首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 二进制漏洞
    3. 发新帖
[原创]再爆Windows崩溃漏洞
发表于: 2014-4-24 15:02 12464

[原创]再爆Windows崩溃漏洞

半斤八兩 活跃值
10
2014-4-24 15:02
12464
UINT WINAPI PrivateExtractIcons(
_In_ LPCTSTR lpszFile,
_In_ int nIconIndex,
_In_ int cxIcon,
_In_ int cyIcon,
_Out_opt_ HICON *phicon,
_Out_opt_ UINT *piconid,
_In_ UINT nIcons,
_In_ UINT flags
);

764B0D13 u> 8BFF mov edi, edi ; user32.PrivateExtractIconsW
764B0D15 55 push ebp
764B0D16 8BEC mov ebp, esp
764B0D18 81EC 5C040000 sub esp, 45C
764B0D1E A1 08915076 mov eax, dword ptr ds:[76509108]
764B0D23 33C5 xor eax, ebp
764B0D25 8945 FC mov dword ptr ss:[ebp-4], eax
764B0D28 8B45 08 mov eax, dword ptr ss:[ebp+8]
764B0D2B 838D D8FBFFFF F>or dword ptr ss:[ebp-428], FFFFFFFF
764B0D32 53 push ebx
764B0D33 56 push esi
764B0D34 8B75 18 mov esi, dword ptr ss:[ebp+18]
764B0D37 33DB xor ebx, ebx
764B0D39 57 push edi
764B0D3A 8B7D 1C mov edi, dword ptr ss:[ebp+1C]
764B0D3D 8985 D0FBFFFF mov dword ptr ss:[ebp-430], eax
764B0D43 89B5 D4FBFFFF mov dword ptr ss:[ebp-42C], esi
764B0D49 899D DCFBFFFF mov dword ptr ss:[ebp-424], ebx
764B0D4F 3BF3 cmp esi, ebx
764B0D51 0F84 AFE60000 je user32.764BF406
764B0D57 8B55 20 mov edx, dword ptr ss:[ebp+20]
764B0D5A 3BD3 cmp edx, ebx
764B0D5C 76 1B jbe short user32.764B0D79
764B0D5E 8BCE mov ecx, esi
764B0D60 8BC7 mov eax, edi
764B0D62 2BCF sub ecx, edi
764B0D64 3BF3 cmp esi, ebx
764B0D66 74 03 je short user32.764B0D6B
764B0D68 891C01 mov dword ptr ds:[ecx+eax], ebx
764B0D6B 3BFB cmp edi, ebx
764B0D6D 0F85 58090300 jnz user32.764E16CB
764B0D73 83C0 04 add eax, 4
764B0D76 4A dec edx
764B0D77 ^ 75 EB jnz short user32.764B0D64
764B0D79 FFB5 D0FBFFFF push dword ptr ss:[ebp-430]
764B0D7F E8 B2010000 call user32.764B0F36
764B0D84 3D 2E636D64 cmp eax, 646D632E
764B0D89 0F84 1F010000 je user32.764B0EAE
764B0D8F 3D 2E706966 cmp eax, 6669702E
764B0D94 0F84 14010000 je user32.764B0EAE
764B0D9A 3D 2E6C6E6B cmp eax, 6B6E6C2E
764B0D9F 0F84 09010000 je user32.764B0EAE
764B0DA5 3D 2E636F6D cmp eax, 6D6F632E
764B0DAA 0F84 FE000000 je user32.764B0EAE
764B0DB0 3D 2E626174 cmp eax, 7461622E
764B0DB5 0F84 F3000000 je user32.764B0EAE
764B0DBB 68 04010000 push 104
764B0DC0 8D85 E0FBFFFF lea eax, dword ptr ss:[ebp-420]
764B0DC6 50 push eax
764B0DC7 FFB5 D0FBFFFF push dword ptr ss:[ebp-430]
764B0DCD FF15 94134A76 call near dword ptr ds:[<&KERNEL32.Expan>; kernel32.ExpandEnvironmentStringsW
764B0DD3 33C0 xor eax, eax
764B0DD5 66:8985 E6FDFFF>mov word ptr ss:[ebp-21A], ax
764B0DDC 8D85 E0FBFFFF lea eax, dword ptr ss:[ebp-420]
764B0DE2 50 push eax
764B0DE3 E8 E2000000 call user32.764B0ECA
764B0DE8 85C0 test eax, eax
764B0DEA 0F85 E3080300 jnz user32.764E16D3
764B0DF0 53 push ebx
764B0DF1 8D85 E8FDFFFF lea eax, dword ptr ss:[ebp-218]
764B0DF7 50 push eax
764B0DF8 68 04010000 push 104
764B0DFD 53 push ebx
764B0DFE 8D85 E0FBFFFF lea eax, dword ptr ss:[ebp-420]
764B0E04 50 push eax
764B0E05 53 push ebx
764B0E06 FF15 90134A76 call near dword ptr ds:[<&KERNEL32.Searc>; kernel32.SearchPathW
764B0E0C 85C0 test eax, eax
764B0E0E ^ 0F84 0040FFFF je user32.764A4E14
764B0E14 6A 22 push 22
764B0E16 53 push ebx
764B0E17 8D85 E8FDFFFF lea eax, dword ptr ss:[ebp-218]
764B0E1D 50 push eax
764B0E1E FF15 98134A76 call near dword ptr ds:[<&KERNEL32.LoadL>; kernel32.LoadLibraryExW
764B0E24 8985 D0FBFFFF mov dword ptr ss:[ebp-430], eax
764B0E2A 53 push ebx
764B0E2B 3BC3 cmp eax, ebx
764B0E2D 0F84 082F0200 je user32.764D3D3B
764B0E33 8B4D 0C mov ecx, dword ptr ss:[ebp+C]
764B0E36 898D A4FBFFFF mov dword ptr ss:[ebp-45C], ecx
764B0E3C 8B4D 10 mov ecx, dword ptr ss:[ebp+10]
764B0E3F 898D A8FBFFFF mov dword ptr ss:[ebp-458], ecx
764B0E45 8B4D 14 mov ecx, dword ptr ss:[ebp+14]
764B0E48 898D ACFBFFFF mov dword ptr ss:[ebp-454], ecx
764B0E4E 8B4D 20 mov ecx, dword ptr ss:[ebp+20]
764B0E51 898D B8FBFFFF mov dword ptr ss:[ebp-448], ecx
764B0E57 8B4D 24 mov ecx, dword ptr ss:[ebp+24]
764B0E5A 53 push ebx
764B0E5B 898D BCFBFFFF mov dword ptr ss:[ebp-444], ecx
764B0E61 8D8D A4FBFFFF lea ecx, dword ptr ss:[ebp-45C]
764B0E67 51 push ecx
764B0E68 68 9D114B76 push user32.764B119D
764B0E6D 6A 0E push 0E
764B0E6F 50 push eax
764B0E70 89B5 B0FBFFFF mov dword ptr ss:[ebp-450], esi
764B0E76 89BD B4FBFFFF mov dword ptr ss:[ebp-44C], edi
764B0E7C 899D C0FBFFFF mov dword ptr ss:[ebp-440], ebx
764B0E82 899D C4FBFFFF mov dword ptr ss:[ebp-43C], ebx
764B0E88 FF15 E0134A76 call near dword ptr ds:[<&KERNEL32.EnumR>; kernel32.EnumResourceNamesExW
764B0E8E FFB5 D0FBFFFF push dword ptr ss:[ebp-430]
764B0E94 FF15 DC144A76 call near dword ptr ds:[<&KERNEL32.FreeL>; kernel32.FreeLibrary
764B0E9A 3BF3 cmp esi, ebx
764B0E9C 0F84 4E080300 je user32.764E16F0 ; EnumResourceNameExW
764B0EA2 8B85 C4FBFFFF mov eax, dword ptr ss:[ebp-43C] ; EnumResourceNamesExW
764B0EA8 8985 DCFBFFFF mov dword ptr ss:[ebp-424], eax
764B0EAE 8B4D FC mov ecx, dword ptr ss:[ebp-4]
764B0EB1 8B85 DCFBFFFF mov eax, dword ptr ss:[ebp-424]
764B0EB7 5F pop edi
764B0EB8 5E pop esi
764B0EB9 33CD xor ecx, ebp
764B0EBB 5B pop ebx
764B0EBC E8 2EC10000 call user32.764BCFEF
764B0EC1 C9 leave
764B0EC2 C2 2000 retn 20

BOOL EnumResourceNames(
HMODULE hModule, // module handle
LPCTSTR lpszType, // resource type
ENUMRESNAMEPROC lpEnumFunc, // callback function
LONG_PTR lParam // application-defined parameter
);

76404425 k> 8BFF mov edi, edi ; kernel32.EnumResourceNamesExW
76404427 55 push ebp
76404428 8BEC mov ebp, esp
7640442A 6A 00 push 0
7640442C FF75 1C push dword ptr ss:[ebp+1C]
7640442F FF75 18 push dword ptr ss:[ebp+18]
76404432 FF75 14 push dword ptr ss:[ebp+14]
76404435 FF75 10 push dword ptr ss:[ebp+10]
76404438 FF75 0C push dword ptr ss:[ebp+C]
7640443B FF75 08 push dword ptr ss:[ebp+8]
7640443E E8 6EFCFFFF call kernel32.764040B1 // 这里我们跟进去.
76404443 5D pop ebp
76404444 C2 1800 retn 18
7640443e 跟进去来到下面.
764040B1 68 88000000 push 88
764040B6 68 F8434076 push kernel32.764043F8
764040BB E8 B07C0000 call kernel32.7640BD70
764040C0 33FF xor edi, edi
764040C2 897D C0 mov dword ptr ss:[ebp-40], edi
764040C5 897D BC mov dword ptr ss:[ebp-44], edi
764040C8 897D D0 mov dword ptr ss:[ebp-30], edi
764040CB 897D E0 mov dword ptr ss:[ebp-20], edi
764040CE 897D A0 mov dword ptr ss:[ebp-60], edi
764040D1 897D 8C mov dword ptr ss:[ebp-74], edi
764040D4 897D 88 mov dword ptr ss:[ebp-78], edi
764040D7 897D B8 mov dword ptr ss:[ebp-48], edi
764040DA 89BD 78FFFFFF mov dword ptr ss:[ebp-88], edi
764040E0 897D 98 mov dword ptr ss:[ebp-68], edi
764040E3 89BD 6CFFFFFF mov dword ptr ss:[ebp-94], edi
764040E9 897D B4 mov dword ptr ss:[ebp-4C], edi
764040EC 8B45 18 mov eax, dword ptr ss:[ebp+18]
764040EF 8BC8 mov ecx, eax
764040F1 C1E9 03 shr ecx, 3
764040F4 83E1 01 and ecx, 1
764040F7 894D DC mov dword ptr ss:[ebp-24], ecx
764040FA 897D 94 mov dword ptr ss:[ebp-6C], edi
764040FD 897D 90 mov dword ptr ss:[ebp-70], edi
76404100 C1E8 04 shr eax, 4
76404103 F7D0 not eax
76404105 83E0 01 and eax, 1
76404108 8BF0 mov esi, eax
7640410A 57 push edi
7640410B 8D45 18 lea eax, dword ptr ss:[ebp+18]
7640410E 50 push eax
7640410F E8 38030000 call kernel32.7640444C
76404114 85C0 test eax, eax
76404116 0F84 00180200 je kernel32.7642591C
7640411C FF75 0C push dword ptr ss:[ebp+C]
7640411F E8 9C060000 call <jmp.&KERNELBASE.BaseDllMapResource>
76404124 8945 9C mov dword ptr ss:[ebp-64], eax
76404127 83F8 FF cmp eax, -1
7640412A 0F84 EC170200 je kernel32.7642591C
76404130 6A 01 push 1
76404132 FF75 08 push dword ptr ss:[ebp+8]
76404135 E8 B05D0000 call kernel32.BasepMapModuleHandle
7640413A 8945 CC mov dword ptr ss:[ebp-34], eax
7640413D 3BF7 cmp esi, edi
7640413F 74 2A je short kernel32.7640416B
76404141 8D4D 94 lea ecx, dword ptr ss:[ebp-6C]
76404144 51 push ecx
76404145 FF75 DC push dword ptr ss:[ebp-24]
76404148 50 push eax
76404149 E8 46030000 call kernel32.76404494
7640414E 3BC7 cmp eax, edi
76404150 7C 19 jl short kernel32.7640416B
76404152 8D45 90 lea eax, dword ptr ss:[ebp-70]
76404155 50 push eax
76404156 57 push edi
76404157 FF75 9C push dword ptr ss:[ebp-64]
7640415A FF75 94 push dword ptr ss:[ebp-6C]
7640415D FF15 F0123C76 call near dword ptr ds:[<&ntdll.LdrRscIs>; ntdll.LdrRscIsTypeExist
76404163 3BC7 cmp eax, edi
76404165 0F8C FA3A0200 jl kernel32.76427C65
7640416B 8B5D 18 mov ebx, dword ptr ss:[ebp+18]
7640416E 895D 18 mov dword ptr ss:[ebp+18], ebx
76404171 8365 18 02 and dword ptr ss:[ebp+18], 2
76404175 0F84 87000000 je kernel32.76404202
7640417B 8B45 94 mov eax, dword ptr ss:[ebp-6C]
7640417E 33F6 xor esi, esi
76404180 3BC6 cmp eax, esi
76404182 0F84 923C0200 je kernel32.76427E1A
76404188 F640 10 01 test byte ptr ds:[eax+10], 1
7640418C 0F84 883C0200 je kernel32.76427E1A
76404192 F745 90 0000020>test dword ptr ss:[ebp-70], 20000
76404199 0F85 B43A0200 jnz kernel32.76427C53
7640419F 68 80000000 push 80
764041A4 8D45 C8 lea eax, dword ptr ss:[ebp-38]
764041A7 56 push esi
764041A8 50 push eax
764041A9 66:3975 1C cmp word ptr ss:[ebp+1C], si
764041AD 0F85 DAA90200 jnz kernel32.7642EB8D
764041B3 FF75 CC push dword ptr ss:[ebp-34]
764041B6 FF15 E8123C76 call near dword ptr ds:[<&ntdll.LdrLoadA>; ntdll.LdrLoadAlternateResourceModule
764041BC 3BC6 cmp eax, esi
764041BE 0F8C 563C0200 jl kernel32.76427E1A
764041C4 3975 DC cmp dword ptr ss:[ebp-24], esi
764041C7 0F85 D1A90200 jnz kernel32.7642EB9E
764041CD 8D45 80 lea eax, dword ptr ss:[ebp-80]
764041D0 50 push eax
764041D1 8D45 D8 lea eax, dword ptr ss:[ebp-28]
764041D4 50 push eax
764041D5 53 push ebx
764041D6 FF75 B0 push dword ptr ss:[ebp-50]
764041D9 FF75 C8 push dword ptr ss:[ebp-38]
764041DC E8 09030000 call kernel32.764044EA
764041E1 8BF8 mov edi, eax
764041E3 3BFE cmp edi, esi
764041E5 7C 1B jl short kernel32.76404202
764041E7 8D45 BC lea eax, dword ptr ss:[ebp-44]
764041EA 50 push eax
764041EB 8BC3 mov eax, ebx
764041ED 0D 00020000 or eax, 200
764041F2 50 push eax
764041F3 56 push esi
764041F4 56 push esi
764041F5 FF75 9C push dword ptr ss:[ebp-64]
764041F8 FF75 C8 push dword ptr ss:[ebp-38]
764041FB E8 3B030000 call kernel32.7640453B
76404200 8BF8 mov edi, eax
76404202 8BF3 mov esi, ebx
76404204 83E6 01 and esi, 1
76404207 74 53 je short kernel32.7640425C
76404209 F745 90 0000040>test dword ptr ss:[ebp-70], 40000
76404210 0F85 5C3A0200 jnz kernel32.76427C72
76404216 837D DC 00 cmp dword ptr ss:[ebp-24], 0
7640421A 0F85 A2A90200 jnz kernel32.7642EBC2
76404220 8D85 7CFFFFFF lea eax, dword ptr ss:[ebp-84]
76404226 50 push eax
76404227 8D45 D8 lea eax, dword ptr ss:[ebp-28]
7640422A 50 push eax
7640422B 53 push ebx
7640422C FF75 AC push dword ptr ss:[ebp-54]
7640422F FF75 CC push dword ptr ss:[ebp-34]
76404232 E8 B3020000 call kernel32.764044EA ; // 这里再跟进去.
76404237 8945 B4 mov dword ptr ss:[ebp-4C], eax
7640423A 85C0 test eax, eax
7640423C 7C 1E jl short kernel32.7640425C
...

