首页
社区
课程
招聘
[原创]放个MS11-010的文档,有码
发表于: 2011-3-20 17:15 10176

[原创]放个MS11-010的文档,有码

2011-3-20 17:15
10176

【注意!】
此漏洞不具有直接危害性,仅供个人学习研究调试,大牛飘过~~

【背景(可以略过)】
去年的这个时候我只会点C,汇编就知道mov,后来花了两个月时间,按网上大牛们的文章自己敲代码做了个ARK,算是入了点门。在做ARK时,知道CSRSS里面有CsrRootProcess这条链表,可以用来查进程,调试的时候在WinDBG中手动对一个进程脱链,发现用户注销后,这个进程没被自动终结,当时也没在意。7月份分析MS10-059时,意识到了LPC/ALPC的存在。9月份看到MS10-011时,觉得可以深入了解下CsrRootProcess和LPC,于是拿WinDBG调、拿IDA看汇编。看到存在有两处and     byte ptr [eax+39h], 0DFh指令时,觉得MS10-011是可以绕过的。从开始接触到MS10-011到写出绕过补丁的代码,花了4天的时间。当从admin登入后,在任务管理器里面看到普通用户下的进程依然存在时,激动了很久,咱也要受微软“公开致谢”了。。。这是我第一次发现漏洞,对我来说意义很大。虽然这个漏洞不具有直接危害,但用来练习下WinDBG调试和汇编倒是不错的。

【鸣谢】
感谢j00ru!

【参考资料】
LPC:
1.对于LPC通信机制,可以访问j00ru的博客:http://j00ru.vexillium.org/,里面讲得很详细;2.Undocumented Windows NT.chm;
3.WRK
CsrRootProcess:http://forum.sysinternals.com/forum_posts.asp?TID=15457&PID=74845


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (6)
雪    币: 25
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
牛淫啊 (去年的这个时候我只会点C,汇编就知道mov,后来花了两个月时间,按网上大牛们的文章自己敲代码做了个ARK)顺道问下ARK是什么???
2011-3-20 17:31
0
雪    币: 7113
活跃值: (1125)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
我是不得不佩服楼主啊!自己也该努力学习了啊!
2011-3-20 17:41
0
雪    币: 52
活跃值: (56)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
佩服楼主的钻研精神。
2011-3-20 21:39
0
雪    币: 3800
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
学习速度相当给力
2011-3-21 11:29
0
雪    币: 611
活跃值: (251)
能力值: ( LV12,RANK:390 )
在线值:
发帖
回帖
粉丝
6
希望明年这个时候我也可以 。。哈哈
2011-3-21 15:26
0
雪    币: 207
活跃值: (26)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
lz的学习速度让人震精啊
2011-3-21 15:47
0
游客
登录 | 注册 方可回帖
返回
//