首页
论坛
课程
招聘
[求助]cve-2019-0708 如何分配内存?
2019-8-6 18:34 3823

[求助]cve-2019-0708 如何分配内存?

2019-8-6 18:34
3823
一直在研究cve-2019-0708,目前到了第三步骤:
1. Establish an RDP connection with the MS_T120 virtual channel.
2. Send specific data on MS_T120 virtual channel to free channel control structure.
3. Invoke allocations via call to ExAllocatePoolWithTag in IcaChannelInputInternal such that the freed memory space is occupied with our data.
4. Control EIP via vtable call by placing function pointer to our shellcode at ​[edi + 50] within our fake allocated channel control structure.
5. Break the connection to trigger UAF
6. Obtain RCE

那么问题来了,怎样才能够向已经关闭的channel发送数据包,让它分配内存呢?卡住好久,百思不得其解,求助万能的坛友。。。

安卓应用层抓包通杀脚本发布!《高研班》2021年3月班开始招生!

收藏
点赞0
打赏
分享
最新回复 (20)
雪    币: 3715
活跃值: 活跃值 (91)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Aimeier 活跃值 2019-8-7 11:59
2
0

0.0

最后于 2020-7-7 16:56 被Aimeier编辑 ,原因: 补充
雪    币: 186
活跃值: 活跃值 (15)
能力值: ( LV12,RANK:205 )
在线值:
发帖
回帖
粉丝
coolboyme 活跃值 2 2019-8-9 16:27
3
1
Aimeier 慢慢调试rdesktop即可。这个steps是完全正确的,按照这个完全写得出来。其实step3已经提示得超级明显了。
多谢鼓励,再接再厉~
雪    币: 3951
活跃值: 活跃值 (369)
能力值: ( LV7,RANK:103 )
在线值:
发帖
回帖
粉丝
Adventure 活跃值 2019-8-9 16:53
4
2
为啥非要在已经关闭的信道里发送数据呢!你可以同时开启两个信道,关闭和漏洞相关的信道以后,马上往第二个信道里发送数据呀!另外我看Black Hat 2019 有大佬说可以从剪切板数据这个方向考虑一下!
雪    币: 274
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
陆晨 活跃值 2019-8-12 15:36
5
0
你好,我最近也在研究这个漏洞,目前也是卡在了占坑这个地方,不知道可不可以和你交流一下。
最后于 2019-8-12 15:55 被陆晨编辑 ,原因: 写错
雪    币: 162
活跃值: 活跃值 (26)
能力值: ( LV9,RANK:195 )
在线值:
发帖
回帖
粉丝
palkiver 活跃值 2019-8-12 18:13
6
0
 其实人家说的已经很明显了,进一步提示就是你再去研究研究人家第二步所说的“channel control structure.”
最后于 2019-8-12 18:13 被palkiver编辑 ,原因:
雪    币: 186
活跃值: 活跃值 (15)
能力值: ( LV12,RANK:205 )
在线值:
发帖
回帖
粉丝
coolboyme 活跃值 2 2019-8-12 19:00
7
0
coolboyme 多谢鼓励,再接再厉~
再次感谢提示鼓励,找到了突破占坑的地方了。下一步构造锁的数据, call eax了。。
雪    币: 186
活跃值: 活跃值 (15)
能力值: ( LV12,RANK:205 )
在线值:
发帖
回帖
粉丝
coolboyme 活跃值 2 2019-8-12 19:01
8
0
谢谢各位!
最后于 2019-8-12 19:01 被coolboyme编辑 ,原因:
雪    币: 186
活跃值: 活跃值 (15)
能力值: ( LV12,RANK:205 )
在线值:
发帖
回帖
粉丝
coolboyme 活跃值 2 2019-8-12 19:02
9
0
Adventure 为啥非要在已经关闭的信道里发送数据呢!你可以同时开启两个信道,关闭和漏洞相关的信道以后,马上往第二个信道里发送数据呀!另外我看Black Hat 2019 有大佬说可以从剪切板数据这个方向考虑一下![ ...
谢谢 Adventure ,就是剪切板,早点看到你的消息,这个周末就可以安心休息两天了
雪    币: 186
活跃值: 活跃值 (15)
能力值: ( LV12,RANK:205 )
在线值:
发帖
回帖
粉丝
coolboyme 活跃值 2 2019-8-13 20:02
10
0
Adventure 为啥非要在已经关闭的信道里发送数据呢!你可以同时开启两个信道,关闭和漏洞相关的信道以后,马上往第二个信道里发送数据呀!另外我看Black Hat 2019 有大佬说可以从剪切板数据这个方向考虑一下![ ...
发现剪切板可以发送数据并在对端分配内存,可以控制大小和内容,但是问题来了,剪切板需要在登录以后才会创建信道,这个就尴尬了。
雪    币: 3951
活跃值: 活跃值 (369)
能力值: ( LV7,RANK:103 )
在线值:
发帖
回帖
粉丝
