Windows WorkStation Remote BufferOverflow

最新推荐文章于 2024-08-30 11:00:45 发布
最新推荐文章于 2024-08-30 11:00:45 发布
阅读量507 收藏
点赞数
文章标签: windows microsoft dll library network service

Microsoft Windows WorkStation 服务(windows xp sp3)存在栈溢出漏洞
a5这个参数,由于在执行wcscpy的字符串拷贝前,没有校验字符串的长度,因此会诱发栈缓冲区溢出(Stack Overflow) ,成功利用可以远程执行任意代码。

存在漏洞DLL 文件: wkssvc 或者 wkssvc.dll
DLL 名称: Network Workstation service library
描述:
wkssvc.dll是本地系统进行远程文件打印相关服务文件。

属于: Windows
系统 DLL文件: 是


分析如下(伪代码):
/*
Found by Friddy 12.25
Email:qianyang@ssyeah.com
http://www.friddy.cn
*/
DWORD __userpurge sub_76854A96<eax>(int a1<eax>, HLOCAL *a2<esi>, int a3, wchar_t *a4,wchar_t *a5,int a6, int a7, int a8)
{
   int v8; // eax@1
   int v9; // ebx@1
   HLOCAL v10; // eax@3
   HLOCAL v11; // eax@4
   HLOCAL v12; // eax@7
   HLOCAL v13; // edi@7
   int v15; // ecx@4
   int v16; // edx@4
   int v17; // eax@4
   char v18; // zf@4
   wchar_t *v19; // ST0C_4@5

   v9 = a1;
   v8 = 0;
   if ( a4 )
v8 = *(_WORD *)(a7 + 2);
   v10 = LocalAlloc(0x40u, v8 + ((2 * v9 + 39) & 0xFFFFFFFE));
   *a2 = v10;
   if ( v10 )
   {
*(_DWORD *)v10 = 0;
v15 = a3;
v16 = a8;
*((_DWORD *)*a2 + 3) = v9;
*((_DWORD *)*a2 + 4) = 1;
*((_DWORD *)*a2 + 5) = v15;
v17 = dword_7686F588;
*((_DWORD *)*a2 + 6) = dword_7686F588;
v18 = a4 == 0;
*((_DWORD *)*a2 + 8) = v16;
dword_7686F588 = (v17 + 1) & 0x7FFFFFFF;
v11 = *a2;
if ( v18 )
{
   *((_DWORD *)v11 + 2) = 0;
   *((_DWORD *)*a2 + 7) = 0;
}
else
{
   v19 = a4;
   *((_DWORD *)v11 + 2) = (char *)v11 + 36;
   wcscpy(*((wchar_t **)*a2 + 2), v19);
   *((_DWORD *)*a2 + 7) = (unsigned int)(*a2 + 2 * v9 + 39) & 0xFFFFFFFE;
   wcscpy(*((wchar_t **)*a2 + 7), *(const wchar_t **)(a7 + 4));
}
if ( !a5 )
   return 0;
v12 = LocalAlloc(0x40u, 2 * a6 + 12);
v13 = v12;
if ( v12 )
{
    wcscpy((wchar_t *)v12 + 4, a5);//栈溢出发生在这里
   *((_DWORD *)v13 + 1) = a6;
   *(_DWORD *)v13 = 1;
   *((_DWORD *)*a2 + 1) = v13;
   return 0;
}
LocalFree(*a2);
   }
   return GetLastError();
}

###############################################################################################################################################################################################################
//----- (7685499D) --------------------------------------------------------
signed int __stdcall sub_7685499D(int a1, int a2, wchar_t *a3, int a4, wchar_t *a5, int a6, int a7, int a8)
{
   signed int v8; // edi@1
   DWORD v9; // eax@2
   wchar_t *v10; // ecx@7
   int v12; // eax@21
   int v13; // [sp+14h] [bp-4h]@1
   int v14; // [sp+10h] [bp-8h]@1
   int v15; // [sp+Ch] [bp-Ch]@2

