11

[原创]CVE-2014-4113本地提权漏洞分析

Netfairy 2016-2-24 08:48 2376
最新回复 (16)
1
wujimaa 2016-2-24 09:21
2
能不能给POC那两个文件?
lzldhu 2016-2-24 09:26
3
感觉可以写一下 比如为何 -5才能触发而-1等则不能触发的几个原因    以及*(-5+0x8)的位置  gptiCurrent,其貌似是kthread的win32thread(windows内核原理分析与实现里说是  windows子系统管理区用的  但是 还是还是不太明白是干嘛的)   但是poc里 使用user32.dll的AnimateWindow来找第一个e8 call 得到 函数地址 来调用该函数得到gpticurrent   ,希望也可以 补充下
11
Netfairy 2016-2-24 09:32
4
http://drops.wooyun.org/papers/3331已给出触发代码,加上ZwAllocateVirtualMemory应该就可以了
11
Netfairy 2016-2-24 09:35
5
问题一:-5才能触发而-1等则不能触发的几个原因
因为有检测-1,所以-1不行

问题二:kthread
kthread->kprocess->token
lzldhu 2016-2-24 10:06
6
比如当-5时还有些其他判断点   不过都能成立。
kthread->kprocess->token你是指提权时   改的token吗?我是指 其中某个利用条件其0地址分配页面的某个地址应该是0x3处吧  要填充gpticurrent  其中wrk中的实现是return thread->tcb.win32Thread
11
Netfairy 2016-2-24 10:13
7
函数只可能返回ptagWND,-1,-5。只有返回-5没有检查,所以没必要纠结这个啦。返回-5后,最后会执行类似call [-5+0x60] ,把提权shellcode的地址放在0x5b处即可。你说的这个
其中某个利用条件其0地址分配页面的某个地址应该是0x3处吧  要填充gpticurrent  其中wrk中的实现是return thread->tcb...
我看不懂,原谅我
lzldhu 2016-2-24 10:26
8
[QUOTE=Netfairy;1416684]函数只可能返回ptagWND,-1,-5。只有返回-5没有检查,所以没必要纠结这个啦。返回-5后,最后会执行类似call [-5+0x60] ,把提权shellcode的地址放在0x5b处即可。你说的这个
其中某个利用条件其0地址分配页面的某个地址应该是0x3处吧  要填充gpticurrent ...[/QUOTE]

主要看这个poc的时候 ,感觉 这个gpticurrent很迷糊  注释 都没 ,后来把user32.dll拖到ida里看了下AnimateWindow的第一个调用,才明白了。
2
地狱怪客 2016-2-24 12:15
9
膜拜,出个android的吧
dayang 2016-2-24 16:08
10
恭喜又出精华了!
2
Keoyo 2016-2-25 08:25
11
哈哈,昨天刚加完楼主的QQ!希望能多多跟楼主学习,尤其是内核这块!
11
Netfairy 2016-2-25 08:32
12
我也是刚接触内核
远洋方舟 2016-3-1 23:43
13
好久没有人放出牛B的提权EXP了
2
GeekCheng 2016-3-5 10:46
14
很出名的提权漏洞,刚好手里有poc的源代码
上传的附件:
Concord 2016-3-5 17:57
15
向师傅学习
11
Netfairy 2016-3-5 17:58
16
师傅你别这样
1
houjingyi 2017-3-21 11:12
17

楼主你截图中任务管理器前后长得都不一样,一个是XP的一个是Win7的

返回