本文講的是深度:cve-2017-8565分析和利用,
如果你在最近的更新如
kb4025342
中看到以下三個關鍵字,請不要驚慌,…
…保持冷靜,並閱讀新的安全更新指南門戶**上的cve-2017-8565
是的,cve-2017-8565於2023年7月11日發布。
來自hewlett-packard enterprise security的oleksandr mirosh和alvaromuñoz報告了這個漏洞,我們可以在致謝頁面看到。
當psobject包裝cim例項時,powershell中就會存在乙個遠端執行**漏洞。成功利用此漏洞的攻擊者可能會在易受攻擊的系統上執行惡意**。
在攻擊方案中,攻擊者可以在powershell遠端會話中執行惡意**。
該更新通過更正powershell如何反序列化使用者提供的指令碼來解決漏洞。
上述頁面說明了這是乙個遠端執行**(rce)漏洞,我猜測這是因為在攻擊場景中呼叫了remoting所致。
這就是為什麼我並不是百分之百的同意這個漏洞級別:
首先,我們快速檢查一下誰可以在windows 10 1703工作站上使用get-pssessionconfiguration cmdlet 訪問到remoting。
§ nt authority interactive(s-1-5-4)是登入互動式操作的使用者。當程序以互動方式登入時會將這個許可權新增到程序令牌中的組識別符號。相應的登入型別為logon32_logon_interactive。(**)
§ builtin administrators(s-1-5-32-544)
內建組。初始安裝作業系統後,該組的唯一成員是管理員帳戶。當計算機加入域時,域管理員組將新增到管理員組。當伺服器成為域控制器時,企業管理員組也將新增到管理員組(**)
§ builtin remote management users(s-1-5-32-580) 內建本地組。該組的成員可以通過管理協議訪問wmi資源(例如通過windows遠端管理服務進行ws-management)。這僅適用於授予使用者訪問許可權的wmi命名空間。(**)
上面列出的這三個組都可以通過remoting進行連線,並且這些組的使用者已經擁有了計算機的管理許可權,或者是可以互動方式登入(此時你已經是管理員或標準使用者)或者是屬於本地builtin remote management users的成員。
如果你還不是管理員,那麼你可以通過利用cve-2017-8565這個漏洞獲取遠端會話最終成為管理員。
在這種情況下,我更願意將這類「遠端執行**」(rce)的漏洞稱為特權提公升(eop)。
記住:通過powershell呼叫**遠端處理是powershell remoting的主要目的。
現在,假設我們新增了其他遠端配置,因為你已經使用runas帳戶(特權帳戶)實現了jea(just enough administration)或限制遠端終端以授權訪問某些(較少特權)的遠端使用者(通常是helpdesk組的成員)。
較小許可權的遠端使用者可以通過利用此漏洞獲得訪問(易受攻擊的)遠端配置/會話的許可權,然後獲得更多的許可權。
我們可以在powershell core中看到有關此漏洞的更多詳細資訊。開源專案的優點在於,它們在修復錯誤時往往更加透明和敏捷。
在powershell core github儲存庫中,對於常規windows版本的powershell發布安全更新的第二天,cim解串器的問題就被引入了。
它在約三天內被修復。
你可以使用此鏈結檢視相關的合併pull請求。
我已經在安裝了kb4025342的windows 10 1703上完全修補了這個漏洞。匯入損壞的cim類,並沒有啟動計算器程序。
我已經刪除了kb4025342並重新啟動了計算機
wusa.exe /uninstall /kb:4025342 /norestart匯入損壞的cim類和執行下面的命令具有相同的結果:
invoke-command -computername . -enablenetworkaccess到目前為止我沒有成功特權提公升。
現在我們假設我新增了乙個非常有限的端點(僅允許import-clixml和訪問filessystem提供程式)
$ht = @ new-pssessionconfigurationfile -path c:config.pssc @ht register-pssessionconfiguration -path 'c:config.pssc' -name "test" -force匯入損壞的cim類導致了逃離受限端點限制(「沙箱」)的能力,並在更高特權的帳戶下執行任意**。你可以看到wsmprovhost.exe在winrm虛擬使用者下執行,具有高完整性級別,並且有兩個從其安全上下文繼承的子程序(cmd.exe和openwith.exe通過嘗試執行calc來觸發):
在我看來,沒有必要因為這個漏洞感到恐慌。
任意**只能在某些特定場景中執行在更高的安全上下文中。
通過應用已經可用的windows安全更新,可以輕鬆地修復此漏洞。
在windows 7上,預設情況下,只有管理員才能通過remoting進行連線:
原文發布時間為:2023年8月7日
CVE2014 6287分析報告
cssembly 2014 09 29 11 30 在烏雲zone裡看到了 hfs 2.3x 遠端命令執行 抓雞黑客末日 的文章,以前只是分析二進位制漏洞,這種命令注入漏洞還是第一次分析,從網上下了hfs 2.3.279這個版本,執行起來之後,執行poc,四個calc就執行起來了。複製 ps 分析到...
需求分析 5 分析流程
1 小型流程 需求工作項 提交的文件 所處需求層次 業務目標 目標列表 業務需求 繪製用例圖 需求規約 或 用例模型 使用者需求 編寫用例規約 行為需求 2 中型流程 需求工作項 提交的文件 所處需求層次 業務目標 願景文件 業務需求 範圍 feature 上下文圖 繪製用例圖 需求規約 或 用例模...
20090901 分析函式ratio to
ratio to report函式 syntax 分析函式ratio to report 用來計算當前記錄的指標expr佔開窗函式over中包含記錄的所有同一指標的百分比.這裡如果開窗函式的統計結果為null或者為0,就是說占用比率的被除數為0或者為null,則得到的結果也為0.開窗條件query ...