+设为首页   +添加到收藏夹
首页·栏目 >  软件资讯  |  技术专题  |  编程技术  |  数据库  |  服务器  |  项目方案  |  网站架构  |  应用指南  |  技术教程  |  项目开发
    当前位置:首页 » 软件开发
开发技术指南» 文章正文
    引言:
 

 

 ·远程文件包含漏洞的利用    »显示摘要«
    摘要: **************************** *author:cracklove * *ema!l:cracklove#zj.com * *homepage:n/a,maybe down * **************************** 1)什么是远程文件包含漏洞? ......
 ·用mrtg在iis6.0上实现入侵检测功能    »显示摘要«
    摘要: mrtg(multi router traffic grapher)是一个跨平台的监控网络链路流量负载的工具软件,目前它可以运行在大多数unix系统和windows nt之上。它通过snmp协议从设备得到设备的流量信息,并将流量负载以包含png格式的图形的html 文档方式显示给用户,以非常......


windowsPOSIX子系统权限提升漏洞分析以及利用(v1.0)

windows posix 子系统权限提升漏洞分析以及利用(v 1.0) 【程序编程相关:下载软件的防毒措施

【推荐阅读:简单有效的垃圾邮件防御方法

by bkbll (bkbll#cnhonker.net) 【扩展信息:木马技术:网络安全之特洛伊木马的攻防战略

http://www.cnhonker.com"

一. 漏洞介绍

microsoft 的ms04-020公告描述了posix子系统的权限提升漏洞,公告地址:

http://www.microsoft.com/technet/security/bulletin/ms04-020.mspx

cve 公告:

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=can-2004-0210 很明显,这是一个本地权限提升的漏洞,存在于posix子系统中.

二. 漏洞分析

microsoft的posix系统由一个psxss的进程负责处理, posix.exe运行起来的程序会通过lpc来与psxss通讯,

psxss进程的权限是system, 很不幸的是,posix.exe传递给psxss的数据中,如果包含过长的字符串会导致psxss一个

堆栈溢出,如果我们精心构造这些字符串,很明显会得到system权限的控制权.

出问题的地方在psxss.exe的在sub_4a7861be处:

+----------------------------------------------------------------------------------+

.text:4a7861be sub_4a7861be proc near ; code xref: sub_4a785bbc+175p

.text:4a7861be

.text:4a7861be var_500 = dword ptr -500h

.text:4a7861be var_400 = dword ptr -400h

.text:4a7861be var_201 = byte ptr -201h

.text:4a7861be var_200 = dword ptr -200h

.text:4a7861be arg_0 = dword ptr 8

.text:4a7861be arg_4 = dword ptr 0ch

.text:4a7861be

.text:4a7861be push ebp

.text:4a7861bf mov ebp, esp

.text:4a7861c1 sub esp, 500h

.text:4a7861c7 push ebx

.text:4a7861c8 push esi

.text:4a7861c9 push edi

.text:4a7861ca mov eax, large fs:18h

.text:4a7861d0 mov eax, [eax+30h]

.text:4a7861d3 cmp dword ptr [eax+1d4h], 0

.text:4a7861da jz short loc_4a78620b ;这里会跳转

.text:4a7861dc mov eax, large fs:18h

.text:4a7861e2 mov eax, [eax+30h]

.text:4a7861e5 push offset dword_4a7814a4

.text:4a7861ea push dword ptr [eax+1d4h]

.text:4a7861f0 lea eax, [ebp+var_200]

.text:4a7861f6 push offset asessions_0 ; "\\sessions"

.text:4a7861fb push offset asds ; "%s\\%d%s"

.text:4a786200 push eax

.text:4a786201 call _sprintf

.text:4a786206 add esp, 14h

.text:4a786209 jmp short loc_4a78621a

.text:4a78620b ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?

.text:4a78620b

.text:4a78620b loc_4a78620b: ; code xref: sub_4a7861be+1cj

.text:4a78620b mov esi, offset dword_4a7814a4

.text:4a786210 lea edi, [ebp+var_200]

.text:4a786216 movsd

.text:4a786217 movsd

.text:4a786218 movsd

.text:4a786219 movsb

.text:4a78621a


...   下一页
 ·进行dll注入的三种方法    »显示摘要«
    摘要: 作者:陶冶(无邪) mail:taoy5178@hotmail.com oicq:24149877 from:网络技术 在windows中,每个进程都有自己独立的地址空间,这样一个应用程序就无法进入另一个进程的地址空间而不会破坏另一个进程的运行,这样使得系......
» 本期热门文章:

©2000-2007 All Rights Reserved. 最佳浏览:1024X768 MSIE