这是 Container Manager 服务中任意目录创建错误的 PoC。
此 PoC 尚未经过彻底测试,因此它可能在大多数情况下都无法工作(这足以让 msrc 确认漏洞)。
为了利用此漏洞,必须在 Windows 主机上安装 Windows 沙箱功能。
安装 Windows Sandbox 功能后,将在 c:programdata 目录中创建一组目录。这些目录之一是
C:ProgramDataMicrosoftWindowsContainersBaseImages<GUID>BaseLayer
该目录有所不同,因为它为经过身份验证的用户提供了对所有子对象的组修改权限。
如果 BaseLayer 目录为空或其中的某些目录被删除,则下次启动 Windows 沙箱时,进程 cmimageworker.exe 将重新创建这些目录/文件,而不检查符号链接,并设置允许经过身份验证的用户修改它们的 DACL。
我创建了 PoC,它将利用此漏洞在 c:windowssystem32 目录中创建具有许可 DACL 的目录 pwn ,如下所示:
攻击者可以利用此漏洞通过滥用 SxS 程序集加载来执行以 SYSTEM 权限运行的进程中的代码。
项目地址:https://github.com/Wh04m1001/CVE-2023-36723#cve-2023-36723
原文始发于微信公众号(Ots安全):Windows 容器管理器服务特权提升漏洞CVE-2023-36723
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论