Langouster 's Blog(虾 窝)

前段时间写的一段无聊代码，可能对大家有点用。用于在驱动里调用一些没有直接导出的Zw函数，如ZwProtectVirtualMemory。在此感谢alpha提供思路。

BOOLEAN CallZwFunction(CONST CHAR *FunctionName,PVOID pCallRet,ULONG ArgNum,...)
{
 char *vl;
 BOOLEAN retval = FALSE;
 ULONG FunctionIndex;
 ULONG CallRet;
 ULONG Argv[20],temp;
 LONG i;
 ULONG FunctionAddr;
 BYTE Sign[]="\xb8\x44\x00\x00\x00";
 BYTE *p;

IHTMLDocument2 *pDoc2

......

IHTMLWindow2 *pWindow;
HRESULT hr=pDoc2->get_parentWindow(&pWindow);
VARIANT ret;
ret.vt=VT_EMPTY;
CComBSTR func="alert(document.cookie)";
CComBSTR lang="JAVAScript";
hr=pWindow->execScript(func,lang,&ret);

监控下一个进程的创建过程，关键函数的执行先后关系如下：

XP sp3下:

1.NtCreateProcessEx

2.NtCreateThread

3.CreateProcessNotify，调用创建进程回调函数，在PspCreateThread中调用

4.CreateThreadNotify，调用创建线程回调函数，在PspCreateThread中调用

Vista、Win7下:

1.NtCreateUserProcess->PspInsertThread

千岛湖二日游回来，多图。

前段时间看一个很早前写的驱动，发现对双向链表的操作还有BUG，删除时会蓝屏，修正了一下，把修正后的代码贴出来，方便日后使用前直接复制，大牛不用看了。

此演示完成user权限下以system权限运行指定程序,利用的是前几篇文章说的那个系统驱动的溢出漏洞。

利用成功后可看到Services.exe以system权限运行了C:\Users\test\Desktop\1.exe。

上次说的溢出0day的shellcode终于写完了，开始遇到了不少困难，但都一一解决了。

一开始，像大多数其它溢出那样，执行完shellcode后就sleep等死，可是这里不行，在进入有漏洞的函数前，系统占了一个锁，如果等死了，整个系统也立马卡死。函数调用是像下面这样的：

call func2()
{
    getlocker();
    bugfunc();//存在溢出的函数
...