Share
## https://sploitus.com/exploit?id=44D0AF62-511E-5D2A-A63E-4536C317DB6C
# INFORMATION

I haven't posted any poc code anywhere for privilege escalation attack. The poc codes found have nothing to do with privilege escalation. For your information.

# 7-zip hakk─▒nda

7-Zip, ├Âzg├╝r ve ├╝cretsiz bir dosya ar┼čivleyicisidir. 7-ZipÔÇÖin Komut ─░stemi s├╝r├╝m├╝ Unix benzeri sistemler i├žinde d├╝┼č├╝n├╝lm├╝┼č hatta AmigaOS bu sayd─▒klar─▒m─▒za dahil. Ayn─▒ zamanda DOS i├žin de uyumlu Dost Portu i├žin veya HX-DOS geni┼čleti┼čicisi ile Windows komut ─░stemcisi'nde ├žal─▒┼čt─▒r─▒labilir.

# CVE-2022-29072

T├╝rk├že yazaca─č─▒m biraz da siz T├╝rk├že ├Â─črenin. 

├ľncelikle zafiyeti bulma hikayeme de─činmek istiyorum. WinRAR ├╝zerinde XXE zafiyetini ger├žekle┼čtiren bir payload g├Ârd├╝m. Ayn─▒ zamanda HTML Helper dosyas─▒n─▒n kullanarak javascript ├╝zerinden ActiveXObject ve WScript.Shell sayesinde komut ├žal─▒┼čt─▒rmaya imkan sa─čl─▒yordu. Bunun lolbinlerde kullan─▒lan HTA'dan hi├ž bir fark─▒ yoktu olay─▒ nas─▒l lehime d├Â├╝┼čt├╝rebilece─čimi d├╝┼č├╝nd├╝m.

(https://www.exploit-db.com/exploits/47526) 

Asl─▒nda amac─▒m 7z, zip, rar vb s─▒k─▒┼čt─▒rma teknolojilerinin uzant─▒lar─▒na ├žift t─▒klad─▒ktan sonra hedef bilgisayar ├╝zerinden reverse-shell alabilmekti bunun i├žinde HTML Helper dosyas─▒n─▒ kullanabilir miyim diye d├╝┼č├╝n├╝yordum. WinAFL ile uzun fuzzing i┼člemleri sonras─▒ FzGM.exe ├╝zerinde heap-overflow oldu─čunu ke┼čfettim fakat heap overflow sonras─▒ yetkim yine ayn─▒ kullan─▒c─▒ ├╝zerinden olaca─č─▒ndan bir anlam─▒ da yoktu. Bu y├╝zden CreateRemoteThread kullanmad─▒m ├ž├╝nk├╝ API'i ├ža─č─▒rmam gerekiyordu ve bu API'i tetikleyebilmek i├žin bir chm dosyas─▒na ihtiyac─▒m vard─▒. Kaynak kodu inceledi─čimde ├Âzellikle iki yerde Windows API'─▒n─▒ ├ža─č─▒r─▒rken hatal─▒ i┼člemler oldu─čunu farkettim ve bu direk yetkilendirme problemi yarat─▒yordu. Bu ke┼čfetme noktam a┼ča─č─▒daki resim de g├Âr├╝ld├╝─č├╝ ├╝zere FzGM.exe alt─▒nda bir child process olu┼čturuyor. Normalde bu i┼člemin hh.exe ├╝zerinde olmas─▒n─▒ bekleriz.

![7-zip-1](https://user-images.githubusercontent.com/33525376/163989986-8f222b00-0080-49fc-b65c-ac93e5877525.png)

![api](https://user-images.githubusercontent.com/33525376/163990001-5af6890a-78c0-402a-8f35-23622e798893.png)


E─čer API'─▒ include etmeyip fonksiyon ├╝zerinden do─čru yap─▒land─▒rma i┼člemi olsayd─▒ hh.exe alt─▒nda child process olu┼čturmas─▒n─▒ beklerdim fakat 7-zip.chm dosyas─▒ bunu kendi ├╝zerinden ├ža─č─▒rmaktad─▒r tipik bir ├Ârne─či 7-zip.chm dosyas─▒n─▒ editleyip komut ├žal─▒┼čt─▒rma i┼člemi uygularsan─▒z o zamanda g├Ârebilirsiniz. Heap overflow sonras─▒ ├ža─č─▒r─▒lan API'nin yetkilendirme sorunu sonra 7z.dll dosyas─▒ i├žerisinde bulunan hatal─▒ yap─▒land─▒rmadan faydaland─▒m ki bunun i├žin uzun bir s├╝redir u─čra┼č─▒yorum. CreateRemoteThread() yapman─▒n bir anlam─▒ yok. Benim payload'─▒n i├žerisinde ├žal─▒┼čt─▒rmam ve ├ža─č─▒rmam gereken ┼čey HTML Helper API'─▒n bizzat kendisi de─čil 7-zip ├╝zerinden bu API'─▒n hook edildi─či nokta ve o noktay─▒ execute edebilmem fakat bu payload sadece hh.exe entegrasyonu ile ├žal─▒┼čt─▒─č─▒ i├žin bu y├╝zden s├╝r├╝kle b─▒rak gibi fonksiyon ile ├žal─▒┼čmaktad─▒r. 7-zip.chm dosyas─▒n─▒n, 7-zip ├╝zerinden HELP butonu ile ├ža─č─▒r─▒lmas─▒ ve buraya ├ža─č─▒r─▒lan adresin payload i├žerisinde yetkilendirme sorunu g├Âr├╝len "base pointer" y├Ânlendirmem bizi bir ├╝st kullan─▒c─▒ya ta┼č─▒maktad─▒r. Buradan sonraki i┼člem ise payload'─▒n i├žerisinde psexec'in bulunmas─▒ ve psexec -s cmd.exe komutuyla nt authority/system olarak system yetkisine y├╝kselmesidir.

![7-zip-2](https://user-images.githubusercontent.com/33525376/163995536-b16db2f8-9493-4962-b4af-c4dfd4ca3f96.png)

poc video:

https://user-images.githubusercontent.com/33525376/163654035-d40ca72a-7dbc-425f-ade2-3820cfababb2.mp4

# ActiveXObject bypass hakk─▒nda

Sorular─▒n bir ├žo─ču da ActiveX uyar─▒s─▒ ├╝zerineydi bu problemin en temel ┼č├Âyle giderebilirsiniz. Payload ├žal─▒┼čmadan ├Ânce;

<'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0' -Name '1201' -Value '0' -PropertyType "DWord"> kontrol sa─člamaktad─▒r e─čer bu de─čeri 1 ise popup ekrana gelmektedir ┼čayet 0 olarak yeni bir de─čer atand─▒ysa bypass edilmektedir. Fakat belirtmek gerekirse ki o an hangi user payload'─▒ ├žal─▒┼čt─▒r─▒yorsa onu etkilemektedir. 

# ├ľnemli not

Ben gereken noktalar─▒ geli┼čtiriciye s├Âyledim ve CVE taraf─▒ndan da bu kabul edildi. ─░nsanlar─▒n kendini otorite zannetmesi ve onlara exploit'i vermem gerekti─či gibi bir alg─▒ olu┼čmas─▒na anlam veremiyorum. Ben zaten g├╝ncelleme sonras─▒ yay─▒nlayaca─č─▒m─▒ belirtti─čim halde hen├╝z update olmadan yap─▒lan bu sayg─▒s─▒zl─▒k san─▒yorum kendini otorite g├Ârmekten ge├žmektedir. Ben yetki y├╝kseltme sald─▒r─▒s─▒n─▒n poc kodunu hi├žbir zaman yay─▒nlamak istemeyebilirim bu benim h├╝r irademdir ve bunun do─črulu─ču sorgulamak noktas─▒nda kimin ne d├╝┼č├╝nd├╝─č├╝ ile zerre ilgilenmiyorum.

# Al─▒nabilecek ├Ânlem

Birinci y├Ântem: E─čer 7-zip g├╝ncelleme ge├žmezse 7-zip.chm dosyas─▒n─▒n silinmesi ger├žekle┼čtirilebilir.
─░kinci y├Ântem: Program i├žerisinde yer alan t├╝m kullan─▒c─▒lar read ve execute yetkisi ile eri┼čim sa─člamal─▒d─▒r.

 # Sigma kural─▒
 
 ─░lgili sigma kural─▒ https://github.com/kagancapar/CVE-2022-29072/blob/main/7z_CVE-2022-29072.yml