【注意!】 此漏洞不具有直接危害性,仅供个人学习研究调试,大牛飘过~~ 【背景(可以略过)】 去年的这个时候我只会点C,汇编就知道mov,后来花了两个月时间,按网上大牛们的文章自己敲代码做了个ARK,算是入了点门。在做ARK时,知道CSRSS里面有CsrRootProcess这条链表,可以用来查进程,调试的时候在WinDBG中手动对一个进程脱链,发现用户注销后,这个进程没被自动终结,当时也没在意。7月份分析MS10-059时,意识到了LPC/ALPC的存在。9月份看到MS10-011时,觉得可以深入了解下CsrRootProcess和LPC,于是拿WinDBG调、拿IDA看汇编。看到存在有两处and byte ptr [eax+39h], 0DFh指令时,觉得MS10-011是可以绕过的。从开始接触到MS10-011到写出绕过补丁的代码,花了4天的时间。当从admin登入后,在任务管理器里面看到普通用户下的进程依然存在时,激动了很久,咱也要受微软“公开致谢”了。。。这是我第一次发现漏洞,对我来说意义很大。虽然这个漏洞不具有直接危害,但用来练习下WinDBG调试和汇编倒是不错的。 【鸣谢】 感谢j00ru! 【参考资料】 LPC: 1.对于LPC通信机制,可以访问j00ru的博客:cafK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3Z5H3x3s2u0#2i4K6u0W2N6X3g2^5K9h3I4D9K9i4g2E0i4K6u0W2L8%4u0Y4i4K6u0r3i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1&6i4K6R3%4i4K6S2o6i4@1f1&6i4K6W2p5i4@1p5J5i4@1f1^5i4@1q4q4i4@1t1J5i4@1f1#2i4@1u0q4i4K6V1%4i4@1f1#2i4@1u0q4i4K6R3^5i4@1f1^5i4@1q4r3i4@1p5$3i4@1f1%4i4@1u0n7i4K6R3$3i4@1g2r3i4@1u0o6i4K6W2n7x3W2)9J5k6g2g2F1k6r3!0U0N6h3#2W2L8Y4c8W2k6l9`.`. Windows NT.chm; 3.WRK CsrRootProcess:a7cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3k6G2M7Y4g2E0i4K6u0W2M7%4W2K6K9h3&6@1k6i4u0F1j5h3I4K6i4K6u0W2j5$3!0E0i4K6u0r3k6X3!0J5N6h3#2Q4y4h3k6H3L8%4y4@1M7#2)9J5k6h3q4K6M7q4)9K6c8W2c8u0c8q4)9K6c8o6p5#2y4o6f1%4i4K6t1$3f1p5W2p5i4K6y4p5y4K6b7^5y4o6f1`.
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
