首页
论坛
课程
招聘
[原创]CVE-2021-3438打印机驱动SSPORT.sys提权(内核写内存)分析
2021-7-22 15:17 3251

[原创]CVE-2021-3438打印机驱动SSPORT.sys提权(内核写内存)分析

2021-7-22 15:17
3251

偶然看到一篇文章提到打印机驱动SSPORT.sys提权,想着有sys提权就必然伴随着内核读写,网上并没有相关文章遂自己分析,IDA打开SSPORT.sys,直接进入MajorFunction[14], 原始,然后调整结构体及变量名得到如下 2 3

 

能操作的控制码只有一个--0x9C402408

 

从下往上看当v14不为0时从用户缓冲区拷贝内存到驱动空间,为0时从驱动空间拷贝内存到用户缓冲区,Dest是驱动空间中的data段内存,该空间长度为0x1000,再往上v14取决于上边的的while逐个比较qword_11030中字符串, 图片描述

 

所以输入缓冲区为'AA'的时候while走3次,v13为0的时候v14被设为0.

 

利用:
1.若在第一个strncpy溢出,修改dest空间后的不可写空间----蓝
图片描述
2.若v14不为0时在第二个strncpy溢出,修改用户缓冲区后的内存,可以修改内存,但不一定覆盖得到可利用的指针或内存。

 

结论:除非踩了天大的狗屎运否则屁用没有,如果有朋友提供更好的利用方式小弟不胜感激。

 

引用:
https://threatpost.com/hp-printer-driver-bug-windows/167944/

 

3


[注意] 欢迎加入看雪团队!base上海,招聘安全工程师、逆向工程师多个坑位等你投递!

最后于 2021-7-22 17:35 被CIVIL哈编辑 ,原因:
收藏
点赞0
打赏
分享
最新回复 (1)
雪    币: 0
活跃值: 活跃值 (167)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
sky5 活跃值 2021-7-23 09:44
2
0

表情包拿了

最后于 2021-7-23 09:48 被sky5编辑 ,原因:
游客
登录 | 注册 方可回帖
返回