无法获取未定义或 null 引用的属性“style”_CVE20190808 从空指针解引用到权限提升...

最新推荐文章于 2023-03-27 16:47:10 发布
最新推荐文章于 2023-03-27 16:47:10 发布
阅读量706 收藏
点赞数
文章标签: 无法获取未定义或 null 引用的属性“style”
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39757040/article/details/111272630
版权

0f294d87741d2d8c848d175e5d3eed79.gif

作者:Kerne7@知道创宇404实验室
时间:2020年9月28日

前言

选择这个漏洞的原因是和之前那个cve-2019-5786是在野组合利用的,而且互联网上这个漏洞的资料也比较多,可以避免在踩坑的时候浪费过多的时间。 首先跟据 Google 的博客,我们可以了解到这个漏洞在野外被用作在windows7 32位系统上的浏览器沙盒逃逸,并且可以定位到漏洞函数 win32k!MNGetpItemFromIndex 。

13e5df23198129121dc050318853f6ad.png

在复现漏洞之前有几个问题浮现出来了,首先这个漏洞被用作沙盒逃逸,那么浏览器沙盒逃逸有哪几种方式?这个漏洞除了沙盒逃逸还可以用来做什么?其次空指针解引用的漏洞如何利用?这些可以通过查阅相关资料来自行探索。 从poc到寻找漏洞成因 在我分析这个漏洞的时候已经有人公布了完整的利用链,包括该漏洞的 poc 、 exp 和浏览器利用的组合拳。但是本着学习的目的,我们先测试一下这个 poc ,看下漏洞是如何触发的。搭建双机调试环境之后,运行 poc 导致系统 crash ,通过调试器我们可以看到。

afb77983036b0e4de0e4c28033795f6c.pngeea8ba09c568faca2072dce798ebf480.png

加载符号之后查看一下栈回溯.

