[原创]解决vista.win7 32/64 session隔离注入-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]解决vista.win7 32/64 session隔离注入

发表于: 2012-7-31 17:53 29767

[原创]解决vista.win7 32/64 session隔离注入

xSpy

2012-7-31 17:53

29767

vista/7 以后的系统都存在session隔离,

CreateRemoteThread的流程
vista下 Kernel32!CreateRemoteThread
win7下 Kernel32!CreateRemoteThread->..一些中转..->KernelBase->CreateRemoteThreadEx

在vista/7上,kernel32/或者KernelBase里存在一个全局变量BaseRunningInServerProcess
在进程创建的时候就被初始化了,表示本进程是否是一个服务进程,服务的session是0

由CreateRemoteThread流程的最尾端的函数处理了这个标志,发现不是从服务进程发起的调用,就跳转了,

由于这个判断是在应用层而且是本进程做的,所以很没有意义,可以直接修改.

一般的修改办法是修改判断跳转,其实在某些条件下比如win7/32/64可以更简单的方式绕过.

原理是一样的,只是vista下没有导出这个全局变量,不好定位,只想到用特征码搜索的方式.

但在win7下就方便多了,由于kernelBase!KernelBaseGlobalData 导出,所以直接调用这个函数就可以获得这个全局结构体的地址,\
虽然这个结构体没有文档,但是加上一个偏移就是我们要的标志.

kernelBase!KernelBaseGlobalData的函数原形
typedef void* (__stdcall *LPFN_KernelBaseGetGlobalData)(void);

win7 32下 BaseRunningInServerProcess 位于 KERNELBASE!KernelBaseGlobalData+0x30
win7 64 下, BaseRunningInServerProcess 位于 KERNELBASE!KernelBaseGlobalData+0x5c

原理说完了,贴段可以自适应的代码.

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・62

免费・6

支持

最新回复 (34) 1 2 ▶
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 2 楼刚才MJ的微博上看到他说改某个标志位就可以注，没想到马上就发了…… 2012-7-31 18:44 0
xSpy 雪币： 138 活跃值： (306) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 86 粉丝 1 关注私信	xSpy 2 3 楼这个跟MJ有什么关系 2012-7-31 19:42 0
yuansunxue 雪币： 1024 活跃值： (240) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 4 楼逆向越来越难了 2012-7-31 19:56 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 5 楼巧合吧……我回去翻了一下，原来就是LZ的微博，MJ有去评论，“改个标记就穿了” 2012-7-31 20:28 0
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 6 楼貌似ntdll函数可以直接干 2012-7-31 21:50 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 7 楼这难啥，看一眼就出来了。 2012-7-31 22:07 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 8 楼 xp~win8，注入无压力~~ 2012-7-31 23:09 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 9 楼自己实现一个CreateRemoteThread不难~ 2012-8-1 04:09 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 10 楼感谢楼主收藏了我之前都是自己模拟CreateRemoteThread 2012-8-1 08:11 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 11 楼求V校Blog地址~ 2012-8-1 08:13 0
lasvegas 雪币： 230 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	lasvegas 12 楼求人不如求己 2012-8-1 08:28 0
glpl 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 0 关注私信	glpl 13 楼好东西！放入电脑中！ 2012-8-1 08:29 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 14 楼注入，八百年前就被杀软拦截的东西，我还以为没人用了 2012-8-1 09:23 0
xSpy 雪币： 138 活跃值： (306) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 86 粉丝 1 关注私信	xSpy 2 15 楼注入也不是完全被拦截,还要看. 从谁注. 注入谁. 怎么注 2012-8-1 10:44 0
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 16 楼这个可不一定哦.....顶lz.... 2012-8-1 11:11 0
jordonA 雪币： 66 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 89 粉丝 0 关注私信	jordonA 17 楼受教了，楼主能说说处理这个问题的思路和方法吗？授之以鱼不如授之以渔。 2012-8-1 11:21 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 18 楼只要调试之，比什么都清晰了~ 2012-8-1 12:46 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 19 楼注入也不是完全被拦截,还要看. 从谁注. 注入谁. 怎么注 xSPY兄说些细节 2012-8-1 12:56 0
yuansunxue 雪币： 1024 活跃值： (240) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 20 楼我不是指这一个我是指平台越来越多搞逆向就困难了都要搞清楚 2012-8-1 15:22 0
justto 雪币： 219 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 89 粉丝 0 关注私信	justto 21 楼菜鸟学习了！~ 感谢你们这些大牛多多贡献 2012-8-1 20:28 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 22 楼来学习一下，mark了 2012-8-2 14:25 0
ayanmw 雪币： 15 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 112 粉丝 0 关注私信	ayanmw 23 楼打酱油。。。 Windows API 看起来都是那么不爽。 2012-8-4 01:02 0
dfsy 雪币： 177 活跃值： (141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	dfsy 24 楼这东东.MARK下吧.以后用 2012-8-4 14:39 0
hidden米雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 108 粉丝 0 关注私信	hidden米 25 楼 nice man!!!! 2012-8-4 23:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xSpy

