7-Zip 权限升级和命令执行-CVE-2022-29072

admin 2022年5月8日14:04:45安全漏洞评论12 views1158字阅读3分51秒阅读模式

7-Zip,是一个免费且免费的文件存档器。7-Zip 的命令提示版本专为类 Unix 系统设计,甚至包括 AmigaOS。也兼容 DOS 友好端口或带有 HX-DOS 扩展程序可执行文件的 Windows 命令提示。


首先,我想谈谈我发现漏洞的故事。我在WinRAR上看到了一个实现XXE漏洞的payload。同时,它允许使用HTML Helper文件在javascript上运行命令,这要归功于ActiveXObject和WScript.Shell。这和lolbins中使用的HTA没什么区别,我想我怎么能把事件对我有利。


(https://www.exploit-db.com/exploits/47526)


实际上,我的目标是双击7z,zip,rar等压缩技术的扩展名后在目标计算机上获得reverse-shell。我正在考虑是否可以使用其中的HTML Helper文件。经过长时间的模糊测试WinAFL,我发现FzGM.exe上存在堆溢出,但是堆溢出后没有任何意义,因为我的权限仍然来自同一个用户。所以我没有使用CreateRemoteThread,因为我需要调用API,我需要一个 chm 文件来触发这个 API。当我检查源代码时,我注意到有一些不正确的操作,特别是在两个地方调用 Windows API 时,这会造成直接授权问题。这个发现点创建了一个FzGM.exe下的子进程如下图所示。正常情况下,这个进程hh。

7-Zip 权限升级和命令执行-CVE-2022-29072

7-Zip 权限升级和命令执行-CVE-2022-29072

7-Zip 权限升级和命令执行-CVE-2022-29072

如果没有包含API并且通过函数进行了正确的配置,我希望它会在hh.exe下创建一个子进程,但是7-zip.chm文件通过它自己调用它。你可以看到一个典型的例子如果您编辑 7-zip.chm 文件并在那时执行命令。一堆溢出调用API的授权问题后,利用了我处理了很久的7z.dll文件中的错误配置。做CreateRemoteThread()没有意义。


我需要运行什么并在我的有效负载中调用的是 HTML Helper API 不是它本身,而是通过 7-zip 挂钩此 API 的点,我可以执行该点,但此有效负载仅适用于 hh.exe 集成功能。7 调用附件。chm带有 HELP 按钮 over 7-zip 的文件和这里调用的地址 我的“基础指针”重定向,在有效负载中存在授权问题,将我们带到下一个用户。下一步是在有效负载中找到 psexec 并将其提升到系统权限为nt权限/系统用命令psexec -s cmd.exe。

7-Zip 权限升级和命令执行-CVE-2022-29072

POC视频:

项目地址:

https://github.com/kagancapar/CVE-2022-29072


参考:

https://github.com/kagancapar/CVE-2022-29072/blob/main/7z_CVE-2022-29072.yml

原文始发于微信公众号(Ots安全):7-Zip 权限升级和命令执行-CVE-2022-29072

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月8日14:04:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  7-Zip 权限升级和命令执行-CVE-2022-29072 http://cn-sec.com/archives/982183.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: