网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线: 152-150-65-006 023-68263070 扫描二维码加我微信 在线QQ

漏洞公告团结互助,让我们共同进步!

当前位置:主页 > 技术资讯 > 网络安全 > 漏洞公告 >

我们的优势: 10年相关行业经验,专业设计师量身定制 设计师一对一服务模式,上百家客户案例! 企业保证,正规流程,正规合作 7*24小时在线服务,售后无忧

CVE-2020-0668漏洞分析:Windows Service Tracing任意文件移动漏洞

文章来源:重庆网络安全 发布时间:2020-03-08 01:59:21 围观次数:
分享到:

摘要:Windows Service Tracing任意文件移动漏洞,此漏洞将影响从Windows Vista到Windows 10的所有版本的操作系统,但是Windows XP也可能会受到此漏洞的影响,因为XP系统中也包含此功能。

  Windows Service Tracing任意文件移动漏洞,此漏洞将影响从Windows Vista到Windows 10的所有版本的操作系统,但是Windows XP也可能会受到此漏洞的影响,因为XP系统中也包含此功能。


Windows Service Tracing


  Service Tracing在Windows平台上具有悠久的历史,该功能早在XP上就已引入。该功能可以为分析人员提供有关当前正在运行的服务和模块的基本调试信息。任何本地用户都可以通过编辑注册表项(HKLM \ SOFTWARE \ Microsoft \ Tracing)来配置它。


  在Windows中,每个服务或模块对应一个注册表项,每个项包含六个值,我们主要针对其中三个,即EnableFileTracing(启用/禁用“tracing”),FileDirectory(设置日志输出文件地址)和MaxFileSize(设置日志文件的最大文件大小)。


  启用EnableFileTracing后,目标服务将开始将其日志文件写入我们选择的文件路径。当日志文件超过MaxFileSize的大小时,它将被移动(即原始的.LOG后缀替换为.OLD),并在适当位置创建一个新的日志文件。


  安全研究员James Forshaw发布了一个符号链接测试工具,该漏洞利用非常简单。我们只需要将目标目录设置为挂载点,指向\ RPC Control对象目录,然后创建以下2个符号链接:


  1.创建一个从MODULE.LOG到我们文件之一的符号链接(文件大小必须大于MaxFileSize);


  2.创建从MODULE.OLD到系统中任何文件的符号链接,例如“ C:\ Windows \ System32 \ WindowsCoreDeviceInfo.dll”。

  最后,我们需要使用以“ NT AUTHORITY \ SYSTEM”权限为目标运行的服务触发文件“ move”操作,然后使用Update Session Orchestrator服务获取任意代码执行权限。


  服务Tracing功能


  如本文开头所述,任何本地用户都可以通过编辑注册表项(HKLM \ SOFTWARE \ Microsoft \ Tracing)来配置Service Tracing功能。


  此时,通过使用Windows Sysinternals工具集中的AccessChk工具,我们可以看到普通用户具有相关注册表项下几乎所有子项的读写权限:

blob.png

 接下来,我们将以RASTAPI模块为例来演示漏洞利用。IKEEXT服务使用此模块,因此我们可以通过启动任何VPN连接来触发事件日志记录行为。下图显示了相关注册表项的默认设置,其他服务和模块也使用完全相同的值:

blob.png

 从本地攻击者的角度来看,以下值很有用: 

blob.png

 通过设置这些值,我们可以执行以下操作:


  1.将EnableFileTracing修改为0或1,以强制特定的服务或模块启动/停止将调试信息写入日志文件。


  2.通过FileDirectory设置日志文件的特定位置。


  3.通过MaxFileSize设置最大输出文件大小。


  应该注意的是,我们不能选择输出日志文件的名称。日志文件的名称取决于调用的服务或模块的名称,但是我们可以通过符号链接解决此问题。


  任意文件移动漏洞


  方案1:MaxFileSize是默认值


  在这种情况下,我们将路径“ C:\ LOGS”设置为日志文件的输出目录,并启用“File Tracing”功能:

blob.png

 接下来,我们需要生成一些事件以触发目标服务以开始写入日志文件。在这里,我们可以使用rasdial命令并与PBK文件配合以初始化VPN连接:

blob.png

 成功!日志文件由“ NT AUTHORITY \ SYSTEM”写入。当前的日志文件大小约为24KB:

blob.png

方案2:MaxFileSize-自定义值


  在先前的测试中,我们可以看到输出日志文件的大小约为24KB,因此这一次,我们将MaxFileSize的值设置为“ 0×4000”(16384字节大小),然后重新测试:

blob.png

从“Process Monitor”捕获的事件中,我们可以知道:


