[原创]迟来的6.1礼物 EPATHOBJ 0day exploit-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]迟来的6.1礼物 EPATHOBJ 0day exploit

发表于: 2013-6-3 13:18 62975

[原创]迟来的6.1礼物 EPATHOBJ 0day exploit

ProgmBoy

2013-6-3 13:18

62975

Tavis Ormandy 在做压力测试的时候发现的这个漏洞.

see:
http://blog.cmpxchg8b.com/
http://seclists.org/fulldisclosure/2013/May/118

note:
为了防止某些童鞋用来干坏事和某些原因.把源码删了.. poc 见上面的链接.
感谢kman,原来的shellcode处最后堆栈没有平衡,在Shellcode的最后的ret改成retn 0x10就好了。抄代码需谨慎。。
下面说下利用的思路吧:

1, 首先要确保不蓝屏:
1) 构造一个新的PATHRECORD, 设置其next指针为NULL, flags为PD_BEGINSUBPATH.
还要确保MAGIC_DWORD那里可以访问.(MAGIC_DWORD见下面)

        ExploitRecord.next  = (PPATHRECORD)MAGIC_DWORD; //见下面分析
        ExploitRecord.prev  = (PPATHRECORD)WriteToHalDispatchTable;//这里是我们要写入地址的值
        ExploitRecord.flags = PD_BEZIERS | PD_BEGINSUBPATH;//为了跳过内存访问异常的代码
	ExploitRecord.count = 4;//为了跳过内存访问异常所设置

        ExploitRecordExit = (PPATHRECORD)MAGIC_DWORD;
	ExploitRecordExit->next = NULL;
	ExploitRecordExit->next = NULL;
	ExploitRecordExit->flags = PD_BEGINSUBPATH;
	ExploitRecordExit->count = 0;

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.png （51.11kb，44次下载）

收藏・35

免费・5

支持

最新回复 (70) 1 2 3 ▶
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 2 楼 thx for share it 2013-6-3 13:33 0
bbzwj 雪币： 9 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	bbzwj 3 楼神器啊，系统级0day 2013-6-3 13:50 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 4 楼 niubility啊 2013-6-3 13:52 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 5 楼其实GetMagicDword才是神奇的~ 2013-6-3 14:01 0
guobing 雪币： 11121 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 6 楼 niubility 提权的，mark 2013-6-3 14:05 0
gocker 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	gocker 7 楼感谢~~~ 2013-6-3 14:20 0
Aipsa 雪币： 19 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 122 粉丝 0 关注私信	Aipsa 8 楼 niubility啊 2013-6-3 14:21 0
冷血david 雪币： 200 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	冷血david 9 楼下个测试 2013-6-3 14:33 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 10 楼好熟悉的 // // 把ntoskrnl.exe加载进来 // // // 计算实际地址 // 2013-6-3 14:34 0
ProgmBoy 雪币： 382 活跃值： (352) 能力值： ( LV2，RANK：140 ) 在线值：发帖 9 回帖 157 粉丝 5 关注私信	ProgmBoy 3 11 楼 [QUOTE=KiDebug;1184059]好熟悉的 // // 把ntoskrnl.exe加载进来 // // // 计算实际地址 // [/QUOTE] 哈哈..直接抄你的代码.. 2013-6-3 14:38 0
ProgmBoy 雪币： 382 活跃值： (352) 能力值： ( LV2，RANK：140 ) 在线值：发帖 9 回帖 157 粉丝 5 关注私信	ProgmBoy 3 12 楼那个函数再vista以上变成了fastcall... 2013-6-3 14:39 0
humourkyo 雪币： 926 活跃值： (387) 能力值： (RANK：500 ) 在线值：发帖 42 回帖 251 粉丝 16 关注私信	humourkyo 12 13 楼一批windows虚拟主机将要经受腥风血雨。 2013-6-3 14:43 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 14 楼一点雪域都没有，系统加固直接拦截了HAl那个调用在R3调用，你懂得~ 2013-6-3 15:17 0
virote 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	virote 15 楼必须顶呀。 2013-6-3 15:29 0
huap 雪币： 8 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	huap 16 楼十分感谢.... 2013-6-3 15:35 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 17 楼 ~~~~~~~~~~~~~ 2013-6-3 15:43 0
uing 雪币： 85 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 160 粉丝 0 关注私信	uing 18 楼碉堡了, 然后修改ssdt 接管函数控制权, 然后接管内核?! 附上release版程序: pathExploit.rar 再次感谢LZ; 上传的附件： pathExploit.rar （16.07kb，373次下载） 233.png （58.10kb，261次下载） 2013-6-3 16:04 0
KooJiSung 雪币： 357 活跃值： (3443) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 19 楼这漏洞爆出来都半个月了,原作者写的是dos版,不过能写出利用代码还是不错的 2013-6-3 16:13 0
jerryme 雪币： 3149 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 205 粉丝 0 关注私信	jerryme 20 楼做测试连这个也能发现？ 2013-6-3 16:52 0
crazybug 雪币： 12 活跃值： (605) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 112 粉丝 0 关注私信	crazybug 2 21 楼直接拦截0地址分配~ 2013-6-3 17:21 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 22 楼赶紧支持x64位啊 x32有啥玩的 2013-6-3 17:30 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 23 楼看了半天没看懂，擦 2013-6-3 18:00 0
uuwhat 雪币： 29 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 150 粉丝 0 关注私信	uuwhat 24 楼这是做的压力测试么，可以发现个提取洞强大 2013-6-3 18:10 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 25 楼手下曾经一个小弟授权压力测试某游戏，发现N+M个漏洞，然后这货内心动摇了，然后发财了~ 现在压力测试都很强大~ 2013-6-3 19:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ProgmBoy

