-
-
[原创]CVE-2021-3438打印机驱动SSPORT.sys提权(内核写内存)分析
-
2021-7-22 15:17
-
偶然看到一篇文章提到打印机驱动SSPORT.sys提权,想着有sys提权就必然伴随着内核读写,网上并没有相关文章遂自己分析,IDA打开SSPORT.sys,直接进入MajorFunction[14], 
,然后调整结构体及变量名得到如下 
能操作的控制码只有一个--0x9C402408
从下往上看当v14不为0时从用户缓冲区拷贝内存到驱动空间,为0时从驱动空间拷贝内存到用户缓冲区,Dest是驱动空间中的data段内存,该空间长度为0x1000,再往上v14取决于上边的的while逐个比较qword_11030中字符串, 
所以输入缓冲区为'AA'的时候while走3次,v13为0的时候v14被设为0.
利用:
1.若在第一个strncpy溢出,修改dest空间后的不可写空间----蓝
2.若v14不为0时在第二个strncpy溢出,修改用户缓冲区后的内存,可以修改内存,但不一定覆盖得到可利用的指针或内存。
结论:除非踩了天大的狗屎运否则屁用没有,如果有朋友提供更好的利用方式小弟不胜感激。
引用:
https://threatpost.com/hp-printer-driver-bug-windows/167944/
[注意] 欢迎加入看雪团队!base上海,招聘安全工程师、逆向工程师多个坑位等你投递!
最后于 2021-7-22 17:35
被CIVIL哈编辑
,原因:
