本地提权漏洞分析【网络安全】_deviceiocontrol实现原理-优快云博客

本文链接：https://blog.youkuaiyun.com/msb_114/article/details/130600578

文章详细记录了对CVE-2023-21752漏洞的分析过程，包括漏洞定位的曲折经历，利用代码的复现和分析，以及补丁对比揭示的漏洞原理。通过动态监控工具procmon，作者最终确定了漏洞点，并解释了补丁如何修复了竞争条件。此外，文章还探讨了利用该漏洞进行本地提权的复杂性和失败原因。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

0. 前言

CVE-2023-21752 是 2023 年开年微软第一个有 exploit 的漏洞，原本以为有利用代码会很好分析，但是结果花费了很长时间，难点主要了两个：漏洞点定位和漏洞利用代码分析，欢迎指正。

1. 漏洞简介

根据官方信息，该漏洞是 Windows Backup Service 中的权限提升漏洞，经过身份认证的攻击者可利用此漏洞提升至 SYSTEM 权限。成功利用此漏洞需要攻击者赢得竞争条件。

EXP 代码位于 Github，提供了两个版本，版本 1 可以实现任意文件删除，可稳定复现；版本 2 尝试利用任意删除实现本地提权，但是复现不稳定。

2. 漏洞点定位的曲折之路

这部分内容是一些失败的过程记录，防止自己之后犯同样的错误，只对漏洞分析感兴趣的可以略过 2.1 和 2.3 小节。

2.1 失败的过程

首先尝试复现，提权版本的利用程序在虚拟机上没有复现成功，任意文件删除版本的利用程序由于没有使用完整路径，也没有复现成功。

之后尝试进行补丁对比，但是想要进行补丁对比首先要确定漏洞位于哪个文件中，根据漏洞利用程序的文件命名SDRsvcEop，找到了文件 sdrsvc.dll，但是补丁对比后并没有发现差异。

搜索了关于这个漏洞的信息，但是除了漏洞通告和 GitHub 的 exp 代码外，没有找到其他内容。

这个时候已经开始对漏洞利用代码进行分析了，一方面通过微软的文档，了解代码中一些函数和参数的使用，一方面开始在 Windbg 上进行调试，并由此找到了 rpcrt4.dll、combase.dll 这些和漏洞无关的文件。

在调试过程中，花费了很多时间在DeviceIoControl这个函数上，因为之前看的很多漏洞最终定位的文件都是 sys 驱动文件，因此为 dll 文件留了一些位置，但是在方法选择上，仍旧趋向去寻找某个 sys 文件。

在这个时候才想起来要把利用程序参数的相对路径改成绝对路径，并且成功复现了任意文件删除。

之前学习病毒分析的时候，有一个算是标准的流程，就是要先执行病毒，看一下它的动态特征，以此方便后面的动态分析。之前看的很多漏洞分析文章，也都是要执行一下 poc 或者 exp，进行进程监控，虽然想到了这个方法，但是并没有十分重视。

继续分析漏洞利用代码，在此期间看了一些关于 DCOM 的资料，确定 sdrsvc.dll 是依赖 rpcss.dll 文件功能的（明明可以通过 process hacker 直接确定的……），通过补丁对比发现函数 CServerSet::RemoveObject 被修改，尝试在 Windbg 中在这个函数设置断点，但是利用程序没有执行到这里，所以漏洞点不在这个文件。

2.2 转入正轨

此时我仍旧没有使用 procmon 对利用程序进行监控，我选择在安装补丁前后的系统上执行利用程序，并检查输出（输出内容做了一些修改），得到以下结果（因为只是测试功能，并没有选择对高权限文件进行删除）：

补丁修复前

PS C:\Users\exp\Desktop> C:\Users\exp\Desktop\SDRsvcEop.exe C:\Users\exp\Desktop\test.txt
[wmain] Directory: C:\users\exp\appdata\local\temp\23980418-9164-497e-8ce7-930949d1af55
[Trigger] Path: \\127.0.0.1\c$\Users\exp\AppData\Local\Temp\23980418-9164-497e-8ce7-930949d1af55
[FindFile] Catch FILE_ACTION_ADDED of C:\users\exp\appdata\local\temp\23980418-9164-497e-8ce7-930949d1af55\SDT2C35.tmp
[FindFile] Start to CreateLock...
[cb] Oplock!
[CreateJunction] Junction \\?\C:\Users\exp\AppData\Local\Temp\23980418-9164-497e-8ce7-930949d1af55 -> \RPC Control created!
[DosDeviceSymLink] Symlink Global\GLOBALROOT\RPC Control\SDT2C35.tmp -> \??\C:\Users\exp\Desktop\test.txt created!
[Trigger] Finish sdc->proc7
[wmain] Exploit successful!
[DeleteJunction] Junction \\?\C:\Users\exp\AppData\Local\Temp\23980418-9164-497e-8ce7-930949d1af55 deleted!
[DelDosDeviceSymLink] Symlink Global\GLOBALROOT\RPC Control\SDT2C35.tmp -> \??\C:\Users\exp\Desktop\test.txt deleted!

补丁修复后