发帖

157

回帖

140

RANK

关注

私信

他的文章

[原创]迟来的6.1礼物 EPATHOBJ 0day exploit 62976
[原创]Bochs+Windbg调试VT代码 31386
[原创]sudami 的HijackFile中的InlineEngine 10196
[原创]玩玩ntfs之新建文件 12403
[原创]qqlistener_src just for fun! 9448

关于我们

联系我们

企业服务

看雪公众号

最新回复 (70) 1 2 3 ▶
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 2 楼 thx for share it 2013-6-3 13:33 0
bbzwj 雪币： 9 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	bbzwj 3 楼神器啊，系统级0day 2013-6-3 13:50 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 4 楼 niubility啊 2013-6-3 13:52 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 5 楼其实GetMagicDword才是神奇的~ 2013-6-3 14:01 0
guobing 雪币： 11121 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 6 楼 niubility 提权的，mark 2013-6-3 14:05 0
gocker 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	gocker 7 楼感谢~~~ 2013-6-3 14:20 0
Aipsa 雪币： 19 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 122 粉丝 0 关注私信	Aipsa 8 楼 niubility啊 2013-6-3 14:21 0
冷血david 雪币： 200 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	冷血david 9 楼下个测试 2013-6-3 14:33 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 10 楼好熟悉的 // // 把ntoskrnl.exe加载进来 // // // 计算实际地址 // 2013-6-3 14:34 0
ProgmBoy 雪币： 382 活跃值： (352) 能力值： ( LV2，RANK：140 ) 在线值：发帖 9 回帖 157 粉丝 5 关注私信	ProgmBoy 3 11 楼 [QUOTE=KiDebug;1184059]好熟悉的 // // 把ntoskrnl.exe加载进来 // // // 计算实际地址 // [/QUOTE] 哈哈..直接抄你的代码.. 2013-6-3 14:38 0
ProgmBoy 雪币： 382 活跃值： (352) 能力值： ( LV2，RANK：140 ) 在线值：发帖 9 回帖 157 粉丝 5 关注私信	ProgmBoy 3 12 楼那个函数再vista以上变成了fastcall... 2013-6-3 14:39 0
humourkyo 雪币： 926 活跃值： (387) 能力值： (RANK：500 ) 在线值：发帖 42 回帖 251 粉丝 16 关注私信	humourkyo 12 13 楼一批windows虚拟主机将要经受腥风血雨。 2013-6-3 14:43 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 14 楼一点雪域都没有，系统加固直接拦截了HAl那个调用在R3调用，你懂得~ 2013-6-3 15:17 0
virote 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	virote 15 楼必须顶呀。 2013-6-3 15:29 0
huap 雪币： 8 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	huap 16 楼十分感谢.... 2013-6-3 15:35 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 17 楼 ~~~~~~~~~~~~~ 2013-6-3 15:43 0
uing 雪币： 85 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 160 粉丝 0 关注私信	uing 18 楼碉堡了, 然后修改ssdt 接管函数控制权, 然后接管内核?! 附上release版程序: pathExploit.rar 再次感谢LZ; 上传的附件： pathExploit.rar （16.07kb，373次下载） 233.png （58.10kb，261次下载） 2013-6-3 16:04 0
KooJiSung 雪币： 357 活跃值： (3443) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 19 楼这漏洞爆出来都半个月了,原作者写的是dos版,不过能写出利用代码还是不错的 2013-6-3 16:13 0
jerryme 雪币： 3149 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 205 粉丝 0 关注私信	jerryme 20 楼做测试连这个也能发现？ 2013-6-3 16:52 0
crazybug 雪币： 12 活跃值： (605) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 112 粉丝 0 关注私信	crazybug 2 21 楼直接拦截0地址分配~ 2013-6-3 17:21 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 22 楼赶紧支持x64位啊 x32有啥玩的 2013-6-3 17:30 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 23 楼看了半天没看懂，擦 2013-6-3 18:00 0
uuwhat 雪币： 29 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 150 粉丝 0 关注私信	uuwhat 24 楼这是做的压力测试么，可以发现个提取洞强大 2013-6-3 18:10 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 25 楼手下曾经一个小弟授权压力测试某游戏，发现N+M个漏洞，然后这货内心动摇了，然后发财了~ 现在压力测试都很强大~ 2013-6-3 19:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复