[原创]CVE-2014-4113本地提权漏洞分析-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]CVE-2014-4113本地提权漏洞分析

发表于: 2016-2-24 08:48 8100

[原创]CVE-2014-4113本地提权漏洞分析

Netfairy

活跃值

11

2016-2-24 08:48

8100

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

上传的附件：

CVE-2014-4113本地提权漏洞分析.pdf （1.11MB，614次下载）

收藏・9

免费・4

支持

分享

最新回复 (16)
wujimaa 雪币： 364 活跃值： (2172) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 185 粉丝 1 关注私信	wujimaa 1 2 楼能不能给POC那两个文件？ 2016-2-24 09:21 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 3 楼感觉可以写一下比如为何 -5才能触发而-1等则不能触发的几个原因以及*(-5+0x8)的位置 gptiCurrent，其貌似是kthread的win32thread（windows内核原理分析与实现里说是 windows子系统管理区用的但是还是还是不太明白是干嘛的）但是poc里使用user32.dll的AnimateWindow来找第一个e8 call 得到函数地址来调用该函数得到gpticurrent ，希望也可以补充下 2016-2-24 09:26 0
Netfairy 雪币： 200 活跃值： (928) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 4 楼 806K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8J5L8%4m8K6i4K6u0W2N6$3!0G2P5i4g2F1i4K6u0W2L8%4u0Y4i4K6u0r3M7r3q4H3k6i4u0K6i4K6u0r3x3K6x3K6x3g2!0q4y4g2!0n7y4#2!0n7x3W2!0q4y4#2!0n7b7W2)9&6z5g2!0q4y4g2)9^5y4#2!0n7b7g2!0q4z5q4!0m8y4#2!0m8y4W2!0q4y4g2)9^5c8W2)9&6x3g2!0q4y4q4!0n7b7W2!0m8x3#2!0q4y4#2!0m8x3q4)9^5x3g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2)9^5b7g2!0m8x3q4!0q4y4q4!0n7z5q4)9^5b7g2A6%4b7h3I4D9L8$3y4S2N6r3g2h3K9i4u0@1N6h3q4D9e0h3g2E0L8%4u0&6i4@1f1#2i4@1u0m8i4K6V1@1i4@1f1^5i4@1q4r3i4@1p5#2i4@1f1#2i4@1t1H3i4@1t1I4i4@1f1#2i4K6S2r3i4@1q4r3i4@1f1@1i4@1u0n7i4@1p5#2i4@1f1@1i4@1u0m8i4K6R3$3 2016-2-24 09:32 0
Netfairy 雪币： 200 活跃值： (928) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 5 楼问题一：-5才能触发而-1等则不能触发的几个原因因为有检测-1，所以-1不行问题二：kthread kthread->kprocess->token 2016-2-24 09:35 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 6 楼比如当-5时还有些其他判断点不过都能成立。 kthread->kprocess->token你是指提权时改的token吗?我是指其中某个利用条件其0地址分配页面的某个地址应该是0x3处吧要填充gpticurrent 其中wrk中的实现是return thread->tcb.win32Thread 2016-2-24 10:06 0
Netfairy 雪币： 200 活跃值： (928) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 7 楼函数只可能返回ptagWND，-1，-5。只有返回-5没有检查，所以没必要纠结这个啦。返回-5后，最后会执行类似call [-5+0x60] ，把提权shellcode的地址放在0x5b处即可。你说的这个其中某个利用条件其0地址分配页面的某个地址应该是0x3处吧要填充gpticurrent 其中wrk中的实现是return thread->tcb... 我看不懂，原谅我 2016-2-24 10:13 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 8 楼 [QUOTE=Netfairy;1416684]函数只可能返回ptagWND，-1，-5。只有返回-5没有检查，所以没必要纠结这个啦。返回-5后，最后会执行类似call [-5+0x60] ，把提权shellcode的地址放在0x5b处即可。你说的这个其中某个利用条件其0地址分配页面的某个地址应该是0x3处吧要填充gpticurrent ...[/QUOTE] 主要看这个poc的时候，感觉这个gpticurrent很迷糊注释都没，后来把user32.dll拖到ida里看了下AnimateWindow的第一个调用，才明白了。 2016-2-24 10:26 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 12 关注私信	地狱怪客 2 9 楼膜拜，出个android的吧 2016-2-24 12:15 0
dayang 雪币： 220 活跃值： (886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 942 粉丝 1 关注私信	dayang 10 楼恭喜又出精华了! 2016-2-24 16:08 0
Keoyo 雪币： 292 活跃值： (850) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 219 粉丝 20 关注私信	Keoyo 2 11 楼哈哈，昨天刚加完楼主的QQ！希望能多多跟楼主学习，尤其是内核这块！ 2016-2-25 08:25 0
Netfairy 雪币： 200 活跃值： (928) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 12 楼我也是刚接触内核 2016-2-25 08:32 0
远洋方舟雪币： 2566 活跃值： (2987) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	远洋方舟 13 楼好久没有人放出牛B的提权EXP了 2016-3-1 23:43 0
GeekCheng 雪币： 22 活跃值： (242) 能力值： ( LV7，RANK：110 ) 在线值：发帖 16 回帖 154 粉丝 13 关注私信	GeekCheng 2 14 楼很出名的提权漏洞，刚好手里有poc的源代码上传的附件： CVE2014-4113（poc）.zip （11.52kb，119次下载） 2016-3-5 10:46 1
Concord 雪币： 27 活跃值： (637) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 134 粉丝 1 关注私信	Concord 15 楼向师傅学习 2016-3-5 17:57 0
Netfairy 雪币： 200 活跃值： (928) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 16 楼师傅你别这样 2016-3-5 17:58 0
houjingyi 雪币： 5640 活跃值： (8043) 能力值： ( LV15，RANK：531 ) 在线值：发帖 31 回帖 107 粉丝 346 关注私信	houjingyi 11 17 楼楼主你截图中任务管理器前后长得都不一样，一个是XP的一个是Win7的 2017-3-21 11:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

Netfairy

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区