| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 | 

您现在的位置: 中国X黑客小组 >> 技术文章 >> 安全防御 >> 漏洞分析 >> 文章正文 用户登录 新用户注册
  MS05-055漏洞分析[转贴]         ★★★ 【字体:
MS05-055漏洞分析[转贴]
作者:SoBeIt    文章来源:安全焦点    点击数:    更新时间:2006-1-11    
LIST_ENTRY *Flink =             814B0354
+14c                  struct   _LIST_ENTRY *Blink =             814B5C14

kd> dd 814B0354 l 2
814b0354  814b5c14 814ad05c
kd> dd 814b5c14 l 2
814b5c14  814ad05c 814b0354

    开始释放ETHREAD+0x30:

kd> p
nt!PspExitThread+0x4bc:
804fc09d e835f2f6ff       call    nt!ExFreePool (8046b2d7)
kd> dd esp l 1
be989c78  8157e370

    值得注意的是在ObDerefenceObject之前要调用PsRetrunPoolQuota,所以要在伪造的EPROCESS(在地址0x1000200处)+0x1b8处伪造一个EPROCESS_POOL_QUOTA结构。

    一个正常EPROCESS中的配额块结构应该如下,照着伪造就行

kd> !strct EPROCESS_QUOTA_BLOCK 8151f708
struct   _EPROCESS_QUOTA_BLOCK (sizeof=44)
+00 uint32   QuotaLock =                         00000000
+04 uint32   ReferenceCount =                    00000221
+08 uint32   QuotaPeakPoolUsage[2] =             0001f4e4 00078134        .... ...4
+10 uint32   QuotaPoolUsage[2] =                 0001e5e8 00073f64        .... ..?d
+18 uint32   QuotaPoolLimit[2] =                 00020000 00080000        .... ....
+20 uint32   PeakPagefileUsage =                 000005e9
+24 uint32   PagefileUsage =                     000005bb
+28 uint32   PagefileLimit =                     ffffffff

    EPROCESS结构的对象头结构开始与EPROCESS-0x18,为保证后面ObDerefenceObject正常进行,还要伪造对象头结构(OBJECT_HEADER)。对象头结构里要设置两个地方,一个是PointCount成员为1,来表明是对该内核对象的最后一个引用,还有设置对象类型结构(OBJECT_TYPE)指针,此外保持Flags成员为0可以保证最短的调用路径,减少所有不必要的麻烦。对象类型结构中设置DeleteRoutine为我们的提升权限的函数地址。

    在执行到提升权限的函数里,通过把SYSTEM进程的Token复制到任意目标进程的Token,目标进程可以获取最高权限。因为在用户态的那个EPROCESS结构是伪造的,所以任何与处理该EPROCESS结构的函数都是多余的,返回时都要跳过,通过设置ESP直接返回PspExitThread中释放APC的循环,并使其满足退出条件来退出这个释放循环,系统继续正常运行。

    值得注意的是,在2000中不同的SP在处理PspExitThread中退出APC释放循环的判断代码有些不一样,所以要实验几个版本,才能找到通用的方法。

    最后感谢Derek Soeder的帮助,以及Polymeta帮忙测试exploit。祝大家新年快乐,万事如意!

                            email:kinvis@hotmail.co

上一页  [1] [2] 
文章录入:IceRiver    责任编辑:IceRiver 
  • 上一篇文章:

  • 下一篇文章:
    • 发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
    最新热点 最新推荐 相关文章
    MSN视频暗藏杀机 微软补丁忙
    MSSQL数据库SA权限入侵的感悟
    MSN Space大赛官方网站入侵经
    瑞星公司09月05日发布 每日计
    Thomson SpeedTouch 2030 SI
    “MSN性感相册”病毒变种多达
    机构数据: QQ市场占有率为M
    微软携安全厂商建统一战线 M
    QQ和MSN成传播病毒重要渠道
    通过MSN传播的IRCBot msnmsg
      网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!)
    Powered by ICE RIVER - STUDIO
    » CnXHacker.CoM   © CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved.