Windows条件竞争提权漏洞复现(CVE-2024-300889)
漏洞原理[*]当内核将当前令牌对象的_AUTHZBASEP_SECURITY_ATTRIBUTES_INFORMATION复制到用户模式时,错误位于函数 AuthzBasepCopyoutInternalSecurityAttributes 内部,该模式的结构如下:
//0x30 bytes (sizeof)
struct _AUTHZBASEP_SECURITY_ATTRIBUTES_INFORMATION
{
ULONG SecurityAttributeCount; //0x0
struct _LIST_ENTRY SecurityAttributesList; //0x8
ULONG WorkingSecurityAttributeCount; //0x18
struct _LIST_ENTRY WorkingSecurityAttributesList; //0x20
};
[*]执行复制 SecurityAttributesList 时,内核会将 SecurityAttribute 的结构列表直接设置到用户提供的指针。之后,它调用 RtlCopyUnicodeString 和 AuthzBasepCopyoutInternalSecurityAttributeValues 函数以复制 SecurityAttribute 结构的名称和值,从而导致此函数中的多个 TOCTOU。
[*]在调用
[*] 之前,使用一个简单的赛车线程来修改属性名称的 Buffer 指针,我可以轻松地存档任意地址写入,并控制固定值和大小。
影响范围
版本版本windows_10_1507最高(不包括) 10.0.10240.20680windows_10_1607最高(不包括) 10.0.14393.7070windows_10_1809最高(不包括) 10.0.17763.5936windows_10_21h2最高(不包括) 10.0.19044.4529windows_10_22h2最高(不包括) 10.0.19045.4529windows_11_21h2最高(不包括) 10.0.22000.3019windows_11_22h2最多(不包括) 10.0.22621.3737windows_11_23h2最高(不包括) 10.0.22631.3737windows_server_2016最高(不包括) 10.0.14393.7070windows_server_2019最高(不包括) 10.0.17763.5936windows_server_2022最高(不包括) 10.0.20348.2522windows_server_2022_23h2最高(不包括) 10.0.25398.950漏洞复现
文件来源:tykawaii98/CVE-2024-30088 (github.com)
用Visual Studio打开,直接天生解决方案
https://img2024.cnblogs.com/blog/2855436/202406/2855436-20240627114021950-302492672.png
执行效果:
https://img2024.cnblogs.com/blog/2855436/202406/2855436-20240627114024437-249416006.png
执行效果视频:
https://live.csdn.net/v/403437
参考链接
tykawaii98/CVE-2024-30088 (github.com)
NVD - CVE-2024-30088 (nist.gov)
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]