EvilWfshbr：Windows内核本地提权漏洞利用工具

EvilWfshbr：Windows内核本地提权漏洞利用工具

CVE-2022-42046 CVE-2022-42046 Proof of Concept of wfshbr64.sys local privilege escalation via DKOM 项目地址: https://gitcode.com/gh_mirrors/cv/CVE-2022-42046

项目介绍

EvilWfshbr 是一个针对 CVE-2022-42046 漏洞的本地提权概念验证（PoC）工具。该漏洞存在于 wfshbr64.sys 和 wfshbr32.sys 驱动程序中，允许任意用户通过精心构造的payload，对 EPROCESS 结构体的偏移量和标志位进行位操作，从而将游戏进程提升至 CodeGen Full 保护级别。这一漏洞的利用不仅展示了内核层面的安全漏洞，还揭示了驱动程序在设计上的潜在风险。

项目技术分析

漏洞原理

wfshbr64.sys 和 wfshbr32.sys 驱动程序在处理用户请求时，未对 EPROCESS 结构体的偏移量和标志位进行充分的验证，导致攻击者可以通过构造特定的payload，绕过安全检查，直接修改内核对象的标志位，从而实现本地提权。

技术实现

项目通过以下步骤实现漏洞利用：

1. 构造Payload：生成特定的数据结构，包含 EPROCESS 结构体的偏移量和期望的标志位。
2. 发送请求：将构造好的payload发送给驱动程序，触发漏洞。
3. 修改标志位：驱动程序在处理请求时，未对payload进行充分验证，直接修改了 EPROCESS 结构体的标志位。
4. 提权：通过修改后的标志位，将目标进程提升至更高的保护级别。

防御机制

开发者在对漏洞进行修复时，增加了额外的验证机制，如 KwfsVerifyOffsetAndFlags 函数，限制了偏移量和标志位的有效范围。然而，项目通过多次尝试不同的偏移量和标志位组合，成功绕过了这一防御机制。

项目及技术应用场景

安全研究

EvilWfshbr 项目为安全研究人员提供了一个深入研究Windows内核安全漏洞的工具。通过分析该项目的实现细节，研究人员可以更好地理解内核驱动程序的安全机制，发现并修复潜在的安全漏洞。

漏洞利用

对于渗透测试人员和安全专家，该项目提供了一个实际的漏洞利用案例，展示了如何在Windows系统中实现本地提权。通过学习和实践该项目，可以提升对内核漏洞的理解和利用能力。

安全教育

该项目还可以作为安全教育的教学案例，帮助学生和初学者理解内核漏洞的原理和利用方法。通过实际操作，学生可以更好地掌握内核编程和安全防护的知识。

项目特点

1. 实际漏洞利用

项目基于真实的CVE漏洞，展示了如何通过精心构造的payload实现本地提权，具有很高的实用价值。

2. 多语言支持

项目不仅提供了C++版本的实现，还提供了Rust CLI版本，满足不同开发者的需求。

3. 防御机制分析

项目详细分析了开发者在修复漏洞时增加的防御机制，并展示了如何绕过这些机制，为安全研究人员提供了宝贵的参考。

4. 开源社区合作

项目由 @DoranekoSystems 共同研究，展示了开源社区在安全研究中的合作精神。

总结

EvilWfshbr 项目不仅是一个本地提权漏洞的PoC工具，更是一个深入研究Windows内核安全机制的宝贵资源。无论你是安全研究人员、渗透测试人员，还是安全教育工作者，该项目都将为你提供丰富的知识和实践经验。快来体验这个开源项目，探索Windows内核的奥秘吧！

CVE-2022-42046 CVE-2022-42046 Proof of Concept of wfshbr64.sys local privilege escalation via DKOM 项目地址: https://gitcode.com/gh_mirrors/cv/CVE-2022-42046