一.前言

1.漏洞描述

该漏洞发生的位置是在驱动文件Win32k.sys中的xxxHandleMenuMessage函数，产生的原因是没有对该函数中调用的xxxMNFindWindowFromPoint函数的返回值进行合法性验证，直接将其作为参数传递给后面的xxxSendMessage函数调用，从而造成了提权漏洞。

2.实验环境

• 操作系统： Win7 x86 sp1 专业版
• 编译器： Visual Studio 2017
• 调试器： IDA Pro，WinDbg

二.漏洞分析

1.静态分析

通过IDA直接查看xxxHandleMenuMessage函数，可以在其中看到，在该函数中，会首先调用xxxMNFindWindowFromPoint函数，然后将该函数的返回值作为第一个参数被下面的xxxSendMessage函数调用，该函数会发送一个0xED的消息。

image

xxxSendMessage函数是通过调用xxxSendMessageTimeout函数来实现的，而在xxxSendMessageTimeout中会有如下的代码：

image

此时esi保存的就是xxxSendMessage第一个参数的值，也就是说此时esi=iRet。因此，如果xxxMNFindWindowFromPoint函数的返回值为-5的话，那么，此时call dword ptr [esi + 0x60]就会是call dword ptr [-5 + 0x60]，就等于call dword ptr [0x5B]。此时，可以通过在0x5B处保存要执行的ShellCode的地址，那么此处的call dword ptr [esi+0x60]就会执行指定的ShellCode。

而在xxxMNFindWindowFromPoint函数中，会调用xxxSendMessage来发送一个0x1EB的消息。如果xxxSendMessage函数的返回值非0的话(比如-5)，那么该返回值就会作为xxxMNFindWindowFromPoint函数的返回值返回回去。

image

这里IDA反编译的结果出了问题，在反汇编的代码中是可以看到，此处的xxxSendMessage函数发送的消息是0x1EB的消息：

image

2.动态分析

运行exp，在xxxMNFindWindowFromPoint函数发送消息的地址下断点

\

image

中断以后，调用函数发送消息，然后查看返回值可以看到此时的返回值就是-5

image

继续运行到xxxMNFindWindowFromPoint函数返回前，可以看到此时的返回值为-5

image

继续向下运行到xxxSendMessageTimeout调用函数处的call dword ptr [esi + 60h]，可以看到此时的esi等于-5，而0x5B保存了要执行的ShellCode的地址

image

继续运行，就会运行ShellCode的代码完成提权

image

三.漏洞利用

【→所有资源关注我，私信回复“资料”获取←】
1、网络安全学习路线
2、电子书籍（白帽子）
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记

想要成功触发该漏洞，需要使用TrackPopupMenu函数，该函数定义如下：

image

其中第一个参数hMenu是一个pop-up菜单，第六个参数hWnd则是拥有该菜单的窗口句柄，因此在exp中要创建好这些窗口，然后调用函数触发漏洞：

image

同时，在主窗口的处理函数中，也需要进行判断。如果窗口处于空闲状态，需要通过PostMessage函数来模拟鼠标和键盘的操作，这样才能成功发送0x1EB的消息来达到漏洞点：

image

为了让xxxSendMessage函数返回-5触发漏洞，还需要通过SetWindowHook来加入钩子函数，

image

在钩子函数中，拦截0x1EB的消息，通过SetWindowLongA函数来修改菜单窗口的属性。这里的第二个参数传入的是GWL_WNDPROC，意味着修改的是窗口的处理函数

image

在窗口处理函数中，如果接收的消息是0x1EB的消息，则调用EndMenu函数销毁窗口且返回-5来触发漏洞

image

最后，由于在xxxSendMessageTimeout中还有如下的验证：

image

此时的p就是传递的-5，所以在0地址申请内存成功以后，除了将0x5B地址的内容修改为ShellCode的地址外，还需要将0x3和0x11处的数据修改为如下数据：

image

四.运行结果

image image

最后在系统上运行结果如下，可以看到提权成功。

image