CVE-2019-0708 漏洞分析及相关测试

可以通过显示信息看到，攻击是已经顺利执行了的，并且会话也已经成功建立，但是在恶意进程入驻内核的同时，该会话也被强行终止，退出了控制，这一行为可以在火绒的安全日志中看到

在这里exp的确成功执行并与之前一样成功的进行了进程的入驻，但这一入驻过程被火绒所拦截了下来，并识别为Backdoor进行及时阻止与防护，由此可见，该exp的攻击流程是由底层的内核入侵逐步上升至进程与内存管理器，而当攻击上升到用户应用程序所能监控到的层面时便会被识别且清除，但这里也存在着疑问，当我在攻击行为被火绒拦截之后再次运行命令，我设想的结果是会再次成功执行且被火绒查杀，但结果却是再次将靶机打蓝屏

造成这个问题的原因还未找到有相关的解答，只能留意以后的相关文章了
第三次测试
经过上一次的尝试得知，安全防护软件的确可以在一定程度上对该攻击手段进行一定程度的防范，但第二次的尝试是先开启了安全防护软件，再进行exp攻击，这样的异常进程入驻的确很容易引起查杀，所以我想尝试在已经成功入驻了进程后再开启安全防护，能否通过进程的扫描来发现正在执行代码的会话进程并对其进行查杀清除。
首先将攻击开启，成功执行且getshell。

此时在靶机上并无异常，开启安全防护软件，并进行扫描

可以看到在靶机上即便扫描项包含了磁盘与系统进程，但并没有发现正在连接中的exp会话。
在以上三次实验中仍然试过相同条件下靶机蓝屏的情况，所以有可能测试的结论有失偏颇，还望指正
总结与假设
以上就是此次复现cve-2019-0708的过程整理，而过程中所出现的问题与解决方法并不一定具备普遍性，而后续测试因为在过程中也试过相同条件下仍然会出现蓝屏现象，故以上内容仅代表我个人观点，而且对于计算机及内核相关内容我的了解也并不是非常全面，仅限于在一边复现一边学习的过程中所学习与理解的内容，带有一定的个人推理，所以可能存在诸多理论上的漏洞或是本质上的错误，故本篇主要用作个人归档与总结报告用途，如果遇到相关问题善用搜索引擎是最大的帮助。
在本次的复现里总算解决了第一次复现时的失败，也从中更深入的了解了该漏洞所影响面之广与带来危害之深，即便该漏洞有着较为严苛的利用条件，但相信在披露的时候仍然会对很多企业与个人带来威胁，而通过后续的测试也发现了安全防护是能够在一定程度上对攻击进行防范的，所以用户在使用过程中适当的根据自己使用习惯来选择防护措施防患于未然也是很重要的一点。
但在这里我也有相关的疑惑，因为在了解过程中通过windows的结构框架了解到系统的启动具有层面上的先后顺序，而该漏洞的利用是对于底层内核在释放内存时Double free的利用，达到欺骗系统修改内存的目的，且该漏洞也具有将靶机打至蓝屏的特性，而系统在蓝屏后大多数都会释放内存重新启动，而系统重启时，windows自启服务是在登录阶段进行启动的，而这一阶段是后于内核加载阶段，假设此处我对于该漏洞浅显的理解没有错误，且该漏洞的攻击也假设可以在启动系统启动项前作用于该系统，那是否可以通过漏洞的二次攻击，先将靶机系统蓝屏重启，在重启的过程中利用内核加载阶段过渡到登录阶段的这一间隙再次运行攻击程序来完成攻击。
而对于这一假设目前最明显的问题就是网络的连通性，网络服务也属于系统的自启项之一，所以当在未联网的系统开机过程中如何实施攻击就是问题，当然这还有很多的问题包含在里面，而这也仅仅是我的一个假设，但能通过这次复现的过程学习到这么多东西也是一次宝贵的过程，也发现了漏洞复现对于学习也有很大的帮助，可以更深入的了解和探知漏洞背后的规律和原理，即便不能完全理解吃透，这也是一次实践的经历。
 

上一页  [1] [2] [3] 

 3/4   首页 上一页 1 2 3 4 下一页 尾页