   v8 = 0;
   v13 = 0;
   v14 = 0;
   if ( !(unsigned __int8)RtlAcquireResourceExclusive(&unk_7686F3E4, 1) )
   {
v8 = 2140;
goto LABEL_18;
   }
   v9 = sub_76852B71((int)&dword_7686F3E0, a1, (int)&v15, 1);
   if ( v9 )
goto LABEL_13;
   if ( *(_DWORD *)(dword_7686F3E0 + 12 * v15) )
sub_76854B88(*(_DWORD *)(dword_7686F3E0 + 12 * v15), a5, (int)&v13, (int)&v14);
   if ( v13 )
   {
if ( !a3 && !*(_DWORD *)(v13 + 8) )
{
   ++*(_DWORD *)(v13 + 16);
   ++**(_DWORD **)(v13 + 4);
   goto LABEL_17;
}
v9 = sub_76854A96(a4, (HLOCAL *)&a3, a2, a3, 0, 0, a7, a8);
if ( !v9 )
{
   v12 = *(_DWORD *)(v13 + 4);
   v10 = a3;
   *((_DWORD *)a3 + 1) = *(_DWORD *)(v13 + 4);
   ++*(_DWORD *)v12;
   goto LABEL_8;
}
LABEL_13:
v8 = v9;
LABEL_17:
RtlReleaseResource(&unk_7686F3E4);
LABEL_18:
NtClose(a2);
return v8;
   }
   v9 = sub_76854A96(a4, (HLOCAL *)&a3, a2, a3, a5, a6, a7, a8);//这里调用了漏洞,由此触发
   if ( v9 )
goto LABEL_13;
   v10 = a3;
LABEL_8:
   if ( v14 )
*(_DWORD *)v14 = v10;
   else
*(_DWORD *)(dword_7686F3E0 + 12 * v15) = v10;
   RtlReleaseResource(&unk_7686F3E4);
   return 0;
}