Adventure 活跃值 2019-8-14 11:10
11
0
coolboyme 发现剪切板可以发送数据并在对端分配内存,可以控制大小和内容,但是问题来了,剪切板需要在登录以后才会创建信道,这个就尴尬了。
鼠标和键盘消息呢?
雪    币: 195
活跃值: 活跃值 (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
小旭msx 活跃值 2019-8-15 07:25
12
0
我也卡了在占坑这了,我看github上边的未完成的poc里一般都是创建了好几个t120通道,一直在想应该和占坑有关系
雪    币: 195
活跃值: 活跃值 (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
小旭msx 活跃值 2019-8-15 07:33
13
0
qq137747998,加下我,一起讨论下,进度可能快些
雪    币: 274
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
陆晨 活跃值 2019-8-15 11:52
14
0
更新一下进度,目前还是在寻找可以发送数据的地方,可发数据的通道目前知道的是IO通道和rdpdr通道,或者创建多个t120通道,IO通道看了所有使用icachannelinput的地方,用键盘数据目前50%几率可以占坑,但是可控字节不足。rdpdr通道和t120通道都存在free问题,在free掉t120通道后这两个通道也会free掉,导致无法到达allocate,qq547079826,可以加我讨论一下。
雪    币: 186
活跃值: 活跃值 (15)
能力值: ( LV12,RANK:205 )
在线值:
发帖
回帖
粉丝
coolboyme 活跃值 2 2019-8-15 16:42
15
0
594137965 欢迎加群讨论,仅限poc技术交流
雪    币: 186
活跃值: 活跃值 (15)
能力值: ( LV12,RANK:205 )
在线值:
发帖
回帖
粉丝
coolboyme 活跃值 2 2019-8-15 16:42
16
0
小旭msx qq137747998,加下我,一起讨论下,进度可能快些
594137965 欢迎加群讨论,仅限poc技术交流
雪    币: 186
活跃值: 活跃值 (15)
能力值: ( LV12,RANK:205 )
在线值:
发帖
回帖
粉丝
coolboyme 活跃值 2 2019-8-15 16:44
17
0
Adventure 鼠标和键盘消息呢?[em_1]
键盘鼠标消息,目前可以成功占坑,内容是否可控目前还未知,目前遇见的困难是占坑分配的内存很快释放了,还来不及到use的地方。
雪    币: 186
活跃值: 活跃值 (15)
能力值: ( LV12,RANK:205 )
在线值:
发帖
回帖
粉丝
coolboyme 活跃值 2 2019-9-2 11:22
18
0
搞定了xp 2003,结贴。由于目前还是有很多没有打补丁的机器,暂时不打算公开具体细节。也许一年以后等热度不那么高了,补丁都打上了,会公开相关细节和poc。遗憾的是win7 和 2008没有搞定地址随机化问题,对于这个点有任何新想法的求加 qq 646535763 不吝赐教
最后于 2019-9-2 11:54 被coolboyme编辑 ,原因:
雪    币: 186
活跃值: 活跃值 (15)
能力值: ( LV12,RANK:205 )
在线值:
发帖
回帖
粉丝
coolboyme 活跃值 2 2019-9-6 15:44
19
0
再次更新进展:
目前可以搞定xp, 2003,非常稳定。但是win7 2008地址随机化搞不定,大家有没有什么新的思路啊...  我目前了解的情况好像都不是正解
1. 用ms17_010漏洞写0xffffd000的 (都有ms17_010的漏洞了,还有0708什么事呢,脱了裤子打屁,多此一举)
2. cve-2019-0703 smb信息泄露 (要求有smb user权限认证,某些情况下可以用,不够完美,也没有进一步研究0703 exp)
3. 360某论坛分享(rdp里面任意地址写漏洞。 
*v5 = v6;
*(_QWORD *)(v6 + 8) = v5;
的确存在任意地址写,但是写的内容v5,必须是一个地址,才疏学浅的我窃以为用它来实现一些PPT所述功能(构造页表入口,构造可执行页,构造跳转代码)吹牛的成分更大一点)
4. 360说有一个信息泄露,但是调试发现是登录以后才能触发,用不了
5. 欢迎大家分享自己踩的坑,一起交流进步。
雪    币: 70
活跃值: 活跃值 (297)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
killpy 活跃值 2 2019-9-8 19:45
20
0
好 鼓励
雪    币: 109
活跃值: 活跃值 (912)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
葫芦娃 活跃值 1 2019-9-8 21:55
21
0
coolboyme 再次更新进展: 目前可以搞定xp, 2003,非常稳定。但是win7 2008地址随机化搞不定,大家有没有什么新的思路啊... 我目前了解的情况好像都不是正解 1. 用ms17_010漏洞写0x ...
就在你写这条回复的时候msf已经有人提交rce exp了
currently targets 64-bit versions of Windows 7 and Windows Server 2008 R2.
https://github.com/rapid7/metasploit-framework/pull/12283
最后于 2019-9-8 21:56 被葫芦娃编辑 ,原因:
游客
登录 | 注册 方可回帖
返回