发帖

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (34) 1 2 ▶
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 2 楼刚才MJ的微博上看到他说改某个标志位就可以注，没想到马上就发了…… 2012-7-31 18:44 0
xSpy 雪币： 138 活跃值： (306) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 86 粉丝 1 关注私信	xSpy 2 3 楼这个跟MJ有什么关系 2012-7-31 19:42 0
yuansunxue 雪币： 1024 活跃值： (240) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 4 楼逆向越来越难了 2012-7-31 19:56 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 5 楼巧合吧……我回去翻了一下，原来就是LZ的微博，MJ有去评论，“改个标记就穿了” 2012-7-31 20:28 0
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 6 楼貌似ntdll函数可以直接干 2012-7-31 21:50 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 7 楼这难啥，看一眼就出来了。 2012-7-31 22:07 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 8 楼 xp~win8，注入无压力~~ 2012-7-31 23:09 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 9 楼自己实现一个CreateRemoteThread不难~ 2012-8-1 04:09 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 10 楼感谢楼主收藏了我之前都是自己模拟CreateRemoteThread 2012-8-1 08:11 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 11 楼求V校Blog地址~ 2012-8-1 08:13 0
lasvegas 雪币： 230 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	lasvegas 12 楼求人不如求己 2012-8-1 08:28 0
glpl 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 0 关注私信	glpl 13 楼好东西！放入电脑中！ 2012-8-1 08:29 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 14 楼注入，八百年前就被杀软拦截的东西，我还以为没人用了 2012-8-1 09:23 0
xSpy 雪币： 138 活跃值： (306) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 86 粉丝 1 关注私信	xSpy 2 15 楼注入也不是完全被拦截,还要看. 从谁注. 注入谁. 怎么注 2012-8-1 10:44 0
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 16 楼这个可不一定哦.....顶lz.... 2012-8-1 11:11 0
jordonA 雪币： 66 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 89 粉丝 0 关注私信	jordonA 17 楼受教了，楼主能说说处理这个问题的思路和方法吗？授之以鱼不如授之以渔。 2012-8-1 11:21 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 18 楼只要调试之，比什么都清晰了~ 2012-8-1 12:46 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 19 楼注入也不是完全被拦截,还要看. 从谁注. 注入谁. 怎么注 xSPY兄说些细节 2012-8-1 12:56 0
yuansunxue 雪币： 1024 活跃值： (240) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 20 楼我不是指这一个我是指平台越来越多搞逆向就困难了都要搞清楚 2012-8-1 15:22 0
justto 雪币： 219 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 89 粉丝 0 关注私信	justto 21 楼菜鸟学习了！~ 感谢你们这些大牛多多贡献 2012-8-1 20:28 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 22 楼来学习一下，mark了 2012-8-2 14:25 0
ayanmw 雪币： 15 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 112 粉丝 0 关注私信	ayanmw 23 楼打酱油。。。 Windows API 看起来都是那么不爽。 2012-8-4 01:02 0
dfsy 雪币： 177 活跃值： (141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	dfsy 24 楼这东东.MARK下吧.以后用 2012-8-4 14:39 0
hidden米雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 108 粉丝 0 关注私信	hidden米 25 楼 nice man!!!! 2012-8-4 23:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]解决vista.win7 32/64 session隔离 注入

[原创]解决vista.win7 32/64 session隔离注入