 500h
　　.text:4A7861C7 push ebx
　　.text:4A7861C8 push esi
　　.text:4A7861C9 push edi
　　.text:4A7861CA mov eax, large fs:18h
　　.text:4A7861D0 mov eax, [eax+30h]
　　.text:4A7861D3 cmp dword ptr [eax+1D4h], 0
　　.text:4A7861DA jz short loc_4A78620B ;这里会跳转
　　.text:4A7861DC mov eax, large fs:18h
　　.text:4A7861E2 mov eax, [eax+30h]
　　.text:4A7861E5 push offset dword_4A7814A4
　　.text:4A7861EA push dword ptr [eax+1D4h]
　　.text:4A7861F0 lea eax, [ebp+var_200]
　　.text:4A7861F6 push offset aSessions_0 ; "\\Sessions"
　　.text:4A7861FB push offset aSDS ; "%s\\%d%s"
　　.text:4A786200 push eax
　　.text:4A786201 call _sprintf
　　.text:4A786206 add esp, 14h
　　.text:4A786209 jmp short loc_4A78621A
　　.text:4A78620B ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
　　.text:4A78620B
　　.text:4A78620B loc_4A78620B: ; CODE XREF: sub_4A7861BE+1Cj
　　.text:4A78620B mov esi, offset dword_4A7814A4
　　.text:4A786210 lea edi, [ebp+var_200]
　　.text:4A786216 movsd
　　.text:4A786217 movsd
　　.text:4A786218 movsd
　　.text:4A786219 movsb
　　.text:4A78621A
　　.text:4A78621A loc_4A78621A: ; CODE XREF: sub_4A7861BE+4Bj
　　.text:4A78621A mov eax, [ebp+arg_4]
　　.text:4A78621D or ebx, 0FFFFFFFFh
　　.text:4A786220 mov ecx, ebx
　　.text:4A786222 lea edx, [ebp+var_200]
　　.text:4A786228 mov edi, [eax+4] ;eax+4是LPC传递过来的数据
　　.text:4A78622B xor eax, eax
　　.text:4A78622D repne scasb
　　.text:4A78622F not ecx ;计算大小
　　.text:4A786231 sub edi, ecx
　　.text:4A786233 mov esi, edi
　　.text:4A786235 mov edi, edx
　　.text:4A786237 mov edx, ecx
　　.text:4A786239 mov ecx, ebx
　　.text:4A78623B repne scasb
　　.text:4A78623D mov ecx, edx
　　.text:4A78623F dec edi
　　.text:4A786240 shr ecx, 2
　　.text:4A786243 rep movsd
　　.text:4A786245 mov ecx, edx
　　.text:4A786247 lea edx, [ebp+var_400]
　　.text:4A78624D and ecx, 3
　　.text:4A786250 rep movsb ;直接拷贝给ebp-0x200处的buffer
　　
　　............
　　...........
　　
　　+----------------------------------------------------------------------------------+
　　
　　引起漏洞的地方类似:
　　unsigned char buf[0x200]
　　
　　....
　　
　　memcpy(buf,MessageData,strlen(MessageData));
　　...
　　
　　从这里我们可以看出只要我们的MessageData大小>0x200, 就可以覆盖ebp,eip等结构.
　　
　　经过调试分析我们可以知道这个MessageData其实是用户运行posix程序所在当前的路径.比如我们在d:\aaa\目录下运行posix /P c:\winnt\system32\pax.exe /C pax 的话,MessageData的内容就是d:\aaa并且在前面加上"\DosDevices\".
　　
　　因为windows下默认目录长度最大只能到256,似乎不能触发这个漏洞,其实不然.因为数据是通过LPC传递过去的,我们完全可以伪造这个数据.
　　
　　要利用这个漏洞有如下几个办法:
　　1. 自己伪造LPC请求,然后传递我们伪造的数据.
　　2. 利用HOOK技术,hook posix.exe程序的获得当前路径GetCurrentDirectoryA API调用.返回超长的字符串.
　　3. 静态修改posix.exe,直接让程序传递我们的数据
　　4. 动态修改进程内部空间,动态申请内存空间,然后写数据,再让程序传递我们的数据.
　　
　　1的难度是可想而知的.psxss 的LPC通讯是由3个port来进行的,想完全模拟这三个port的数据实在太难.
　　2的话HOOK不是我的特长,而且假设传递给GetCurrentDirectoryA API的第二个参数<0x200怎么办的问题比较难处理.
　　3的话比较容易,但调试不方便,而且担心修改的程序会出错.
　　4的话比较直接,传递的数据由我们掌握控制(谢谢eyas的idea @.@).
　　
　　我们来看看posix.exe负责传递数据的地方:
　　+----------------------------------------------------------------------------------+
　　.text:0100343D mov edi, offset dword_10126B8
　　.text:01003442 push edi
　　.text:01003443 push 105h
　　.text:01003448 call GetCWD <--- 这里会调用GetCurrentDirectoryA()
　　.text:0100344D push [esp+1Ch+arg_8]
　　.text:01003451 push esi
　　.text:01003452 push [esp+24h+arg_0]
　　.text:01003456 push edi
　　.text:01003457 push ebp
　　.text:01003458 push [esp+30h+arg_4]
　　.text:0100345C call StartProcess
　　.text:01003461 test eax, eax
　　.text:01003463 jnz short loc_1003475
　　.text:01003465 push 5
　　+----------------------------------------------------------------------------------+
　　.text:01003514 GetCWD proc near ; CODE XREF: main+177p
　　.text:01003514
　　.text:01003514 FindFileData = _WIN32_FIND_DATAA ptr -140h
　　.text:01003514 nBufferLength = dword ptr 4
　　.text:01003514 lpBuffer = dword ptr 8
　　.text:01003514
　　.text:01003514 sub esp, 140h
　　.text:0100351A push ebx
　　.text:0100351B push ebp
　　.text:0100351C push esi
　　.text:0100351D mov esi, [esp+14Ch+lpBuffer]
　　.text:01003524 push edi
　　.text:01003525 push esi ; lpBuffer
　　.text:01003526 push [esp+154h+nBufferLength] ; nBufferLength
　　.text:0100352D call ds:_imp__GetCurrentDirectoryA
　　.text:01003533 movsx eax, byte ptr [esi]
　　.text:01003536 push eax ; int
　　.text:01003537 call toupper
　　.text:0100353C pop ecx
　　.text:0100353D mov [esi], al
　　.text:0100353F push 5Ch ; int
　　.text:01003541 push esi ; char *
　　.text:01003542 call strchr
　　.text:01003547 mov ebp, eax
　　.text:01003549 pop ecx
　　.text:0100354A test ebp, ebp
　　.text:0100354C pop ecx
　　.text:0100354D jz short loc_10035B4
　　.text:0100354F inc ebp
　　.text:01003550
　　.text:01003550 loc_1003550: ; CODE XREF: GetCWD+99j
　　.text:01003550 push 5Ch ; int
　　.text:01003552 push ebp ; char *
　　.text:01003553 call strchr
　　.text:01003558 mov ebx, eax
　　.text:0100355A pop ecx
　　.text:0100355B test ebx, ebx
　　.text:0100355D pop ecx
　　.text:0100355E jz short loc_1003563
　　.text:01003560 and byte ptr [ebx], 0
　　.text:01003563
　　.text:01003563 loc_1003563: ; CODE XREF: GetCWD+4Aj
　　.text:01003563 lea eax, [esp+150h+FindFileData]
　　.text:01003567 push eax ; lpFindFileData
　　.text:01003568 push esi ; lpFileName
　　.text:01003569 call ds:_imp__FindFirstFileA
　　.text:0100356F cmp eax, 0FFFFFFFFh
　　.text:01003572 jz short loc_10035AF
　　.text:01003574 push eax ; hFindFile
　　.text:01003575 call ds:_imp__FindClose
　　.text:0100357B lea edi, [esp+150h+FindFileData.cFileName]
　　.text:0100357F or ecx, 0FFFFFFFFh
　　.text:01003582 xor eax, eax
　　.text:01003584 repne scasb
　　.text:01003586 not ecx
　　.text:01003588 sub edi, ecx
　　.text:0100358A mov eax, ecx
　　.text:0100358C mov esi, edi
　　.text:0100358E mov edi, ebp
　　.text 更多内容请看Windows权限设置  漏洞专区  系统安全设置专题，或进入讨论组讨论。

【收藏此文】【大 中 小】【打印】【关闭】

较早的文章：高手过招：如何利用ASP实现邮箱访问

较新的文章：基于ARP欺骗的网络攻击程序源码