网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线： 152-150-65-006 023-68263070 扫描二维码加我微信

漏洞公告团结互助，让我们共同进步！

当前位置：主页 > 技术资讯 > 网络安全 > 漏洞公告 >

我们的优势： 10年相关行业经验，专业设计师量身定制设计师一对一服务模式，上百家客户案例！企业保证，正规流程，正规合作 7*24小时在线服务，售后无忧

CVE2019-1019Microsoft Windows 10.0.17134.648 - HTTP -> SMB NTLM reflection导致权限提升漏洞

文章来源：explote-db 围观次数：

分享到:

摘要：该漏洞将有效负载保存在用户的磁盘上(最简单的方法可能是强制它这样做并调用EFSRPC方法将其作为 exe文件复制到用户的启动文件夹

原文内容

https://www.exploit-db.com/exploits/47115

以下为译文：

漏洞细节

在以下情况下，可以使用NTLM反射攻击来转义浏览器沙箱

允许沙箱进程创建TCP套接字。特别是，我能够将这些问题结合起来

下面提到了一个在Chromium中的bug来逃离它的沙箱。

## HTTP -> SMB NTLM reflection

这是一个众所周知的攻击，例如，在

https://bugs.chromium.org/p/project-zero/issues/detail?id=222。

据我所知，MS16-075是

应该通过阻止反映NTLM身份验证操作相同的尝试来修复它机器模式(不确定实际的内部术语)。然而，仍然有可能反映在常规远程模式下工作的NTLM身份验证，攻击者可以强制执行使用远程模式的mode，例如，通过清除ntlmssp_ate_oem_domain_provide

在初始的collaborate_message消息中标记。

在实际的利用中，一个被破坏的沙箱进程同时充当web服务器和SMB客户端，

并要求浏览器访问http://localhost:[fake_webserver_port]。浏览器接收到一个NTLM

身份验证请求，并认为自动登录“localhost”域是安全的

当前用户的凭据。沙箱化进程将相应的包转发到

本地SMB服务器。

这里的问题是，由于已建立的会话被认为是远程身份验证的，所以它是

除非浏览器进程以高完整性运行，否则不允许访问管理共享

的水平。因此，需要另一个bug来获得文件系统访问权。

## EFSRPC路径检查不足

加密文件系统远程协议是一个用于

管理以加密形式存储的数据对象。它支持备份和恢复文件

SMB，等等。像“EfsRpcopenFileRaw”这样的函数实现安全检查，即,他们

禁止远程用户传递常规文件路径。但是，如果攻击者传递的是

形成“`\\localhost\C$\...`, `lsass.exe`补丁。的同时，将启动一个新的SMB连接

调用用户，但这次使用相同的机器模式进行身份验证;因此

允许进入C$共享。

该漏洞将有效负载保存在用户的磁盘上(最简单的方法可能是强制它这样做

并调用EFSRPC方法将其作为.exe文件复制到

用户的启动文件夹。

James Forshaw还发现了另一个路径检查旁路。“EfsRpcOpenFileRaw”

接受以' \\.\C:\…，可能认为这是联合国军司令部的路线从两个反斜杠开始。请注意，这种变体也适用于普通情况

用户的凭证被转发到域中的另一台机器，因此它可能具有更广泛的安全性的影响。

还值得一提的是，名为pipe的' efsrpc '可能在缺省情况下不启用，但是

在具有UUID的“lsass”命名管道上也可以使用相同的RPC端点

[c681d488-d850-11d0-8c52-00c04fd90f7e]。

生殖情况

概念验证基于[impacket](https://github.com/SecureAuthCorp/impacket/)。这是一个

支持使用SMB和MSRPC的Python类的集合。

1. “开始运行。cmd '从Github下载impacket，应用补丁并启动服务器。

2. 在基于chromium的浏览器中打开http://localhost/。

3.您应该会看到一个新的.exe文件出现在您的桌面上。

版本

微软视窗[版本10.0.17134.648]

参考文献

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-nlmp/b38c36ed-2804-4868-a9ff-8dd3182128e4

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-efsr/08796ba8-01c8-4872-9221-1000ec2eff31

https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/47115.zip

本文由 explote-db 整理发布,转载请保留出处，内容部分来自于互联网，如有侵权请联系我们删除。

相关热词搜索：CVE2019-1019 win10提权漏洞 SMB NTLM反射

上一篇：jQuery-File-Upload <= 9.x 远程命令执行漏洞
下一篇：从Avast防病毒软件中发现价值5,000美元的反射XSS

关于我们

重庆牛创网络科技有限责任公司是一群技术强大、思维活跃、拥有创新精神的年轻人创立，公司致力于为企业提供全面、周到、专业的互联网解决方案，提供网站建设、网络推广、网络安全审计、wifi营销认证、网站运营维护、域名注册、虚拟主机、企业邮局、企业形象设计等多种信息产品和服务。

联系我们

公司电话： 023—68263070
办公地址：重庆市北碚区金华路399号
邮箱：120481297@qq.com
技术咨询：15215065006

“互联网+”方案

重庆网站建设

备案图标渝ICP备19004889号-1 渝公网安备 50010902000896号

行业安全认证

漏洞公告团结互助，让我们共同进步！

CVE2019-1019Microsoft Windows 10.0.17134.648 - HTTP -> SMB NTLM reflection导致权限提升漏洞

热门资讯

关于我们

联系我们

“互联网+”方案