784c07cf16023a82813c940faa330ba0.png

可以看到大概是在 NtUserMNDragOver 之后的调用流程出现了问题,可能是符号问题我在查看了 Google 的博客之后没有搜索到 MNGetpItemFromIndex 这个函数,从栈回溯可以看到最近的这个函数是 MNGetpItem ,大概就是在这个函数里面。 大概看了下函数触发顺序之后,我们看下poc的代码是如何触发crash的。首先看下poc的代码流程。 首先获取了两个函数的地址 NtUserMNDragOver 和 NtAllocateVirtualMemory ,获取这两个函数的地址是因为参考栈回溯中是由 win32k!NtUserMNDragOver 函数中开始调用后续函数的,但是这个函数没有被导出,所以要通过其他函数的地址来导出。NtAllocateVirtualMemory函数是用来后续分配零页内存使用的。 
pfnNtUserMNDragOver = (NTUserMNDragOver)((ULONG64)GetProcAddress(LoadLibraryA("USER32.dll"), "MenuItemFromPoint") + 0x3A);pfnNtAllocateVirtualMemory = (NTAllocateVirtualMemory)GetProcAddress(GetModuleHandle(L"ntdll.dll"), "NtAllocateVirtualMemory");
然后设置Hook EVENT_SYSTEM_MENUPOPUPSTART事件和WH_CALLWNDPROC消息。 
SetWindowsHookEx(WH_CALLWNDPROC, (HOOKPROC)WindowHookProc, hInst, GetCurrent
最低0.47元/天 解锁文章
weixin_39757040
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTML5 Canvas 数据持久化存储之属性列表
weixin_33800463的博客
01-24 98
属性列表想必大家都不会陌生,正常用 HTML5 来做的属性列表大概就是用下拉菜单之类的,而且很多情况下,下拉列表还不够好看,怎么办?我试着用 HT for Web 来实现属性栏点击按钮弹出多功能选框,对传入的数据进行选择的功能,感觉整体实践起来还是比较简单方便的,所以在这边跟大家分享一下。 本例效果图: 从上面的效果图中我们可以看到,整个页面分为 3 个部分,左边的 graphView ...
【Javascript报错】无法获取未定义null 引用属性“replace“
比利的博客
08-17 1862
【Javascript报错】无法获取未定义null 引用属性“replace“
关于ie浏览器兼容 报错无法获取未定义null 引用属性call
asd2437252087的博客
02-14 1万+
出错的原因:ie不支持新的 1.JavaScript语法新特性 2.新的cs特性 3. 新的JavaScript APi 或者 DOM API 这个时候我们就可以使用一个javascript编译器 首先先引入 方法一: 在main.js import 'babel-polyfill';//这样在入口文件中引入将增大文件大小 方法二:在.babelrc文件添加 { "presets": [ "es2015", "react" ], "plugins": [ ...
无法获取未定义null 引用属性“length”_JavaScript 的 Undefined、NaN和Null
weixin_39768371的博客
01-20 3536
一、Undefinedundefined 属性用于存放 JavaScript 中未定义的值它表示变量声明过但并未赋过值提示:无论什么情况下都没有必要把一个变量的值显式地设置为undefined,但是设置这个值为Null可以释放这个对象的内存,把此变量的指针设置为空。var person; // 值为 undefined(空), 类型是undefined 二、NaN...
finereport填报报错:无法获取未定义null 引用属性“getText”
weixin_63454972的博客
03-27 588
报这个错的原因很简单,就是你单元格的大小写问题,getwidgetbycell()括号里面的单元格要大写!我查了好多地方,只能说很少有答案。
PHP5.rar_php_manual_zh.c_php_manual_zh.chm
09-14
`__construct()`是构造函数,`__destruct()`是析构函数,`__get()`和`__set()`处理属性访问,`__call()`处理未定义的方法调用。 4. **数据库操作**:mysqli扩展提供了更强大的MySQL数据库交互功能,包括预处理语句...
libiot_sdk静态库链接HAL出错解决方法.rar_Lib_iot_Client_libhal.a_libiot_sdk_
07-15
3. **符号未定义**:链接错误通常表现为“undefined reference”错误,意味着在`libiot_sdk`中引用的某些函数或变量在`libhal.a`中未定义。检查`libhal.a`是否包含了所有必要的实现。 4. **编译配置问题**:在构建`...
php5.rar_PHP 教程_manuel php5 .chm_php5_php5 chm
09-14
构造函数和析构函数用于对象的生命周期管理,而魔术方法如`__get`、`__set`则提供了对未定义属性的动态访问。 **4. 面向对象的特性** PHP5引入了接口(Interface)和抽象类(Abstract Class),实现了多态性。类...
Google_Cpp_Style_guide_CN.zip_C++_guide_style
09-23
**C++编程规范:Google C++ Style Guide 中文版** Google C++ Style Guide 是一份针对C++编程语言的详尽规范,旨在提供一套统一的编码标准,以提高代码的可读性、可维护性和团队协作效率。这份中文版的指南为中国的...
very_clear_C_point.rar_C++_指针
09-23
10. **const指针和指针const**:`const`关键字可以用于限定指针自身(不可改变指针的值)或指针所指的对象(不可改变对象的值)。例如,`int *const p = &x;`禁止修改`p`的值,`const int *p = &x;`禁止通过`p`修改`...
ie无法获取未定义null引用属性_JavaScript函数的内部属性
weixin_39950867的博客
12-06 2841
在函数内部,有两个特殊的对象:arguments和this。1、arguments对象和callee属性其中arguments对象是一个类数组对象,包含着传入函数中的所有参数。虽然arguments对象的主要用途是保存函数参数,但这个对象还有一个名叫callee的属性,该属性是一个指针,指向拥有这个arguments对象的函数。请看下面这个非常经典的阶乘函数:function factorial(...
无法获取未定义null 引用属性“text”_在.Net Core 3.0中尝试新的System.Text.Json API...
weixin_39748838的博客
11-27 1371
.NET Core 3.0提供了一个名为System.Text.Json的全新命名空间,它支持reader/writer,文档对象模型(DOM)和序列化程序。在此博客文章中,我将介绍它如何工作以及如何使用。官方文档获取JSON库如果以.NET Core为目标,请安装.NET Core 3.0及以上版本,该版本提供了新的JSON库和ASP.NET Core集成。如果以.NET Standa...
vb6 方法‘ ’作用于对象 失败_前端JS基础篇(二)JS基本数据类型和引用数据类型及检测数据类型方法...
weixin_39820136的博客
12-11 395
JS中的数据类型(一)、基本数据类型(值类型)1.number:数字-12、12.5、-12.5 0这些数字都是number;js中增加了一个number类型的数据:‘NaN’typeof NaN ->“number”①"NaN"not a number:不是一个数,但是属于number类型NaN == NaN :false NaN和任何其它值都不相等②"isNaN() "用来检测当前这个值...
使用克隆的时侯报空指针异常_使用C ++程序使用下一个和随机指针克隆链接列表...
cumt30111的博客
06-25 177
使用克隆的时侯报空指针异常Problem statement: 问题陈述: Given a linked list, there are two node pointers one point to the next node of the linked list and another is the random pointer which points to any random node...
无法设置未定义null 引用属性"innerText"
weboof的博客
11-14 1万+
今天在测试的过程中,ie环境下一直在报“无法设置未定义null 引用属性”value””,在网上也搜了很多结果,有的说是引用的jquery版本太高导致的,有的方法是加.get(0),但是这些方式我已经统统试过,至少在我的项目中没有起到任何作用。下面我将通过代码为大家进行讲解。代码如下: <%@ page language="java" contentType="text/html; chars
在datagrid中,IE浏览器报错:SCRIPT5007: 无法获取属性“rowspan”的值: 对象为 null未定义
热门推荐
civilized的专栏
02-18 1万+
在最近所做的一个项目中,要求用jquey easyUi控件来做一个工资核算的展示页面, 展示的页面要求如下所示:   本来做这个datagrid的表头挺简单的,并且按部门名称进行合并,但是在分页的时候,由于表头是这边有分成两行,如果我们直接按照上面的格式进行js设计表头的话,在火狐和谷歌浏览器下面都可以正常的显示分页,但是在ie下面会报错而不能进行分页,打开ie调试会报 错误:SCRI
ie11无法获取未定义null引用属性
最新发布
05-11
这个问题通常是由于代码中存在未定义或者为空的变量或属性引用导致的。在IE11中,如果对未定义null属性进行访问,会抛出“未定义null引用”的错误。 为了解决这个问题,可以使用以下方法之一: 1. 检查代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值