Langouster 's Blog(虾 窝)

此演示完成user权限下以system权限运行指定程序,利用的是前几篇文章说的那个系统驱动的溢出漏洞。

利用成功后可看到Services.exe以system权限运行了C:\Users\test\Desktop\1.exe。

上次说的溢出0day的shellcode终于写完了，开始遇到了不少困难，但都一一解决了。

一开始，像大多数其它溢出那样，执行完shellcode后就sleep等死，可是这里不行，在进入有漏洞的函数前，系统占了一个锁，如果等死了，整个系统也立马卡死。函数调用是像下面这样的：

call func2()
{
    getlocker();
    bugfunc();//存在溢出的函数
...

2月16号我发布一篇《最近发现的一个windows溢出0day演示》，当时只是说理论存在非管理员权限下利用的可能性，因为当时只找到管理员权限下利用的方法。

这两天重新研究了下这个漏洞，终于在Win7下找到了非管理员权限下利用的方法，其它系统也能溢出，但有个security_cookie没能突破，不能做到执行指定shellcode。

利用此漏洞只要在Win7 User权限下执行一下一个小程序，就能导致内核溢出，然后执行内核shellcode，shellcode里Attach到system权限的进程，插apc，然后添加一个管理员权限的用户。

1.此漏洞为Windows某处设计缺陷引起，应该是早期Windows遗留下来的问题，具体细节就不说了

2.受此漏洞影响的代码不少，有Microsoft的也有第三方的；
漏洞可能引发的后果可能是堆溢出或栈溢出，目前发现的全为栈溢出;
受此漏洞影响的代码可能是Ring3的也可能是Ring0的,溢出成功后得到的权限也有差别；
此漏洞的利用权限本身没有要求，但我目前只找到可以在管理员权限下触发的方法.

3.用途：Ring3程序进入Ring0、加载驱动、过主防等。

前段时间从朋友处拿到一个Word的溢出样本，看了下，应该是很老的漏洞洞了，Office2003不开补丁有效，打了SP补丁就无效，本时我对这方面研究的不太多，就分析分析当学习。

这里不进溢出的原因、构造什么的，只分析它的Shellcode，它的Shellcode也是有两段的，重点功能在第二段上，里面用到了不少不错的想法，它有以下特点：

1。在Kernel32 模块中查找API用了HASH法，方便并可缩小shellcode体积。

2。里面有一段根据文件大小获得文件句柄的算法很巧妙。

...

Just a joke? :)

昨天还吵得沸沸扬扬,搞得大家心慌慌,没想到今天早上一看rss订阅有milw0rm的更新,打开网站一看已经开了...

不过好好想一下,貌似大家还真有点离不开milw0rm了.

据说大家都在抓数据,怕一会儿又关了,这边看到WoYiGui兄弟已经给出一个下载地址了,"拿来主义",不用自己动手了,哈哈~