0x00 前言这一节，学习一下任意内存覆盖，本篇相对比较简单。 实验环境：Win10专业版+VMware Workstation 15 Pro+Win7 x86 sp1 实验工具：VS2015+Windbg+KmdManager+DbgViewer 0x01 漏洞原理分析打开驱动程序代码，可以看到ArbitraryWrite.c中，漏洞函数是这样的： 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859NTSTATUSTriggerArbitraryWrite( _In_ PWRITE_WHAT_WHERE UserWriteWhatWhere){ PULONG_PTR What = NULL; PULONG_PTR Where = NULL ...

0x00 前言上一篇在8174中，尽管通过windbg和源码分析中，我们大致了解了漏洞原理及其利用过程，但是，细想起来，对Vbscript解释器在类及其对象的内存管理是非常陌生的，以至于过了几天，想不起来这个漏洞的原理以及分析过程，所以，我们很有必要对Vbs的解析器内部&# ...

原文地址：https://www.freebuf.com/vuls/172983.html 0x00 背景2018年5月9日，360发表Blog “Analysis of CVE-2018-8174 VBScript 0day and APT actor related toOffice targeted attack” 揭露了利用“双杀”0day发起的APT攻击，其中使用的漏洞就是IE vbscript 0day：CVE-2018-8174，不久该样本就在互联网被公布。由于360的Blog并没有对漏洞原理和任意地址读写的利用方法详细介绍，且原始样本۟ ...

0x00 前言这一篇，我们继续研究一种新的漏洞类型，内核池溢出。深入探讨池溢出这个主题前, 我们需要先了解下池的基本概念, 有一定的内核池基本知识，才知道如何根据需要操纵它。池溢出相较于之前的漏洞类型，比较难以理解，ok,准备开始。 相关储备文章： ...

0x00 前言上一篇研究了一下基础的内核整数溢出漏洞，虽然漏洞利用还有些问题，但是原理上还是比较清楚的，后续有时间继续搞一哈，时间有限，我们继续下一个内核漏洞：未初始化栈变量。 0x01 漏洞原理顾名思义，即内核中函数栈局部变量未初始化。 分析12345678 ...

0x00 前言这一节开始，我们学习整数溢出相关漏洞。 实验环境：Win10专业版+VMware Workstation 15 Pro+Win7 x86 sp1 实验工具：VS2015+Windbg+KmdManager+DbgViewer 0x01 漏洞原理整数溢出整数分为有符号和无符号两种类型，有符号数以其最高为作为其符号位，即正整数最高为0，负整数最高为为1，而无符号数无此类情况， ...

0x00 前言内核池常见类型：​ 桌面堆：主要用于窗口、类、菜单等桌面对象，函数为RtlAllocateHeap和DesktopAlloc，释放函数为RtlFreeHeap() ​ 非分页池:对应的虚拟地址和物理地址存在映射关系，eg:信号量、事件对象。 ​ 分页池：对应的虚拟地址和物理地址不存在一一映射，只保证在_ ...

0x00 前言上一节研究了内核栈溢出相关问题，事实上利用已经成功了， 但是源码在vs环境下编译的驱动文件和利用程序，在最后返回时的堆栈平衡出现了问题，由于时间有限，暂时搁置，后面有时间将继续研究。 这一节学习释放后引用漏洞，即UAF。 实验环境：Win10&# ...

Part1 Buffer Overflows 池是内核模式内存，用作驱动程序的存储空间。 池的组织方式与在从演讲或书中记笔记时使用记事本的方式类似。 有些笔记可能是1行，其他笔记可能是多行。 许多不同的注释都在同一页面上。内存也被组织成页，通常一页内存为4KB。 Windows内存管理器将 ...

0x00 前言上一篇主要学习了环境搭建及前期项目准备，本篇开始学习HEVD中的内核栈溢出漏洞（StackOverflow）。需要参考环境的可参考： [01] HEVD 双机调试环境搭建 实验环境：Win10专业版+VMware Workstation 15 Pro+Win7 x86 sp1 实验工具：VS2015+Windbg+IDA Pro+KmdManager+DbgViewer 这几天看到有很多同样开始研究二进制漏洞的小伙伴，几&# ...