BITS

程序员和系统管理员使用后台智能传输服务#xff08;BITS#xff09;从HTTP

Web服务器和SMB文件共享下载文件…Author:剑残雪飘深蓝攻防实验室

itm4n在Background

Service中发现了任意文件移动漏洞这里学习一下其中的思路。

BITS

Web服务器和SMB文件共享。

BITS将考虑传输成本以及网络使用情况以便用户的前台工作影响尽可能小。

即使重新启动后BITS也可以处理网络中断暂停并自动恢复传输。

这个服务公开了几个COM对象这些对象是“控件类”的不同迭代并且还有一个“旧版控件类”。

“旧版控件类”可以获取指向IBackgroundCopyGroup的指针有两个未记录的方法QueryNewJobInterface()和SetNotificationPointer()。

如果用户调用IBackgroundCopyGroup接口的CreateJob()方法就可以获得一个指向IBackgroundCopyJob1接口的指针如果调用QueryNewJobInterface()方法就可以获得一个指向新IBackgroundCopyJob接口的指针。

AUTHORITY\SYSTEM的context中获得一个指向IBackgroundCopyJob接口的指针

创建并将文件添加到队列后将创建一个临时文件服务完成文件写入后通过MoveFileEx()重命名漏洞点为用QueryNewJobInterface()返回的指针是without

BITS

后台智能传输服务公开了几个COM对象可以使用OleViewDotNet列出这些对象

重点关注后台智能传输BIT控制类1.0和旧版BIT控制类及其主要接口分别为IBackgroundCopyManager和IBackgroundCopyMgr。

“new”

创建BIT控制类CLSID4991D34B-80A1-4291-83B6-3328366B9097的实例需要一个指向IBackgroundCopyQMgr的指针接口为CoCreateInstance()。

然后创建一个“作业”并调用IBackgroundCopyManager::CreateJob()获取指向该IBackgroundCopyJob接口的指针。

然后调用将文件添加到作业的IBackgroundCopyJob::AddFile()。

这需要两个参数URL和本地文件路径。

该URL也可以是UNC路径。

最后由于作业中创建一个SUSPENDED状态调用IBackgroundCopyJob::Resume()并在工作的状态TRANSFERRED时调用IBackgroundCopyJob::Complete()。

CoCreateInstance(CLSID_4991D34B-80A1-4291-83B6-3328366B9097)

|__

IBackgroundCopyManager::CreateJob()

IBackgroundCopyJob::AddFile(URL,

LOCAL_FILE)

AUTHORITY\SYSTEM但所有这些操作都是在模拟RPC客户端执行的因此此处无法提权。

Legacy

在传统控制类的工作方式有些不同。

在过程开始时需要一个额外的步骤。

创建传统BIT控制类CLSID69AD4AEE-51BE-439B-A92C-86AE490E8B30的实例需要一个指向IBackgroundCopyQMgr的指针接口为CoCreateInstance()。

然后创建调用IBackgroundCopyQMgr::CreateGroup()的组获取指向该IBackgroundCopyGroup接口的指针然后创建“作业”并调用IBackgroundCopyGroup::CreateJob()以获取指向该IBackgroundCopyJob1接口的指针。

然后将文件添加到“作业”中该调用IBackgroundCopyJob1::AddFiles()将FILESETINFO结构作为参数。

最后由于作业中创建一个SUSPENDED状态调用IBackgroundCopyJob1::Resume()并在工作的状态TRANSFERRED时调用IBackgroundCopyJob1::Complete()。

CoCreateInstance(CLSID_69AD4AEE-51BE-439B-A92C-86AE490E8B30)

IBackgroundCopyQMgr*

IBackgroundCopyQMgr::CreateGroup()

IBackgroundCopyGroup::CreateJob()

IBackgroundCopyJob1::AddFiles(FILESETINFO)|__

IBackgroundCopyJob1::Resume()|__

IBackgroundCopyJob1::Complete()

跟上面一样尽管BIT服务运行为NT

AUTHORITY\SYSTEM但所有这些操作都是在模拟RPC客户端执行的因此在这里也不能提权。

这两个COM类及其接口的用法在MSDN有详细记录。

但是在尝试了解IBackgroundCopyGroup接口如何工作时注意到MSDN上列出的方法与其实际的Proxy定义有一些差异

IBackgroundCopyGroup接口的文档可在此处获得。

文档有13种方法。

但是当使用OleViewDotNet查看此接口的代理定义时我们可以看到它实际上有15个方法。

Proc3以Proc15匹配文档中的方法但Proc16和Proc17不存在。

看到两个未记录的方法QueryNewJobInterface()和SetNotificationPointer()。

参数结构

首先将输入GUID接口ID与硬编码值37668d37-507e-4160-9316-26306d150b12进行比较如果不匹配则该函数返回错误代码0x80004001

。

否则它将从调用函数CJob::GetJobExternal()。

硬编码的GUID值37668d37-507e-4160-9316-26306d150b12可以在Bits.h头文件中找到为IID_IBackgroundCopyJob

任意文件移动漏洞

未记录方法的名称QueryNewJobInterface()。

在传统

BIT控制类的IBackgroundCopyGroup接口中为exposed

。

在GUID“新”的IBackgroundCopyJob接口为involved。

Control

Class的实例获取一个指向IBackgroundCopyQMgr接口的指针创建一个新组调用IBackgroundCopyQMgr::CreateGroup()获取一个指向IBackgroundCopyGroup接口的指针创建一个job调用IBackgroundCopyGroup::CreateJob()获取一个指向IBackgroundCopyJob1接口的指针通过IBackgroundCopyJob1::AddFiles()添加文件调用IBackgroundCopyGroup::QueryNewJobInterface()方法并获得指向未知接口的指针假定它是一个IBackgroundCopyJob接口通过调用IBackgroundCopyJob接口的Resume()

Complete()来恢复和完成job而不是IBackgroundCopyJob1接口

目标URL为\\127.0.0.1\C$\Windows\System32\drivers\etc\hosts。

调用该Resume()函数该服务将开始读取目标文件\\127.0.0.1\C$\Windows\System32\drivers\etc\hosts并将其内容写入TMP文件此时依然是

impersonating

最后将TMP文件重命名为test.txt并且调用MoveFileEx()不再是当前用户这意味着文件移动是在NT

SetRenameInformationFile调用了win32的MoveFileEx()函数。

漏洞原理

CreateJob()方法在IBackgroundCopyGroup的COldGroupInterface类中实现

由于CFG的存在看不出什么信息这个方法调用CreateJobInternal()方法CreateJobInternal()调用CLockedJobWritePointer::ValidateAccess

CLockedJobWritePointer::ValidateAccess调用了CJob::CheckClientAccess

CheckClientAccess()检查用户token并应用于当前线程的impersonation

这个执行流返回CreateJobInternal方法并调用CJob::GetOldJobExternal返回IBackgroundCopyJob1类型的指针

调用流程

IBackgroundCopyGroup::CreateJob()|V

(SERVER)

COldGroupInterface::CreateJob()|__

COldGroupInterface::CreateJobInternal()|__

CLockedJobWritePointer::ValidateAccess()|

|__

了解了CreateJob()的实现原理回到QueryNewJobInterface()方法如果提供的GUID匹配IID_IBackgroundCopyJob,调用CJob::GetJobExternal,查询新的接口指针调用并返回给客户端。

(CLIENT)

IBackgroundCopyGroup::QueryNewJobInterface()|V

(SERVER)

COldGroupInterface::QueryNewJobInterface()|__

IBackgroundCopyJob*

当我们调用COldGroupInterface::QueryNewJobInterface()获取新的指针时客户端并没有impersonated这样就可以获取一个NT

实际上文件移动操作发生在调用IBackgroundCopyJob::Resume()之后以及IBackgroundCopyJob::Complete()之前

调用IBackgroundCopyJob::Resume()流程

(CLIENT)

CJobExternal::ResumeInternal()|__

...|__

调用IBackgroundCopyJob::Complete()流程

(CLIENT)

IBackgroundCopyJob::Complete()|V

(SERVER)

CJobExternal::CompleteInternal()|__

...|__

当调用IBackgroundCopyGroup::QueryNewJobInterface()获取一个IBackgroundCopyJob类型的指针时这个工作是由服务端完成的而不是RPC客户端。

此时可以利用成功。

MoveFileEx()调用流程

本地创建一个job用于下载并在tmp文件上设置Oplock恢复执行后该服务会写入TMP文件触发Oplock然后切换挂载点到对象目录创建符号链接tmp文件指向我们的文件本地文件指向system32文件夹中的dll最后释放Oplock写入成功

1准备

Control对象FakeDll.dll为了移动到受限位置比如system32

2创建挂载点

创建一个从%temp%\workspace\mountpoint到%temp%\workspace\mountpoint的挂载点

用Legacy

\\127.0.0.1\C$\Windows\System32\drivers\etc\hosts

Local

%temp%\workspace\mountpoint\test.txt

因为之前创建了链接所以实际路径为%temp%\workspace\bait\test.txt

4找到tmp文件设置Oplock

列出bait文件夹的内容找到类似BITAA6.tmp的临时文件并在文件上设置设置Oplock

5Resume并等待Oplock

%temp%\workspace\mountpoint\BIT1337.tmp

%temp%\workspace\bait\BITAA6.tmp

Local

%temp%\workspace\mountpoint\test.txt

切换挂载点创建符号链接

C:\Windows\System32\FakeDll.dll

完成此步骤后

%temp%\workspace\mountpoint\BITAA6.tmp

Local

%temp%\workspace\mountpoint\test.txt

C:\Windows\System32\FakeDll.dll

释放Oplock

释放Oplock后CreateFile将对原始TMP文件操作并且该服务将开始写入%temp%\workspace\bait\BITAA6.tmp。

之后MoveFileEx()由于符号链接最终将被重定向。

DLL将被移至该System32文件夹

使用Update

service加载移动到system32文件夹的dll文件WindowsCoreDeviceInfo.dll提权

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0787https://github.com/itm4n/BitsArbitraryFileMovehttps://itm4n.github.io/cve-2020-0787-windows-bits-eop/https://docs.microsoft.com/en-us/windows/win32/api/bits/nn-bits-ibackgroundcopymanagerhttps://docs.microsoft.com/en-us/windows/win32/api/qmgr/nn-qmgr-ibackgroundcopyqmgr

转载于https://xz.aliyun.com/t/7935