提供一个0day(CVE)挖掘思路
01
最近在Twitter看到國(guó)外黑闊jonhat披露的雷蛇的0day漏洞,該漏洞只要接入雷蛇的鼠標(biāo)或鍵盤等外設(shè)安裝驅(qū)動(dòng)就能直接提權(quán)到system權(quán)限。原文在這里:
https://twitter.com/j0nh4t/status/1429049506021138437
剛好我用的就是雷蛇鼠標(biāo),趕緊復(fù)現(xiàn)一波(復(fù)現(xiàn)視頻可以去twitter看原版)。
先在插上一個(gè)新的雷蛇設(shè)備,或者刪除老驅(qū)動(dòng)后再插入,等安裝好基本驅(qū)動(dòng)后,會(huì)自動(dòng)彈出安裝Razer Synapse(雷云)的安裝向?qū)?#xff0c;然后再選擇安裝位置時(shí),可以新建一個(gè)terminal,新建的這個(gè)terminal就是system權(quán)限。
是不是很簡(jiǎn)單!是不是有手就行!
簡(jiǎn)單分析下漏洞原理,這類外設(shè)或其他I/O設(shè)備,連接到電腦上時(shí)都會(huì)有一個(gè)驅(qū)動(dòng)安裝過程,只是現(xiàn)在都簡(jiǎn)化了,都是即插即用型,用戶感覺不到安裝過程。而驅(qū)動(dòng)級(jí)的程序安裝與運(yùn)行都是system權(quán)限的,正常過程用戶是無法利用的,而雷蛇這個(gè)雷云軟件,在安裝好基本驅(qū)動(dòng)后自動(dòng)拉起,直接使用的就是驅(qū)動(dòng)程序的system權(quán)限,所以造成了提權(quán)。這個(gè)漏洞雷蛇這邊肯定是有大問題,但是微軟這邊對(duì)這類驅(qū)動(dòng)程序的權(quán)限控制有沒有問題還是已經(jīng)在他們某個(gè)條款里寫到過了就不得而知了。
然后說到今天這個(gè)標(biāo)題,說我是不是標(biāo)題黨。其實(shí)在看這個(gè)Twitter下面老哥聊天的時(shí)候,有人說很近已經(jīng)就上報(bào)給雷蛇過了,一直沒修。還有人說其他廠商的設(shè)備也有過同樣的問題。想想這類設(shè)備是挺容易出現(xiàn)這種問題的,老哥們可以去看看自己家的其他外設(shè),是不是也有同樣的軟件安裝過程,是不是下一個(gè)0day或者CVE就在等你。
題外話
當(dāng)時(shí)看到這個(gè)復(fù)現(xiàn)過程時(shí),我就發(fā)現(xiàn)這個(gè)提權(quán)方法不就是我一在公司電腦上早就用過的嗎。別人一下就能挖到0day,我用了這么久也沒想過去挖別家的漏洞,還是我太菜了。
再來說說我是怎么在公司電腦上進(jìn)行騷操作提權(quán)安全研究的。應(yīng)該大部分公司給員工的電腦有進(jìn)行加域或者標(biāo)裝過的,都是普通用戶權(quán)限,而且多多少少都裝了各種EDR,DLP之類的,不好做一些騷操作安全研究。
這里還有一個(gè)前提,就是桌管即桌面管家,也可以說軟管即軟件管家,就是公司內(nèi)部管理軟件安裝的系統(tǒng),有些公司使用了成熟的商用桌管,統(tǒng)一管理軟件安裝,用戶只能選擇安裝和卸載,其他過程無法參與。也有部分公司使用的是自制的軟管,原理就是安裝過程在本地啟一個(gè)臨時(shí)administrator權(quán)限,安裝完成之后關(guān)閉。這個(gè)過程使用的可能是腳本,小工具,原理都差不多。像我在的公司使用的是一個(gè)叫l(wèi)srunase的工具,好像挺老的一個(gè)工具,原始來源我也沒找到,感興趣的老哥可以去研究研究,這個(gè)工具的原理也是一樣。
首先是一個(gè)域內(nèi)普通用戶權(quán)限,大部分軟件都沒有安裝權(quán)限,部分軟件可以用戶權(quán)限安裝運(yùn)行,先不討論。
再在統(tǒng)一軟管或者其他內(nèi)部安裝軟件的方式,找一個(gè)軟件進(jìn)行安裝。在安裝過程中,選擇安裝文件夾的過程中,可以新建一個(gè)terminal,此時(shí)這個(gè)terminal就是administrator權(quán)限。最低也是本地administrator權(quán)限,也可以是system權(quán)限,甚至域管權(quán)限。如果只是本地administrator權(quán)限也有辦法提權(quán)到system,下次再討論。
老哥們?cè)诠倦娔X上測(cè)試的時(shí)候,一定要注意相關(guān)安全規(guī)定,不要被安全部同事逮住了。什么,我就是安全部的人,那沒事了。
不說了,挖洞去了。
該文章來源于火線zone社區(qū):https://zone.huoxian.cn/d/454-0daycve
總結(jié)
以上是生活随笔為你收集整理的提供一个0day(CVE)挖掘思路的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: vad特征
- 下一篇: 计算机的动画图,计算机动画的图形基础学时