  1.该服务将获取日志文件的基本信息。我们可以看到EndOfFile的偏移量是23906,这也是当前文件的大小。 由于我们设置的最大文件大小为16,384字节,因此系统将确定没有更多可用空间。


  2.该服务调用SetRenameInformationFile,其中FileName = C:\ LOGS \ RASTAPI.OLD。因为当前文件被认为已满,所以它将“ C:\ LOGS \ RASTAPI.LOG”更改为“ C:\ LOGS \ RASTAPI.OLD”。


  3.该服务将创建一个新的“ C:\ LOGS \ RASTAPI.LOG”文件并开始写入数据。

blob.png

 文件移动操作由“ NT AUTHORITY \ SYSTEM”完成。因此,我们可以使用它来将用户拥有的文件移动到目标系统上的任何位置,例如“ C:\ Windows \ System32 \”。


  漏洞利用过程如下:


  1.创建(或复制)一个大小超过0×8000(32,768)字节的文件。


  2.创建一个新目录,例如“ C:\ EXPLOIT \ mountpoint \”,并将其设置为指向“ \ RPC Control”的挂载点。


  3.创建以下符号链接:


\RPC Control\RASTAPI.LOG -> \??\C:\EXPLOIT\FakeDll.dll (owner = current user)\RPC Control\RASTAPI.OLD -> \??\C:\Windows\System32\WindowsCoreDeviceInfo.dll

  4.在注册表中配置以下值:


  FileDirectory = C:\EXPLOIT\mountpointMaxFileSize = 0x8000 (32,768‬ bytes)EnableFileTracing = 1

  5.使用Windows API中的RasDial函数来触发与RASTAPI相关的事件。


  6.触发Update Session Orchestrator服务,并使用“ NT AUTHORITY \ SYSTEM”权限加载相关的DLL。


本文由 重庆网络安全 整理发布,转载请保留出处,内容部分来自于互联网,如有侵权请联系我们删除。

相关热词搜索:CVE-2020-0668 漏洞分析 Windows Service Tracing 任意文件移动漏洞 重庆网络安全

上一篇:POC编写:CNVD-2020-10487/CVE-2020-1938漏洞,tomcat服务器端口8009上的ajp协议漏洞,未经授权用户可读取网站目录中任意文件。
下一篇:“Collide+Probe”和“Load+Reload”:AMD处理器漏洞两种新型侧信道攻击,利用L1D缓存预测变量访问原本不可访问的数据。

延伸阅读:

热门资讯


  • 高端定制,专业设计

  • 7*24小时保证数据安全

  • 跨平台,多终端,全网优化,提升排名

  • 一站式服务模式,售后无优

关于我们

重庆牛创网络科技有限责任公司是一群技术强大、思维活跃、拥有创新精神的年轻人创立,公司致力于为企业提供全面、周到、专业的互联网解决方案,提供网站建设、网络推广、网络安全审计、wifi营销认证、网站运营维护、域名注册、虚拟主机、企业邮局、企业形象设计等多种信息产品和服务。

联系我们

公司电话: 023—68263070
办公地址:重庆市北碚区金华路399号
邮箱:120481297@qq.com
技术咨询:15215065006

“互联网+”方案

Copyright 2003-2019 www.023niu.com All Rights Reserved. 本站程序界面、源代码受相关法律保护,未经授权,严禁使用 |重庆牛创网络科技有限公司 | 网站地图

备案图标 渝ICP备19004889号-1 渝公网安备 50010902000896号

行业安全认证 行业安全认证 行业安全认证

鼠标向下滚动