CVE-2019-1215分析笔记

本文为看雪论坛优秀文章看雪论坛作者ID：我是哥布林简介CVE-2019-1215是ws2ifsl.sys中的一处UAF漏洞，原POC中，主要通过提前释放+堆喷的方式，修改函数执行流程，造成任意内存写的作用。本文主要基于原POC介绍(https://www.anquanke.com/post/id/196893)，进行一些深入的分析。测试环境Windows 10 18362.30 x64背景知识ws2ifsl.sys中SocketFile和ProcessFile对象的分配在驱动的DispatchCreate函数中，驱动根据上层传入的字符串，判断初始化的对象类型：(1)NifsSct初始化SocketFile对象对应的FSContext为sockedData(2)NifsPvd初始化ProcessFile对象对应的FSContext为procData驱动通过FileObject的FSContext对象，区分对象是SocketFile还是ProcessFileSocketFile: FSContext前4个字节为硬编码0x6B636F53对应字符串 'kcoS'ProcessFile: FSContext前4个字节为硬 ………………………………