/*
* @implemented
*/
PVOID
NTAPI
RtlImageDirectoryEntryToData(
PVOID BaseAddress,
BOOLEAN MappedAsImage,
USHORT Directory,
PULONG Size)
{
PIMAGE_NT_HEADERS NtHeader;
ULONG Va;
/* Magic flag for non-mapped images. */
if ((ULONG_PTR)BaseAddress & 1)
{
BaseAddress = (PVOID)((ULONG_PTR)BaseAddress & ~1);
MappedAsImage = FALSE;
}
NtHeader = RtlImageNtHeader(BaseAddress);
if (NtHeader == NULL)
return NULL;
if (Directory >= SWAPD(NtHeader->OptionalHeader.NumberOfRvaAndSizes))
return NULL;
Va = SWAPD(NtHeader->OptionalHeader.DataDirectory[Directory].VirtualAddress);
if (Va == 0)
return NULL;
*Size = SWAPD(NtHeader->OptionalHeader.DataDirectory[Directory].Size);
if (MappedAsImage || Va < SWAPD(NtHeader->OptionalHeader.SizeOfHeaders))
return (PVOID)((ULONG_PTR)BaseAddress + Va);
/* image mapped as ordinary file, we must find raw pointer */
return RtlImageRvaToVa(NtHeader, BaseAddress, Va, NULL);
}

