网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线: 152-150-65-006 023-68263070 扫描二维码加我微信 在线QQ

漏洞公告团结互助,让我们共同进步!

当前位置:主页 > 技术资讯 > 网络安全 > 漏洞公告 >

我们的优势: 10年相关行业经验,专业设计师量身定制 设计师一对一服务模式,上百家客户案例! 企业保证,正规流程,正规合作 7*24小时在线服务,售后无忧

CVE2019-1019Microsoft Windows 10.0.17134.648 - HTTP -> SMB NTLM reflection导致权限提升漏洞

文章来源:explote-db 发布时间:2019-07-14 22:14:25 围观次数:
分享到:

摘要:该漏洞将有效负载保存在用户的磁盘上(最简单的方法可能是强制它这样做并调用EFSRPC方法将其作为 exe文件复制到用户的启动文件夹

原文内容

https://www.exploit-db.com/exploits/47115

以下为译文:


漏洞细节


在以下情况下,可以使用NTLM反射攻击来转义浏览器沙箱


允许沙箱进程创建TCP套接字。特别是,我能够将这些问题结合起来


下面提到了一个在Chromium中的bug来逃离它的沙箱。



## HTTP -> SMB NTLM reflection


这是一个众所周知的攻击,例如,在


https://bugs.chromium.org/p/project-zero/issues/detail?id=222。


据我所知,MS16-075是


应该通过阻止反映NTLM身份验证操作相同的尝试来修复它机器模式(不确定实际的内部术语)。然而,仍然有可能反映在常规远程模式下工作的NTLM身份验证,攻击者可以强制执行使用远程模式的mode,例如,通过清除ntlmssp_ate_oem_domain_provide


在初始的collaborate_message消息中标记。



在实际的利用中,一个被破坏的沙箱进程同时充当web服务器和SMB客户端,


并要求浏览器访问http://localhost:[fake_webserver_port]。浏览器接收到一个NTLM


身份验证请求,并认为自动登录“localhost”域是安全的


当前用户的凭据。沙箱化进程将相应的包转发到


本地SMB服务器。



这里的问题是,由于已建立的会话被认为是远程身份验证的,所以它是


除非浏览器进程以高完整性运行,否则不允许访问管理共享


的水平。因此,需要另一个bug来获得文件系统访问权。



## EFSRPC路径检查不足


加密文件系统远程协议是一个用于


管理以加密形式存储的数据对象。它支持备份和恢复文件


SMB,等等。像“EfsRpcopenFileRaw”这样的函数实现安全检查,即,他们


禁止远程用户传递常规文件路径。但是,如果攻击者传递的是


形成“`\\localhost\C$\...`, `lsass.exe`补丁。的同时,将启动一个新的SMB连接


调用用户,但这次使用相同的机器模式进行身份验证;因此


允许进入C$共享。



该漏洞将有效负载保存在用户的磁盘上(最简单的方法可能是强制它这样做


并调用EFSRPC方法将其作为.exe文件复制到


用户的启动文件夹。



James Forshaw还发现了另一个路径检查旁路。“EfsRpcOpenFileRaw”


接受以' \\.\C:\…,可能认为这是联合国军司令部的路线从两个反斜杠开始。请注意,这种变体也适用于普通情况


用户的凭证被转发到域中的另一台机器,因此它可能具有更广泛的安全性的影响。



还值得一提的是,名为pipe的' efsrpc '可能在缺省情况下不启用,但是


在具有UUID的“lsass”命名管道上也可以使用相同的RPC端点


[c681d488-d850-11d0-8c52-00c04fd90f7e]。



生殖情况


概念验证基于[impacket](https://github.com/SecureAuthCorp/impacket/)。这是一个


支持使用SMB和MSRPC的Python类的集合。


1. “开始运行。cmd '从Github下载impacket,应用补丁并启动服务器。


2. 在基于chromium的浏览器中打开http://localhost/。


3.您应该会看到一个新的.exe文件出现在您的桌面上。



版本


微软视窗[版本10.0.17134.648]



参考文献

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-nlmp/b38c36ed-2804-4868-a9ff-8dd3182128e4

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-efsr/08796ba8-01c8-4872-9221-1000ec2eff31


https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/47115.zip


本文由 explote-db 整理发布,转载请保留出处,内容部分来自于互联网,如有侵权请联系我们删除。

相关热词搜索:CVE2019-1019 win10提权漏洞 SMB NTLM反射

上一篇:jQuery-File-Upload <= 9.x 远程命令执行漏洞
下一篇:最后一页

热门资讯

鼠标向下滚动