[原创]CVE-2014-4113本地提权漏洞分析-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]CVE-2014-4113本地提权漏洞分析

发表于: 2016-2-24 08:48 7893

[原创]CVE-2014-4113本地提权漏洞分析

Netfairy

活跃值

11

2016-2-24 08:48

7893

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

CVE-2014-4113本地提权漏洞分析.pdf （1.11MB，612次下载）

收藏・9

免费・4

支持

分享

最新回复 (16)
wujimaa 雪币： 364 活跃值： (1736) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 167 粉丝 1 关注私信	wujimaa 1 2 楼能不能给POC那两个文件？ 2016-2-24 09:21 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 3 楼感觉可以写一下比如为何 -5才能触发而-1等则不能触发的几个原因以及*(-5+0x8)的位置 gptiCurrent，其貌似是kthread的win32thread（windows内核原理分析与实现里说是 windows子系统管理区用的但是还是还是不太明白是干嘛的）但是poc里使用user32.dll的AnimateWindow来找第一个e8 call 得到函数地址来调用该函数得到gpticurrent ，希望也可以补充下 2016-2-24 09:26 0
Netfairy 雪币： 191 活跃值： (848) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 4 楼 http://drops.wooyun.org/papers/3331已给出触发代码，加上ZwAllocateVirtualMemory应该就可以了 2016-2-24 09:32 0
Netfairy 雪币： 191 活跃值： (848) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 5 楼问题一：-5才能触发而-1等则不能触发的几个原因因为有检测-1，所以-1不行问题二：kthread kthread->kprocess->token 2016-2-24 09:35 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 6 楼比如当-5时还有些其他判断点不过都能成立。 kthread->kprocess->token你是指提权时改的token吗?我是指其中某个利用条件其0地址分配页面的某个地址应该是0x3处吧要填充gpticurrent 其中wrk中的实现是return thread->tcb.win32Thread 2016-2-24 10:06 0
Netfairy 雪币： 191 活跃值： (848) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 7 楼函数只可能返回ptagWND，-1，-5。只有返回-5没有检查，所以没必要纠结这个啦。返回-5后，最后会执行类似call [-5+0x60] ，把提权shellcode的地址放在0x5b处即可。你说的这个其中某个利用条件其0地址分配页面的某个地址应该是0x3处吧要填充gpticurrent 其中wrk中的实现是return thread->tcb... 我看不懂，原谅我 2016-2-24 10:13 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 8 楼 [QUOTE=Netfairy;1416684]函数只可能返回ptagWND，-1，-5。只有返回-5没有检查，所以没必要纠结这个啦。返回-5后，最后会执行类似call [-5+0x60] ，把提权shellcode的地址放在0x5b处即可。你说的这个其中某个利用条件其0地址分配页面的某个地址应该是0x3处吧要填充gpticurrent ...[/QUOTE] 主要看这个poc的时候，感觉这个gpticurrent很迷糊注释都没，后来把user32.dll拖到ida里看了下AnimateWindow的第一个调用，才明白了。 2016-2-24 10:26 0
地狱怪客雪币： 341 活跃值： (138) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 9 楼膜拜，出个android的吧 2016-2-24 12:15 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 10 楼恭喜又出精华了! 2016-2-24 16:08 0
Keoyo 雪币： 292 活跃值： (810) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 219 粉丝 20 关注私信	Keoyo 2 11 楼哈哈，昨天刚加完楼主的QQ！希望能多多跟楼主学习，尤其是内核这块！ 2016-2-25 08:25 0
Netfairy 雪币： 191 活跃值： (848) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 12 楼我也是刚接触内核 2016-2-25 08:32 0
远洋方舟雪币： 1760 活跃值： (2192) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	远洋方舟 13 楼好久没有人放出牛B的提权EXP了 2016-3-1 23:43 0
GeekCheng 雪币： 22 活跃值： (242) 能力值： ( LV7，RANK：110 ) 在线值：发帖 16 回帖 154 粉丝 13 关注私信	GeekCheng 2 14 楼很出名的提权漏洞，刚好手里有poc的源代码上传的附件： CVE2014-4113（poc）.zip （11.52kb，118次下载） 2016-3-5 10:46 1
Concord 雪币： 27 活跃值： (622) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 134 粉丝 1 关注私信	Concord 15 楼向师傅学习 2016-3-5 17:57 0
Netfairy 雪币： 191 活跃值： (848) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 16 楼师傅你别这样 2016-3-5 17:58 0
houjingyi 雪币： 5633 活跃值： (7199) 能力值： ( LV15，RANK：531 ) 在线值：发帖 31 回帖 107 粉丝 313 关注私信	houjingyi 11 17 楼楼主你截图中任务管理器前后长得都不一样，一个是XP的一个是Win7的 2017-3-21 11:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

Netfairy

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//