Avira VPN的两处提权破绽剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Avira VPN的两处提权破绽剖析

申博_新闻事件 申博 177次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

基本信息

产物版本:Avira Phantom VPN

下载地点:【点我下载】

操作系统:Windows 10 v1709(x64)

破绽信息:Avira VPN提权破绽

破绽概述

AviraPhantom VPN效劳平台在搜检更新时会举行大批的检测,在更新过程当中,VPN效劳会将更新文件下载到“C:\Windows\Temp\”目次,存储的文件名为AviraVPNInstaller.exe。

接下来,顺序会考证该文件的署名,若是版本号不相符更新前提(版本号低于以后版本),则会住手更新。若是前提相符,效劳会以SYSTEM权限运转更新代码。

但我们能够运用一个已署名的有用Avira可实行文件来替代这个“AviraVPNInstaller.exe”,然后在“C:\Windows\Temp”中寄存一个歹意DLL文件并终究完成提权(NT AUTHORITY\SYSTEM)。

破绽剖析

当Avira VPN效劳(Avira.VPNService.exe, 版本号为2.15.2.28160)最先运转后,它会检测是不是有可用更新:

 

应用顺序效劳会从“C:\Windows\Temp”目次中猎取下载下来的更新文件:

 

能够人人已发现了,任何一位经由过程身份考证的用户都能够向“C:\Windows\Temp”目次写入文件(但没法读取文件)。当该目次中已存在有更新文件(C:\Windows\Temp\AviraVPNInstaller.exe)时,VPN效劳会搜检更新文件的“FileVersion”属性,以此来推断这个更新文件是不是已在这台装备上装置过了:

Avira VPN的两处提权破绽剖析

若是文件版本注解该更新没有装置过,效劳将会对文件的有用性和文件署名举行考证:

 

送书福利 | 管理者必读经典,圈内大佬亲笔签名的企业安全建设指南

FreeBuf 猪年第一波送书活动献给了刚刚诞生的「FreeBuf企业安全」服务号!免费送五本《互联网企业安全高级指南》,详见活动细则! 想必不少人已经注意到了,FreeBuf正式上线了专注企业安全的精品内容分享平台的企业服务号,第一篇首推了

若是文件确切有用,而且由Avira署名,那末VPN效劳将会开启更新功用。由于这统统都是低权限用户能够做到的,以是进击者就有能够挟制软件更新包,并举行数据改动。

为了挟制“AviraVPNInstaller.exe”,进击场景必需知足以下前提:

1.“AviraVPNInstaller.exe”必需由Avira署名;

2.“AviraVPNInstaller.exe”的署名必需有用,对文件举行的任何修正都将致使署名失效;

3.“AviraVPNInstaller.exe”的版本号考证效果必需是“该更新未在主机上装置过”。

这也就意味着,我们须要想办法应用Avira的已署名文件,而且版本号要高于以后产物。

研讨半天以后,我们发现了“ToastNotifier.exe”,它恰好相符我们的请求:

Avira VPN的两处提权破绽剖析

注:ToastNotifier.exe来自于Avira反病毒产物套件中。

接下来,我们要做的就是把“ToastNotifier.exe”拷贝到“C:\Windows\Temp\AviraVPNInstaller.exe”。由于统统前提都知足,当效劳启动后VPN效劳会以SYSTEM权限运转这个可实行文件,这一步能够经由过程重启或以管理员权限运转以下敕令来完成(PowerShell):

 

Get-ServiceAviraPhantomVPN | Stop-Service

Get-ServiceAviraPhantomVPN | Start-Service

 

 

实行以后,“ToastNotifier.exe”将会实验加载“C:\Windows\temp”目次中的歹意DLL文件:

为了完成SYSTEM提权,我们要做的就是供应上面这些DLL文件。这里,我们运用“cryptnet.dll”(包含了我们的歹意代码),它能够资助我们让VPN效劳以SYSTEM权限启动“AviraVPNInstaller.exe”代码,然后以SYSTEM权限加载“cryptnet.dll”,终究完成低权限用户提权为SYSTEM权限。

Avira VPN的两处提权破绽剖析

众安天下招聘安全工程师

北京众安天下科技有限公司简称为“众安天下(Allsec)”,专注于互联网安全众测服务领域。众测顾名思义:聚合跨地域、跨业务领域、跨技术领域的众多安全专家的合力,帮助客户排除安全漏洞隐患,提升客户业务安全软实力。因此,取名“众安


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Avira VPN的两处提权破绽剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址