至于怎么用还得问下某人怎么构造 转某人的东西

mi04x
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ActFax Server (LPDLPR) Remote Buffer Overflow Exploit分析
weixin_43164781的博客
11-24 254
标 题: ActFax Server (LPDLPR) Remote Buffer Overflow Exploit分析 作 者: 吕勇 时 间: 2011-02-21 ● 漏洞来源: http://www.exploit-db.com/exploits/16176/ ● bug函数定位 在004A4B7D下断点,运行程序(F9),调用漏洞利用程序, 这时程序断在004A4B7D 这里,看堆栈,找到返回程序领空的返回地址。这里一直往下翻,找栈回溯。要翻很远。才能找到一个堆栈的返回地址。 这里我找到 在c
VMware Workstation 安装 Windows 10
qq_46016865的博客
12-09 2989
在Vmware中安装Win10操作系统
Buffer Overflow缓冲区溢出和保护措施
TranSad的博客
07-07 2957
缓冲区溢出是指当数据写入某个缓冲区(buffer)时,,从而导致覆盖了相邻内存区域的情况。这种现象可能导致程序崩溃、数据损坏,甚至引发安全漏洞,允许攻击者利用这一漏洞执行恶意代码。比如这个代码中,在内存中,a中的元素和d其实是挨着的,如果给a赋值了超过了它当前容量的数据,那么就会覆盖d的内容,导致d的值混乱。
(原创)攻击方式学习之(3) - 缓冲区溢出(Buffer Overflow)
weixin_34212189的博客
09-06 1267
堆栈溢出 堆栈溢出通常是所有的缓冲区溢出中最容易进行利用的。了解堆栈溢出之前,先了解以下几个概念: 缓冲区 简单说来是一块连续的计算机内存区域,可以保存相同数据类型的多个实例。 堆栈 堆 栈是一个在计算机科学中经常使用的抽象数据类型。堆栈中的物体具有一个特性:最后一个放入堆栈中的物体总...
一步到位的 UPnP 远程溢出漏洞实战
weixin_34326429的博客
03-24 909
  远程溢出***漏洞 (Remote Buffer Overflow Vulnerability) 是远程直接***被黑电脑或服务器最典型、最常见的漏洞,原因无它,只要溢出成功并运行 ShellCode 程序就可以直接进入被黑电脑中,而且几乎都有最高权限,算是最简单、快速的一步到位***法,因此近年来许多***乐此不疲的查找这类漏洞 ,而不论是利用那个漏洞,***的操作与行...
windows安装VMware最新版本(VMware Workstation 17.0 Pro)详细教程
热门推荐
wkd_007的博客
01-16 3万+
文章详细介绍了Vmware 17 的详细安装过程,并介绍怎样创建虚拟机。
Windows VMware Workstation 虚拟机开机启动
weixin_37569601的博客
07-01 1592
Windows 下开发通常需要在 VMware Workstation 中安装三台 Linux 机器来模拟生产环境,但是 VMware Workstation 不支持开机自动启动虚拟机。每次重启都要手动打开虚拟机,很是麻烦。以下脚本能解决你的烦恼。......
Vmware workstation17安装windows 11
sirius的博客
11-21 1万+
vmware 17开始支持win11的安装了
最新版windows VMware-workstation-full-15.5.6-16341506.exe
07-08
《深入解析VMware Workstation 15.5.6-16341506在Windows环境下的应用》 VMware Workstation是一款强大的虚拟化软件,它允许用户在单个计算机上运行多个独立的操作系统实例,为开发、测试、学习和演示软件提供了一...
windows11环境下VMware Workstation pro运行虚拟机蓝屏修复
11-02
Windows 11环境下,使用VMware Workstation Pro运行虚拟机时可能会遇到蓝屏问题,这通常是由于系统组件冲突导致的。主要的冲突点在于Windows 11内置的Hyper-V虚拟化技术与VMware Workstation Pro之间的兼容性问题...
最新版windows VMware-workstation-full-16.0.0-16894299.exe
09-16
最新版windows VMware-workstation-full-16.0.0-16894299.exe最新版windows VMware-workstation-full-16.0.0-16894299.exe
VMware Workstation Pro 无法在Windows上运行的解决方法
01-10
经过十一假期,是不是有同学发现windows更新后 VMware虚拟机打不开了,显示“VMware Workstation Pro 无法在Windows上运行”的提示。我的虚拟机版本是VMware Workstation Pro12,经过本人亲测,把最近更新的windows...
谷粒商城实战笔记-269~271-商城业务-订单服务-bug修改
epitomizelu的专栏
08-27 508
注意运费是库存服务提供的,实际上应该是物流服务比如运输服务提供的,或者是第三方物流平台提供的。这一节,模拟运费的计算,根据用户选择的地址,查询到用户信息,根据手机号码模拟一个运费。查询库存信息时,因为要跨服务查询,索引最佳实践是批量查询,不要一次次的查询。并没有复现这个bug。
C语言基础(二十一)
wehpd的博客
08-27 1151
数据结构与算法之链表
数据结构——顺序表
m0_61965705的博客
08-27 524
例如:查找顺序表中的某个元素所在下标,就可以使用ForeachSeqList函数,搭配FindData函数传参对遍历到的数据进行操作。如果要存放字符串类型的,最好写成以下形式。空间可以不连续,访问元素方便。
谷粒商城实战笔记-265~268-商城业务-订单服务-订单确认页模型抽取和数据填充-Feign丢失数据问题
epitomizelu的专栏
08-27 989
在请求多个信息时,我们使用了多线程,这就带来了一个问题,前面我们解决Feign丢失请求头的方案在多线程下,不再有效,丢失请求头的问题再度出现。在请求多个信息时,我们使用了多线程,这就带来了一个问题,前面我们解决Feign丢失请求头的方案在多线程下,不再有效,丢失请求头的问题再度出现。:在Feign远程调用过程中,创建了一个新的request,这个新request没有任何请求头,没把浏览器携带的请求头复制到新的请求头中。这意味着,当另一个线程处理请求时,它不会访问到前一个线程的请求数据,包括请求头。
Python3.12.4 pip list包的版本
最新发布
TrueLink的博客
08-30 399
【代码】Python3.12.4 pip list包的版本。
Linux 常用命令 - lsblk 【查看磁盘(块设备)使用情况】
随便转转
08-27 1220
lsblk源自于 “list block devices” 的缩写。这个命令用于列出系统中的所有块设备(block devices),比如硬盘、光驱等。它展示块设备的层次结构、大小和挂载点等信息,非常有助于系统管理员理解系统存储结构。
Windows如何安装WorkStation
07-28
要安装Windows Workstation,您可以按照以下步骤操作: 1. 首先,确保您有适用于Windows Workstation版本的安装介质,通常是一个安装光盘或一个可启动的USB驱动器。 2. 将安装介质插入计算机的光驱或USB端口。 3....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值