Ghost Potato 复现(Cve-2019-1384)

Ghost Potato 复现(Cve-2019-1384)
2020-01-15 10:50:01 Author: xz.aliyun.com(查看原文) 阅读量:391 收藏

[toc]

0x00 前言

11月份的时候shenaniganslabs发了博文，讲了关于CVE-2019-1384的漏洞详情
https://shenaniganslabs.io/2019/11/12/Ghost-Potato.html

这同样是一个Potato系列的漏洞，简单来说就是绕过了MS08-068的修补方案，实现本机的NTLM反射，达到提权的目的。

0x01 NTLM 认证过程

要搞清楚NTLM反射，首先来回顾一下NTLM的认证过程。

NTLM认证基于C/S验证机制，由三种消息组成: 协商，质询，验证

type1：协商

主要是客户端向服务器客户端支持和服务器请求的功能列表

type2: 质询

服务器向客户端发送服务器支持的功能列表，并且同时发送一个16位的Challenge，并且同时发送服务器的各类信息于Target Info字段

type3: 验证

客户端收到Challenge后，使用自身的NTLM Hash加密Challenge得到Response，将Response发送给服务端.然后服务端在本地调用用户NTLM hash加密Challenge后，与Response进行对比。

0x02 ms08-068

这里需要看一个函数InitializeSecurityContextA

这个函数属于sspi.h, 关于SSP的作用就不再赘述了

函数主体：

SECURITY_STATUS SEC_ENTRY InitializeSecurityContextA(
  PCredHandle    phCredential,
  PCtxtHandle    phContext,
  SEC_CHAR       *pszTargetName,
  unsigned long  fContextReq,
  unsigned long  Reserved1,
  unsigned long  TargetDataRep,
  PSecBufferDesc pInput,
  unsigned long  Reserved2,
  PCtxtHandle    phNewContext,
  PSecBufferDesc pOutput,
  unsigned long  *pfContextAttr,
  PTimeStamp     ptsExpiry
);

可以看到存在一个pszTargetName参数， ms08-068的修复方案也就是利用这个参数进行的

当我们存在两个主机进行SMB通信时，A向B发送了type1请求，同时他将自己的pszTargetName设置为cifs/B, 当拿到type2的challenge时，向lsass进程中写入缓存 -> (Challenge,cifs/B)。而后A向B发送type3，B收到response后，会到lsass中去寻找是否存在缓存(Challenge,cifs/B), 因为只有A主机写入了缓存，所以如果A和B不是同一个主机，那么肯定B主机不存在缓存，认证成功。