安全客
这个漏洞属于com组件Unmarshal类型本地权限提升漏洞,在cve2018-8550更新补丁出来不久,微软就取消了64位ole32.dll和coml2.dll调试符号提供,不过32的仍然可以正常提供,为了方便调试我用vc在32位系统上成功复现了poc。
这个CVE-2015-2370漏洞是一种DCOM DCE/RPC协议中ntlm认证后数据包重放导致的权限提升漏洞,分析的重点:DCOM DCE/RPC协议原理。这个协议主要由2块内容组成,dcom的远程激活机制和ntlm身份认证。
前段部分介绍com组件的marshal原理,后段部分介绍导致poc结果执行的真正原因。
勋章成就
稿费总计 700
发表文章 3
参与讨论 3
关注
0
粉丝
0