-
-
[原创]CVE-2021-3438打印机驱动SSPORT.sys提权(内核写内存)分析
-
2021-7-22 15:17
6568
-
[原创]CVE-2021-3438打印机驱动SSPORT.sys提权(内核写内存)分析
偶然看到一篇文章提到打印机驱动SSPORT.sys提权,想着有sys提权就必然伴随着内核读写,网上并没有相关文章遂自己分析,IDA打开SSPORT.sys,直接进入MajorFunction[14],
,然后调整结构体及变量名得到如下

能操作的控制码只有一个--0x9C402408
从下往上看当v14不为0时从用户缓冲区拷贝内存到驱动空间,为0时从驱动空间拷贝内存到用户缓冲区,Dest是驱动空间中的data段内存,该空间长度为0x1000,再往上v14取决于上边的的while逐个比较qword_11030中字符串, 
所以输入缓冲区为'AA'的时候while走3次,v13为0的时候v14被设为0.
利用:
1.若在第一个strncpy溢出,修改dest空间后的不可写空间----蓝

2.若v14不为0时在第二个strncpy溢出,修改用户缓冲区后的内存,可以修改内存,但不一定覆盖得到可利用的指针或内存。
结论:除非踩了天大的狗屎运否则屁用没有,如果有朋友提供更好的利用方式小弟不胜感激。
引用:
https://threatpost.com/hp-printer-driver-bug-windows/167944/

看雪招聘平台创建简历并且简历完整度达到90%及以上可获得500看雪币~
最后于 2021-7-22 17:35
被CIVIL哈编辑
,原因: