微软某开发框架多个版本存在问题可用来提权

漏洞概要

缺陷编号:WooYun-2015-0104148

漏洞标题:微软某开发框架多个版本存在问题可用来提权

相关厂商:Microsoft

漏洞作者:路人甲

提交时间:2015-03-29 15:24

公开时间:2015-06-30 13:16

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2015-03-29: 细节已通知厂商并且等待厂商处理中
2015-04-01: 厂商已经确认,细节仅向厂商公开
2015-04-04: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-05-26: 细节向核心白帽子及相关领域专家公开
2015-06-05: 细节向普通白帽子公开
2015-06-15: 细节向实习白帽子公开
2015-06-30: 细节向公众公开

简要描述:

微软.NET框架配置不当,可利用技巧来提权。NETFramework 是一个普及的开发平台,用于构建 Windows、Windows Store、Windows Phone、Windows Server 和 Microsoft Azure 的应用程序。 .NET Framework 平台包括 C# 和 Visual Basic 编程语言、 公共语言运行库和广泛的 类库。

详细说明:

受影响的版本为:Microsoft .NET Framework 2.0Microsoft .NET Framework 3.5Microsoft .NET Framework 3.5.1Microsoft .NET Framework 4Microsoft .NET Framework 4.5Microsoft .NET Framework 4.5.1利用条件:1.需要支持aspx并且高于Microsoft .NET Framework 1.14版本2.安全模式除外(现在还没有能突破.net安全模式的方法)漏洞说明:该漏洞可直接赋予文件权限(让没权限的文件执行)

漏洞证明:

不太会表达直接演示吧我们现在拿星外虚拟主机的环境来测试漏洞,星外主机权限是出了名的小 我们都知道的 没有可写目录是不可能执行命令并提权的至于在根目录下执行cmd是根本不可能的事,下面我将利用此漏洞来见证这奇妙的一瞬间http://**.**.**.**/js/style/cun.aspx 密码c (星外主机环境shell 用于演示漏洞)现在根目录下执行set命令显示拒绝访问 (没权限)

接下来上传我们的cmd文件 (建议上传windows xp cmd.exe)并设置为终端 setp E:\fxhost\blptycom\web\cmd.exe

图中的cmd是没权限的,下面开始使用我们的exp赋予cmd.exe权限 并执行他

已经成功赋予权限 并执行了set命令

再一次演示了 从无权限执行到有权限执行附测试案例:http://**.**.**.**/Admin/LinkModule/PicLink/PicLins.aspx 密码c因为需要.net 又要找权限极低的环境 手里没那么多 审核莫怪!此漏洞可用于提升权限然后执行危险文件造成服务器沦陷 危害也是很大的 审核哥哥复现时有问题可联系我exp贴在下面了QQ 859565496求打雷

修复方案:

修复

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-04-0113:15

厂商回复:

CNVD已经接收到相关信息,同时感谢白帽子后续提供的EXP信息,目前,该信息仍然转由微软(中国)进行协调研判.尚待官方的确认. 因未能确认,rank 10

最新状态:

暂无

评价

  1. 2010-01-01 00:00 he1renyagao 白帽子 | Rank:224 漏洞数:28)

    这个叼

  2. 2010-01-01 00:00 玉林嘎 白帽子 | Rank:757 漏洞数:64)

    这个真的叼

  3. 2010-01-01 00:00 YY-2012 白帽子 | Rank:1791 漏洞数:161)

    QTVA-2015-198545

  4. 2010-01-01 00:00 zhxs 白帽子 | Rank:25 漏洞数:2)

    再次惊现提权神器

  5. 2010-01-01 00:00 Mark 白帽子 | Rank:38 漏洞数:3)

    叼啊

  6. 2010-01-01 00:00 小杰哥 白帽子 | Rank:185 漏洞数:15)

    卧槽 真叼!

  7. 2010-01-01 00:00 娃哈哈 白帽子 | Rank:40 漏洞数:3)

    这个6

  8. 2010-01-01 00:00 Master 白帽子 | Rank:10 漏洞数:2)

    牛逼。。。

  9. 2010-01-01 00:00 冰箭 白帽子 | Rank:0 漏洞数:0)

    嗯,贴出来了,在下面看到了。

  10. 2010-01-01 00:00 x0ers 白帽子 | Rank:25 漏洞数:4)

    谁买了的,我们一人一WB和他再买回来。你这次出几个WB,我们一人一WB买回来,你就赚了,我先WB了。

  11. 2010-01-01 00:00 神在堕落 白帽子 | Rank:0 漏洞数:1)

    EXP ==。=。=。=。=。。。=。。=。。。=。。=。=。。=。

  12. 2010-01-01 00:00 核心粉木耳 白帽子 | Rank:0 漏洞数:0)

    人手一份你们还玩个JJ啊

  13. 2010-01-01 00:00 黑哥 白帽子 | Rank:23 漏洞数:2)

    @x0ers 我买了 私聊我吧

  14. 2010-01-01 00:00 ′雨。 白帽子 | Rank:1086 漏洞数:88)

    这个很赞啊。。 测试成功了。

  15. 2010-01-01 00:00 核心粉木耳 白帽子 | Rank:0 漏洞数:0)

    @′雨。 感谢雨牛赏脸啊

  16. 2010-01-01 00:00 Damo 白帽子 | Rank:137 漏洞数:15)

    http://stackoverflow.com/questions/5298905/add-everyone-privilege-to-folder-using-c-net

  17. 2010-01-01 00:00 Xser233 白帽子 | Rank:3 漏洞数:1)

    噗..呕血了,那个是菜刀自带的ccc插件啊啊啊啊啊啊

  18. 2010-01-01 00:00 核心粉木耳 白帽子 | Rank:0 漏洞数:0)

    @Xser233 是么? 你看看你菜刀里有跟我一样的插件么? 小学生

  19. 2010-01-01 00:00 黑名单 白帽子 | Rank:52 漏洞数:8)

    http://loudong.360.cn/vul/info/id/66180 楼主不道德 两边提交

  20. 2010-01-01 00:00 Snake~ 白帽子 | Rank:0 漏洞数:0)

    他那个set了两次,所以系统找不到文件,不是拒绝访问,他赋权限完了以后setp正确了,这样科学吗?

  21. 2010-01-01 00:00 魂淡、 白帽子 | Rank:16 漏洞数:1)

    @xsser @YY-2012 @′雨。 打开你们的渗透工具包,看看菜刀下的CCC文件夹里有没有"Aspx设置权限.ccc"这个文件,再看看里面的代码吧,我敢保证是一样的。
    @核心粉木耳 "是么,小学生"。大学生么,呵呵。非要说不一样的地方只有需要改动的路径和返回消息。
    这种东西都能打雷那我把菜刀插件都提交一遍也行了吧。

  22. 2010-01-01 00:00 Ch丶0nly 白帽子 | Rank:168 漏洞数:19)

    @魂淡、 大神 那别人提交了 你咋没提交啊 好几千块钱呢 哈哈哈哈哈哈

  23. 2010-01-01 00:00 魂淡、 白帽子 | Rank:16 漏洞数:1)

    @Ch丶0nly 醉了,拿别人公开十几年的东西提交漏洞,也就你们干得出来。不如你去网上搜刮一下被公开的漏洞都来提交乌云吧,好几十万呢!没能力就别出来丢人。
    另外,好几千?呵呵。
    小学生,回家玩蛋去吧。

  24. 2010-01-01 00:00 魂淡、 白帽子 | Rank:16 漏洞数:1)

    你们缺钱,我可不缺,我嫌丢人。

  25. 2010-01-01 00:00 魂淡、 白帽子 | Rank:16 漏洞数:1)

    @Ch丶0nly 其他的我不说,用事实说话,你们插件少是你们的问题,你的菜刀插件是不是只有原版的四五个?呵呵。
    这个插件几年前就躺在我的菜刀CCC文件夹下了。
    http://www.vipjc8.com/thread-312-1-1.html
    "Aspx设置权限.ccc"看到了吗
    同一个视频教程,在2013年就被发布了
    http://bbs.dnjc8.net/viewthread.php?page=1&tid=19250
    这篇帖子在漏洞发布之前出的,视频则是更早之前。
    换句话说,我并不认为这算个漏洞。我只问:如果是洞主发现的为何没有分析过程?
    某些人为了钱不要脸,双投甚至拿以前被人忽视的东西来。

    另外给你看一下插件内容

    try
    {

    var strPath:String = "c:\\perl", strUser:String = "everyone";
    var dirinfo:System.IO.DirectoryInfo = new System.IO.DirectoryInfo(strPath);

    var dirsecurity:System.Security.AccessControl.DirectorySecurity = dirinfo.GetAccessControl();

    dirsecurity.AddAccessRule(new System.Security.AccessControl.FileSystemAccessRule(strUser,
    System.Security.AccessControl.FileSystemRights.FullControl,
    System.Security.AccessControl.AccessControlType.Allow));

    dirinfo.SetAccessControl(dirsecurity);
    Response.Write(strPath+"\tok");

    }catch(x){Response.Write(x.Message);}

    用事实说话,别他妈这么弱智。