首页
社区
课程
招聘
[原创]CsrssVuln.exe源代码及分析
发表于: 2009-3-31 12:36 8605

[原创]CsrssVuln.exe源代码及分析

2009-3-31 12:36
8605

这个漏洞是在Win32k.sys的代码中的NtUserQueryInformationThread中存在的

这两个函数从WINDOWS 2000开始,只判断调用者当前进程是否是CSRSS.EXE,不对传入的参数做验证,导致了漏洞的产生,攻击者只需要使用某种方式进入CSRSS的进程空间内,就可以触发这种漏洞

这个漏洞在Windows 2003,Vista被修补了,但WINDOWS 2000/XP的全补丁版本没有修补

具体我使用的触发方式是使用一个InformationClass:UserThreadFlags

这个InformationClass允许设置一个线程的W32Thread->TIF_Flags,我们可以使用NtUserSetInformationThread给某个线程设置指定数值的TIF_Flags,再调用NtUserQueryInformationThread,输出Buffer传入我们想要写入的地址,就可以将指定数值写入指定的内核地址中了
这个InformationClass实际是传入一个结构USERTHREAD_FLAGS
第一个域是要设置的NewFlags,第二个域是dwMask,需要将dwMask设为0xFFFFFFF,才能成功写入

其中这个线程必须是GUI线程,同时关闭时需要还原TIF_Flags,否则被设置的线程可能出一些问题

下面是源代码:


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (7)
雪    币: 364
活跃值: (152)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
2
哈,沙发学习啊~~~~原创来了,我那篇写重了(不是说不放code么……)
还是Mj前辈讲解详细
2009-3-31 12:38
0
雪    币: 193
活跃值: (26)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
3
吸取完毕!到底MJ还是王小姐啊  搞糊涂了
2009-3-31 12:46
0
雪    币: 152
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
又是MJ又是王小姐

继续膜拜王小姐
2009-3-31 13:22
0
雪    币: 471
活跃值: (4053)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
5
感谢楼主的分析和分享
2009-4-3 21:11
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
mj是cso,王小姐是hr``
2009-4-4 15:57
0
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
学习一下,收藏了~
2009-4-4 16:06
0
雪    币: 220
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
土了,cso是啥玩艺
2009-4-4 17:49
0
游客
登录 | 注册 方可回帖
返回
//