前言
我在前段时间从买了一个4G调制解调器。这是一个便携式4G WiFi移动宽带调制解调器。有一天,我查看了安装在电脑上的用于故障排除的服务,我看到了一个奇怪的服务,名为“Alcatel OSPREY3_MINI Modem Device Helper”。我想知道这是个什么玩意,然后我想到这可能是我的EE 4G WiFi调制解调器。然后在谷歌上搜索了一会儿,这个调制解调器是阿尔卡特公司生产的。
然后出于好奇的角度查看了安装的服务,发现存在一个漏洞。
C:\>sc qc "Alcatel OSPREY3_MINI Modem Device Helper" [SC] QueryServiceConfig SUCCESS SERVICE_NAME: Alcatel OSPREY3_MINI Modem Device Helper
TYPE : 110 WIN32_OWN_PROCESS (interactive)
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Program Files (x86)\Web Connecton\EE40\BackgroundService\ServiceManager.exe -start
LOAD_ORDER_GROUP :
TAG : 0 DISPLAY_NAME : Alcatel OSPREY3_MINI Modem Device Helper
DEPENDENCIES :
SERVICE_START_NAME : LocalSystem
但由于文件夹存在权限问题,您不能直接编写文件。我一开始以为这并不是问题。但是当我查看了“EE40”文件夹和W00t的文件夹权限!它被设置为“Everyone:(OI)(CI)(F)”,这意味着任何用户都可以在该文件夹中读写、执行、创建、删除任何内容,它是子文件夹。ACL规则具有OI对象继承和CI容器继承,这意味着该文件夹和子文件夹中的所有文件都具有相同的权限。
C:\Program Files (x86)\Web Connecton>icacls EE40 EE40 Everyone:(OI)(CI)(F) NT SERVICE\TrustedInstaller:(I)(F) NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F) NT AUTHORITY\SYSTEM:(I)(F) NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F) BUILTIN\Administrators:(I)(F) BUILTIN\Administrators:(I)(OI)(CI)(IO)(F) BUILTIN\Users:(I)(RX) BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
CREATOR OWNER:(I)(OI)(CI)(IO)(F) APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX) APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(RX) APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE) Successfully processed 1 files; Failed processing 0 files C:\Program Files (x86)\Web Connecton> C:\Program Files (x86)\Web Connecton> C:\Program Files (x86)\Web Connecton>icacls EE40\BackgroundService EE40\BackgroundService Everyone:(OI)(CI)(F) Everyone:(I)(OI)(CI)(F) NT SERVICE\TrustedInstaller:(I)(F) NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F) NT AUTHORITY\SYSTEM:(I)(F) NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F) BUILTIN\Administrators:(I)(F) BUILTIN\Administrators:(I)(OI)(CI)(IO)(F) BUILTIN\Users:(I)(RX) BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
CREATOR OWNER:(I)(OI)(CI)(IO)(F) APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX) APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(RX) APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE) Successfully processed 1 files; Failed processing 0 files
因为“ServiceManager。exe“是一个Windows服务可执行文件,通过植入一个同名的恶意程序”ServiceManager.exe”将导致执行二进制文件为“NT AUTHORITY\SYSTEM”,在Windows操作系统中授予最高权限。此漏洞可用于在本地Windows操作系统中升级特权。例如,攻击者可以从一个低权限的用户帐户中植入一个反向shell,通过重新启动计算机,恶意服务将作为“NT AUTHORITY\SYSTEM”启动,使攻击者可以完全系统地访问远程PC。
修复固件
易受攻击的软件版本为“EE40_00_02.00_44”:
在向EE报告了漏洞后,他们发布了一个补丁来更新调制解调器。按照以下步骤将调制解调器更新到最新的补丁。1.进入路由器的默认网关:http://192.168.1.12.单击“检查更新”文本以更新固件。更新后的补丁软件版本为“EE40_00_02.00_45”,从您的计算机中删除先前安装的软件。
手动修复洞
1. 在开始菜单或运行提示符中输入“regedit”,打开Windows注册表编辑器。2.前往以下路径:Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alcatel OSPREY3_MINI Modem Device Helper
3. 向“ImagePath”值添加双引号:"C:\Program Files (x86)\Web Connecton\EE40\BackgroundService\ServiceManager.exe -start"
这也可以用这种方式来做。您必须打开具有管理权限的CMD提示符并运行此命令。对于64-bit Windows:reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alcatel OSPREY3_MINI Modem Device Helper" /v ImagePath /t REG_EXPAND_SZ /d "\"C:\Program Files (x86)\Web Connecton\EE40\BackgroundService\ServiceManager.exe -start\"" /f
对于32-bit Windows:reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alcatel OSPREY3_MINI Modem Device Helper" /v ImagePath /t REG_EXPAND_SZ /d "\"C:\Program Files\Web Connecton\EE40\BackgroundService\ServiceManager.exe -start\"" /f
手动修复文件夹权限
打开CMD提示符,转到Alcatel调制解调器服务的位置,然后输入以下命令。
cd “C:\Program Files\Web Connecton\”
icacls "EE40" /t /grant:r Everyone:(OI)(CI)R
披露时间表
05-07-2018: ZeroDayLab顾问(Osanda Malith Jayathissa)通过twitter向EE报告了这个问题05-07-2018:通过邮件向阿尔卡特汇报。12-07-2018: Osanda Malith Jayathissa联系MITRE。16-07-2018: CVE指定CVE-2018-14327。25-07-2018: EE通过电子邮件联系了Osanda Malith Jayathissa更多的技术细节。26-07-2018:致电Osanda Malith Jayathissa和EE进一步讨论漏洞。26-07-2018: EE确认补丁将在一周内上线。03-08-2018: Osanda Malith Jayathissa联系EE更新补丁,EE表示他们将在8月10日周五之前提供更多信息。10-08-2018: EE表示patch已经被推迟了,并且会通知Osanda Malith Jayathissa更新。23-08-2018: EE回复了一个补丁更新,供Osanda Malith Jayathissa核实。ZeroDayLab顾问证实了补丁的成功运行。03-09-2018: EE通知Osanda Malith Jayathissa说补丁已经发布。
- 上一篇:MacOS再次出现漏洞,号称牢不可破的系统也有弱点
- 下一篇:邮件伪造技术与检测
猜你还喜欢
- 07-08八年专业安全团队承接渗透入侵维护服务
- 08-06SQLMAP的注入命令以及使用方法
- 08-03白帽故事汇:网络安全战士从来不是「男生」的专利
- 07-27编辑器漏洞手册
- 07-12web安全之如何全面发现系统后台
- 02-22常见Web源码泄露总结
- 07-25网站后台登陆万能密码
- 07-23破解emlog收费模板“Begin”
- 01-12批量检测SQL注入
- 01-22Apache Solr远程代码执行漏洞(CVE-2017-12629)从利用到入侵检测
- 随机文章
-
- 自己动手打造工具系列之自动刷新简历
- 漏洞预警 | ECShop全系列版本远程代码执行高危漏洞
- 技术讨论 | 简谈渗透测试各阶段我常用的那些“神器”
- PHP WebShell代码后门的一次检查
- 利用Microsoft Edge漏洞窃取本地文件
- 挖洞经验 | 看我如何发现Facebook的$5000美金漏洞
- 利用Office文档结合社会工程学手段欺骗用户执行恶意代码
- 通过SSTI漏洞获取服务器远程Shell
- Windows平台下实现提权的新姿势
- 给你一次重来的机会,你会选择安全行业吗?
- 如何防御Node.js中不安全的重定向
- 一处代码执行引发的思考
- 代码自动化扫描系统的建设(上)
- 渗透技巧——Windows单条日志的删除
- 技术讨论 | 如何对经前端加密后的数据进行爆破
- Windows任务计划程序被曝存在0day漏洞
- 伪造电子邮件以及制造电子邮件炸弹的攻防探讨
- RichFaces反序列化漏洞
- 中秋国庆的火车票,你抢到了吗?揭露黄牛背后那些事
- 美国投票系统早已千疮百孔,十分钟内竟被11岁少年攻破
- 热门文章
-
- 八年专业安全团队承接渗透入侵维护服务
- Emlog黑客站模板“Milw0rm”发布
- Stuxnet纪录片-零日 Zero.Days (2016)【中文字幕】
- SQLMAP的注入命令以及使用方法
- 白帽故事汇:网络安全战士从来不是「男生」的专利
- 编辑器漏洞手册
- web安全之如何全面发现系统后台
- 常见Web源码泄露总结
- 渗透测试培训(第五期)
- 深入理解JAVA反序列化漏洞
- cmseasy前台无需登录直接获取敏感数据的SQL注入(有POC证明)
- 网站后台登陆万能密码
- 黑麒麟2016渗透培训系列教程
- 破解emlog收费模板“Begin”
- 那些强悍的PHP一句话后门
- Android平台渗透测试套件zANTI v2.5发布(含详细说明)
- 渗透工具BackTrack与KaliLinux全套视频教程
- Python列为黑客应该学的四种编程语言之一 初学者该怎么学
- CVE-2017-11882漏洞复现和利用
- 恶意程序报告在线查询工具
文章存档
- 2021年3月(4)
- 2020年12月(4)
- 2020年11月(5)
- 2020年10月(8)
- 2020年9月(8)
- 2020年8月(20)
- 2020年7月(47)
- 2020年6月(70)
- 2020年5月(41)
- 2020年4月(21)
- 2020年3月(120)
- 2020年2月(26)
- 2019年12月(12)
- 2019年11月(13)
- 2019年10月(17)
- 2019年9月(15)
- 2019年8月(13)
- 2019年7月(15)
- 2019年6月(15)
- 2019年5月(19)
- 2019年4月(23)
- 2019年3月(19)
- 2019年2月(11)
- 2019年1月(29)
- 2018年12月(24)
- 2018年11月(56)
- 2018年10月(79)
- 2018年9月(20)
- 2018年8月(17)
- 2018年7月(16)
- 2018年6月(7)
- 2018年5月(10)
- 2018年3月(6)
- 2018年2月(2)
- 2018年1月(11)
- 2017年11月(18)
- 2017年10月(6)
- 2017年9月(8)
- 2017年8月(7)
- 2017年7月(7)
- 2017年6月(15)
- 2017年5月(30)
- 2017年4月(7)
- 2017年3月(1)
- 2017年2月(4)
- 2017年1月(1)
- 2016年12月(3)
- 2016年11月(7)
- 2016年10月(6)
- 2016年9月(6)
- 2016年8月(102)
- 2016年7月(24)
- 2013年7月(1)
- 文章标签
-