IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

一个冷门类型混淆漏洞CVE-2017-0213的技术分析

发布时间:2017-10-09 13:20文章来源:互联网文章作者: 佚名点击次数:
1. 引言 CVE-2017-0213 是一个比较冷门的COM 类型混淆 (Type Confusion)漏洞。巧妙的利用该漏洞,可以实现本地的提权。该漏洞由著名的Google Project zero 发现。漏洞信息原文可参见【1】 然而原文对漏洞的描述有些过于任性,尽管笔者熟悉好几国英文J,反复

1. 引言

CVE-2017-0213 是一个比较冷门的COM 类型混淆 (Type Confusion)漏洞。巧妙的利用该漏洞,可以实现本地的提权。该漏洞由著名的Google Project zero 发现。漏洞信息原文可参见【1】

然而原文对漏洞的描述有些过于任性,尽管笔者熟悉好几国英文J,反复读了好几遍还是觉得云山雾罩。因此决定亲自分析下,和读者共同分享一下。

2. 技术分析

2.1 DCOM 简介

这个漏洞要从DCOM 谈起了。相信大家对Windows的组件对象模型(COM) 都已经非常熟悉了。而DCOM可能相对来说要陌生一些。DCOM是 分布式的COM, 类似于CORBA, 也就是说调用的COM 可以在远程主机上。

DCOM的详细信息可参见

https://msdn.microsoft.com/en-us/library/cc226801.aspx

在COM模型中,我们知道所有的COM 接口都要继承 IUnkown 接口。通过QueryInterface函数,可以查询任意接口。

而在DCOM模型中,对应于IUnknown的接口为IRemunkown 和IRemUnkown2 两个远程接口。

相应的,QueryInterface对应的方法为:

IRemUnknown::RemQueryInterface([in] REFIPIDripid,

[in] unsigned long cRefs,

[in] unsigned short cIids,

[in, size_is(cIids)] IID* iids,

[out, size_is(,cIids)] PREMQIRESULT* ppQIResults

)

IRemUnknown2::RemQueryInterface2([in]REFIPID ripid,

[in] unsigned short cIids,

[in, size_is(cIids)] IID* iids,

[out, size_is(cIids)] HRESULT* phr,

[out, size_is(cIids)] PMInterfacePointerInternal* ppMIF

)

两者的主要区别在于返回的对象类型上。

IRemUnknown::RemQueryInterface 通过最后一个参数[out,size_is(,cIids)] PREMQIRESULT* ppQIResults 来返回对象。

看一下PREMQIRESULT的定义

typedef struct tagREMQIRESULT {

HRESULT hResult;

STDOBJREF std;

} REMQIRESULT;

typedef [disable_consistency_check]REMQIRESULT* PREMQIRESULT

STDOBJREF 通常包含OXID,IPID, OID 这些信息。

IRemUnknown2::RemQueryInterface2

通过最后又一个参数PMInterfacePointerInternal 来返回对象.

PMInterfacePointerInternal的定义

typedef [disable_consistency_check]MInterfacePointer* PMInterfacePointerInternal;

根据MSDN的解释(https://msdn.microsoft.com/en-us/library/cc226826.aspx)

MInterfacePointer is an NDR-marshaled structure that MUST contain a hand-marshaledOBJREF.

MInterfacePointer是一个NDR装组(marshal)的对象引用。
一个冷门类型混淆漏洞CVE-2017-0213的技术分析
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/others/IT/1073670.html

标签分类:

上一篇:上一篇:最近发生了很多数据泄漏事件,如果GDPR实施的话Equifax会怎么样
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量