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 5
支持
分享
最新回复 (108)
qqlinhai
雪    币: 114
活跃值: (180)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
前排支持。
2014-4-24 15:03
0
xJJuno
雪    币: 13246
活跃值: (4296)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
8YV587
广告位
2014-4-24 15:04
0
phpskycn
雪    币: 110
活跃值: (34)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
私信
4
Mark留名
2014-4-24 15:06
0
exediy
雪    币: 228
活跃值: (115)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
5
广告位!
2014-4-24 15:06
0
XXX、XXX
雪    币: 83
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
前排!!
2014-4-24 15:07
0
justlovemm
雪    币: 208
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
7
首页强势插入,呵呵
2014-4-24 15:09
0
泰国老大
雪    币: 351
活跃值: (364)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
解压后,打开那个文件夹,还没有运行里面的exe    explorer 就崩了,,
2014-4-24 15:10
0
AntiPsycho
雪    币: 0
活跃值: (756)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
9
不如说说怎么挖出来的
2014-4-24 15:17
0
半斤八兩
雪    币: 223
活跃值: (516)
能力值: ( LV13,RANK:520 )
在线值:
发帖
回帖
粉丝
私信
10
不用运行.只要打开文件所在的目录,就会崩溃.
2014-4-24 15:20
0
半斤八兩
雪    币: 223
活跃值: (516)
能力值: ( LV13,RANK:520 )
在线值:
发帖
回帖
粉丝
私信
11
这个是朋友的电脑上中感染病毒.然后把感染后的文件发给我分析,就发现了.
2014-4-24 15:21
0
gotmilk
雪    币: 144
活跃值: (46)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
12
soga
2014-4-24 15:21
0
木瓜枫叶
雪    币: 459
活跃值: (398)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
私信
13
看的我心惊胆颤啊 v587
2014-4-24 15:23
0
guobing
雪    币: 11111
活跃值: (158)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
直接崩。。虚拟机更是无限崩。。

改改其他的,试了试这个只针对一个pe头部分,如果是一个单独pe文件,改了也不行。。
2014-4-24 15:25
0
半斤八兩
雪    币: 223
活跃值: (516)
能力值: ( LV13,RANK:520 )
在线值:
发帖
回帖
粉丝
私信
15
[QUOTE=xJJuno;1277548]8YV587
广告位[/QUOTE]

J师傅. 87 是啥意思...
2014-4-24 15:32
0
xjj
雪    币: 286
活跃值: (67)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
xjj
16
我这XPSP3为什么不崩。。。。我想看崩的样子。。。。
2014-4-24 15:33
0
kanxue
雪    币: 47147
活跃值: (20445)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
17
等下班前,用你的漏洞来关下机。
2014-4-24 15:33
0
半斤八兩
雪    币: 223
活跃值: (516)
能力值: ( LV13,RANK:520 )
在线值:
发帖
回帖
粉丝
私信
18
xp 不受影响. 只有win7 x86 x64 崩溃.
2014-4-24 15:35
0
flyliying
雪    币: 111
活跃值: (35)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
19
87 是 霸气

win8 64位 不崩溃
2014-4-24 15:40
0
tangwenbin
雪    币: 253
活跃值: (46)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
20
膜拜啊~
2014-4-24 15:41
0
gtict
雪    币: 268
活跃值: (3233)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
21
说说怎么挖出来才是关键
2014-4-24 15:48
0
半斤八兩
雪    币: 223
活跃值: (516)
能力值: ( LV13,RANK:520 )
在线值:
发帖
回帖
粉丝
私信
22
pdf 里面就是挖出来的细节了.
2014-4-24 15:49
0
hunxiaozi
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
23
直接无限崩溃,,,辛亏可以用cmd
2014-4-24 16:03
0
逆枫寒
雪    币: 96
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
24
八爷威武!!!
2014-4-24 16:08
0
地狱怪客
雪    币: 341
活跃值: (138)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
私信
25
我要一楼。。。。。。。。。。。
2014-4-24 16:23
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//