能力值:
( LV2,RANK:10 )
2 楼
0.0
最后于 2020-7-7 16:56
被Aimeier编辑
,原因: 补充
能力值:
( LV13,RANK:245 )
3 楼
Aimeier
慢慢调试rdesktop即可。这个steps是完全正确的,按照这个完全写得出来。其实step3已经提示得超级明显了。
多谢鼓励,再接再厉~
能力值:
( LV7,RANK:113 )
4 楼
为啥非要在已经关闭的信道里发送数据呢!你可以同时开启两个信道,关闭和漏洞相关的信道以后,马上往第二个信道里发送数据呀!另外我看Black Hat 2019 有大佬说可以从剪切板数据这个方向考虑一下!
能力值:
( LV2,RANK:10 )
5 楼
你好,我最近也在研究这个漏洞,目前也是卡在了占坑这个地方,不知道可不可以和你交流一下。
最后于 2019-8-12 15:55
被陆晨编辑
,原因: 写错
能力值:
( LV9,RANK:195 )
6 楼
其实人家说的已经很明显了,进一步提示就是你再去研究研究人家第二步所说的“channel control structure.”
最后于 2019-8-12 18:13
被palkiver编辑
,原因:
能力值:
( LV13,RANK:245 )
7 楼
coolboyme
多谢鼓励,再接再厉~
再次感谢提示鼓励,找到了突破占坑的地方了。下一步构造锁的数据, call eax了。。
能力值:
( LV13,RANK:245 )
8 楼
谢谢各位!
最后于 2019-8-12 19:01
被coolboyme编辑
,原因:
能力值:
( LV13,RANK:245 )
9 楼
Adventure
为啥非要在已经关闭的信道里发送数据呢!你可以同时开启两个信道,关闭和漏洞相关的信道以后,马上往第二个信道里发送数据呀!另外我看Black Hat 2019 有大佬说可以从剪切板数据这个方向考虑一下![ ...
谢谢 Adventure ,就是剪切板,早点看到你的消息,这个周末就可以安心休息两天了
能力值:
( LV13,RANK:245 )
10 楼
Adventure
为啥非要在已经关闭的信道里发送数据呢!你可以同时开启两个信道,关闭和漏洞相关的信道以后,马上往第二个信道里发送数据呀!另外我看Black Hat 2019 有大佬说可以从剪切板数据这个方向考虑一下![ ...
发现剪切板可以发送数据并在对端分配内存,可以控制大小和内容,但是问题来了,剪切板需要在登录以后才会创建信道,这个就尴尬了。
能力值:
( LV7,RANK:113 )
11 楼
coolboyme
发现剪切板可以发送数据并在对端分配内存,可以控制大小和内容,但是问题来了,剪切板需要在登录以后才会创建信道,这个就尴尬了。
鼠标和键盘消息呢?
能力值:
( LV2,RANK:10 )
12 楼
我也卡了在占坑这了,我看github上边的未完成的poc里一般都是创建了好几个t120通道,一直在想应该和占坑有关系
能力值:
( LV2,RANK:10 )
13 楼
qq137747998,加下我,一起讨论下,进度可能快些
能力值:
( LV2,RANK:10 )
14 楼
更新一下进度,目前还是在寻找可以发送数据的地方,可发数据的通道目前知道的是IO通道和rdpdr通道,或者创建多个t120通道,IO通道看了所有使用icachannelinput的地方,用键盘数据目前50%几率可以占坑,但是可控字节不足。rdpdr通道和t120通道都存在free问题,在free掉t120通道后这两个通道也会free掉,导致无法到达allocate,qq547079826,可以加我讨论一下。
能力值:
( LV13,RANK:245 )
15 楼
594137965 欢迎加群讨论,仅限poc技术交流
能力值:
( LV13,RANK:245 )
16 楼
小旭msx
qq137747998,加下我,一起讨论下,进度可能快些
594137965 欢迎加群讨论,仅限poc技术交流
能力值:
( LV13,RANK:245 )
17 楼
Adventure
鼠标和键盘消息呢?[em_1]
键盘鼠标消息,目前可以成功占坑,内容是否可控目前还未知,目前遇见的困难是占坑分配的内存很快释放了,还来不及到use的地方。
能力值:
( LV13,RANK:245 )
18 楼
搞定了xp 2003,结贴。由于目前还是有很多没有打补丁的机器,暂时不打算公开具体细节。也许一年以后等热度不那么高了,补丁都打上了,会公开相关细节和poc。遗憾的是win7 和 2008没有搞定地址随机化问题,对于这个点有任何新想法的求加 qq 646535763 不吝赐教
最后于 2019-9-2 11:54
被coolboyme编辑
,原因:
能力值:
( LV13,RANK:245 )
19 楼
再次更新进展: 目前可以搞定xp, 2003,非常稳定。但是win7 2008地址随机化搞不定,大家有没有什么新的思路啊... 我目前了解的情况好像都不是正解 1. 用ms17_010漏洞写0xffffd000的 (都有ms17_010的漏洞了,还有0708什么事呢,脱了裤子打屁,多此一举) 2. cve-2019-0703 smb信息泄露 (要求有smb user权限认证,某些情况下可以用,不够完美,也没有进一步研究0703 exp) 3. 360某论坛分享(rdp里面任意地址写漏洞。 *v5 = v6; *(_QWORD *)(v6 + 8) = v5; 的确存在任意地址写,但是写的内容v5,必须是一个地址,才疏学浅的我窃以为用它来实现一些PPT所述功能(构造页表入口,构造可执行页,构造跳转代码)吹牛的成分更大一点) 4. 360说有一个信息泄露,但是调试发现是登录以后才能触发,用不了 5. 欢迎大家分享自己踩的坑,一起交流进步。
能力值:
( LV8,RANK:130 )
20 楼
好 鼓励
能力值:
( LV8,RANK:120 )
21 楼
coolboyme
再次更新进展:
目前可以搞定xp, 2003,非常稳定。但是win7 2008地址随机化搞不定,大家有没有什么新的思路啊... 我目前了解的情况好像都不是正解
1. 用ms17_010漏洞写0x ...
就在你写这条回复的时候msf已经有人提交rce exp了
currently targets 64-bit versions of Windows 7 and Windows Server 2008 R2.
https://github.com/rapid7/metasploit-framework/pull/12283
最后于 2019-9-8 21:56
被葫芦娃编辑
,原因: