[0Day]Windows NT4/2000/XP（全补丁）内核任意地址写入漏洞

欢迎光临高端调试登录 | 注册 | FAQ

搜索论坛

	内核调试

	ACPI调试 Linux内核调试 Windows内核调试
	调试方法学

	调试战役调试原理新工具观察
	操作系统

	Linux Windows Vista Windows
	驱动开发

	Linux驱动 WDF WDM
	总线

	PCI Express PCI/PCI-X USB 无线通信协议
	中央处理器

	64位CPU ARM IA-32
	CPU Info Center
	计算机机系统

	ACPI标准系统认证 Desktop 服务器
	嵌入式系统

	Embedded Linux 嵌入式开发工具 VxWorks WinCE 嵌入式Windows
	特别链接

	格蠹调试套件(GDK)
	格蠹学院
	小朱书店
	老雷的微博
	《软件调试》
	《格蠹汇编》
	《软件调试(第二版)》


沪ICP备11027180号-1

Windows内核

帖子发起人: MJ0011 发起时间: 2009-03-30 23:17 下午 回复: 3

搜索论坛

帖子排序:

2009-03-30, 23:17 下午

MJ0011 离线，最后访问时间: 2009/12/24 22:33:41 MJ0011

发帖数前10位
注册: 2008-04-24
发贴: 112

[0Day]Windows NT4/2000/XP（全补丁）内核任意地址写入漏洞

[0Day]Windows NT4/2000/XP（全补丁）内核任意地址写入漏洞2009-03-30 22:38作者：MJ0011

日期：2009.3.30

Windows NT4开始，win32k.sys体内的两个函数存在着内核任意地址写入漏洞，可以允许用户态程序直接读写内核内存，直到WIN2003才修补

同时存在另外几个函数，可以引发内核崩溃、内核内存泄露或内核地址写入

由于这一手段从未公开，攻击者可以利用它编写ShellCode,进入Ring0，或者恢复内核钩子，用来绕过HIPS、驱动防护类软件、内核加固软件等。

下面公布利用其中一对函数实现的内核任意地址写入DEMO，这个DEMO运行后，点击确定，会对内核地址0x804d8002(XP下通常是ntoskrnl的DOS头偏移+2）写入一个数值：0X12345678

DEMO由于做了一些硬编码，只在WINDOWS XP下生效

可以使用RootkitUnhooker的内核内存DUMP，或者Icesword的内存编辑，或者windbg本机或双机调试来查看修改的情况

具体代码为了安全起见，就不公开放出了，如果大家有兴趣，以后可以考虑放出

注意：DEMO执行过程中，你的HIPS软件可能会对其的某些前期操作报警，选择允许即可

DEMO下载地址：

http://mj0011.ys168.com

漏洞演示目录下CsrssVuln.rar

IP 地址: 已记录   报告

2009-03-31, 09:13 上午

WANGyu 离线，最后访问时间: 2012/9/10 3:34:00 王宇

发帖数前10位

注册: 2007-05-08
发贴: 306

Re: [0Day]Windows NT4/2000/XP（全补丁）内核任意地址写入漏洞

强悍...

不知道在 Vista 下 win32k.sys 是否重构过？

IP 地址: 已记录   报告

2009-03-31, 12:54 下午

WANGyu 离线，最后访问时间: 2012/9/10 3:34:00 王宇

发帖数前10位

注册: 2007-05-08
发贴: 306

Re: [0Day]Windows NT4/2000/XP（全补丁）内核任意地址写入漏洞

http://hi.baidu.com/mj0011/blog/item/e59c2b87c7bf7f22c75cc303.html

IP 地址: 已记录   报告

2009-04-01, 01:44 上午

sudami 离线，最后访问时间: 2009/8/28 11:12:14 sudami

发帖数前75位
注册: 2008-09-24
发贴: 17

Re: [0Day]Windows NT4/2000/XP（全补丁）内核任意地址写入漏洞

顶一下.呵呵

IP 地址: 已记录   报告

高端调试 » 内核探秘 » Windows内核 » [0Day]Windows NT4/2000/XP（全补丁）内核任意地址写入漏洞