12558网页游戏私服论坛

 找回密码
 立即注册
游戏开服表 申请开服
游戏名称 游戏描述 开服状态 游戏福利 运营商 游戏链接
攻城掠地-仿官 全新玩法,觉醒武将,觉醒技能 每周新区 经典复古版本,长久稳定 进入游戏
巅峰新版攻 攻城掠地公益服 攻城掠地SF 新兵种、新武将(兵种) 进入游戏
攻城掠地公 散人玩家的天堂 新开 进入游戏
改版攻城掠 上线即可国战PK 稳定新区 全新改版,功能强大 进入游戏
少年江山 高福利高爆率 刚开一秒 江湖水落潜蛟龙 进入游戏
太古封魔录 开服送10亿钻石 福利多多 不用充钱也可升级 进入游戏
神魔之道 签到送元宝 稳定开新区 送豪华签到奖励 进入游戏
神奇三国 统帅三军,招揽名将 免费玩新区 激情国战,征战四方 进入游戏
龙符 三日豪礼领到爽 天天开新区 助你征战无双 进入游戏
王者之师 免费领豪华奖励 免费玩新区 6元送6888元宝 进入游戏
三国霸业 战车-珍宝-觉醒-攻城掠地SF-全新玩法 免费玩新区 攻城掠地私服 进入游戏
手游私服盒子 各类免费游戏 0.1折送海量资源 各类手游私服 进入游戏
皇家MU2 《奇迹 2:传奇》韩国网禅公司《奇迹》正统续作。 3D锁视角Mmrpg 暗黑3+传奇+流放之路+奇迹 进入游戏
查看: 399|回复: 0

CVE-2017-0176漏洞简单分析

[复制链接]

51

主题

51

帖子

112

积分

实习版主

Rank: 7Rank: 7Rank: 7

积分
112
发表于 2022-1-28 20:20:42 | 显示全部楼层 |阅读模式
CVE-2017-0176原理简单分析


  • 最近有朋友问到了这个漏洞的相关信息,简单分析了一下,感觉还挺有意思的,跟各位师傅分享一下自己的想法。本文不做深入分析调试,只是简单地说一下原理和漏洞触发的过程,具体的调试希望诸位能切身动手实践一下,收益颇多。
信息搜集


  • 漏洞文件:gpkcsp.dll
  • 漏洞函数:gpkcsp!MyCPAcquireContext()
  • 漏洞参数:gpkcsp!ProvCont.key
  • 数据对象:一个80字节的堆缓冲区
漏洞原理分析

背景知识


  • Smart Card
  • MS-RDPEFS
  • MS-RDPESC
在进行后续分析之前,需要相识RDP的基础知识,否则会很困难。这部分在微软官网都有资料,我就不废话了。毕竟阅读文档也是一项技能啊,需要练。
假如RDP服务器开启了Smart Card登录功能,用户就可以利用Smart Card进行RDP登录。在向用户展示登录终端之前,服务器会利用MS-RDPEFS协议建立一个Smart Card Redirection。RDP服务器检查重定向的加密服务提供步伐(CSP)内的密钥容器的句柄,假如密钥容器的句柄不存在,则应用步伐调用MyCPAcquireContext()函数。密钥容器是包罗特定CSP的所有加密密钥的数据库。
漏洞流程:


  • MyCPAcquireContext()函数首先调用SCardEstablishedContext()函数创建一个smart card上下文
  • MyCPAcquireContext()函数调用ConnectToCard()函数利用上面的上下文创建一个连接句柄
  • MyCPAcquireContext()函数调用SCardGetStatusChangeW()函数检查device的状态:假如card状态为SCARD_STATE_PRESENT,MyCPAcquireContext()调用DoSCardTransmit()函数发送Transmit()_Call消息进行smart card读取,包罗对应的smart card device上的序列号和不同的文件
  • 调用gpkcsp!VerifyDivPIN+0x247()函数读取安全域类型文件。gpkcsp!VerifyDivPIN+0x247()函数首先选择Master File(MF)然后发送一个SELECT命令,在DataField字段中,包罗安全域文件名称((\xa0\x00\x00\x00\x18\x0f\x00\x01\x63\x00\x01)。假如文件存在,smart card响应“\x61\xff”状态,server发送GET RESPONSE命令去读取文件。假如文件不存在,server再次发送一个SELECT命令,但是为不同的文件名称("\x47\x54\x4f\x4b\x18")。假如文件存在,然后函数发送GET RESPONSE命令,LeField字段的值为0xff。此时,smart card通过Transmit_Return消息返回文件的内容。
  • Transmit_Return消息长度存在cbRecvLength字段,并且真实数据存储在pbRecvBuffer字段。MyCPAcquireContext()函数从cbRecvLength中减去7,并从ProvCont.key变量中的pbRecvBuffer中存储(cbRecvLength -7)个字节。其中,ProvCont的结构如下:
    struct ProvCont{       int va1_00;       HANDLE handle_04;       int  var2_08, var2_0C, var3_10, var5_14;    char key[0x80];       int var6_98;       HCRYPTKEY h11;       HCRYPTKEY hc2;      ...    }其中ProvCont.key的长度是0x80,但是在存储pbRecvBuffer之前函数不检查(cbRecvLength -7)是否小于0x80。假如攻击者可以模拟smart card device并在pbRecvBuffer中发送大于0x87的字节,则GET RESPONSE命令前面带有SELECT命令,文件名为“\xa0\x00\x00\x00\x18\x0f\x00\x01\x63\x00\x01“或”\x47\x54\x4f\x4b\x18“,然后就会发生堆缓冲区溢出环境。
综合以上分析,假如远程未经身份验证的攻击者可以通过模拟smart card device并将精心制作的smart card重定向消息发送到目标服务器来利用此漏洞将导致攻击者获得利用SYSTEM权限执行任意代码的本领。
流量检测防御思路:

<ol>检测从RDP服务器到RDP客户端的Smart Card Redirection数据包中的Transmit_Call消息,

[Client]  [Server]
[Client] ----Client Name Request-----------------------> [Server]
[Client]  [Server]
[Client]  [Server]
[Client]
楼主热帖
回复

使用道具 举报

*滑块验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|12558网页游戏私服论坛 |网站地图

GMT+8, 2024-11-28 03:59 , Processed in 0.078125 second(s), 31 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表