(11)调用门提权(有参)
生活随笔
收集整理的這篇文章主要介紹了
(11)调用门提权(有参)
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
https://blog.csdn.net/Kwansy/article/details/108844441
上一篇博客介紹了調用門提權的無參版本,本節介紹有參版本的實現。
構造調用門描述符時,要設置 Param Count 字段,比如說要傳進3個參數, 描述符可以設置為:
????EC03 0008????,其中問號部分是要跳轉的函數地址,如果這里有疑問請看上一篇博客。
下圖是我在windbg內存窗口中觀察得出的結論:
參數要手動push,裸函數內打印了3個參數,完整代碼如下:
// 調用門提權.cpp : Defines the entry point for the console application. //#include "stdafx.h" #include <windows.h> #include <stdio.h>int x,y,z;// 該函數通過 CALL FAR 調用,使用調用門提權,擁有0環權限 void __declspec(naked) FunctionHas0CPL() {__asm{ pushadpushfd// pushad 和 pushfd 使ESP減小了 0x24 個字節// 原ESP+8就是參數1,+C就是參數2,+10就是參數3,詳見堆棧圖// 如果這里還有疑問,可以在windbg的內存窗口中觀察mov eax,[esp+0x24+0x8+0x8] // 參數3mov dword ptr ds:[x],eaxmov eax,[esp+0x24+0x8+0x4] // 參數2mov dword ptr ds:[y],eaxmov eax,[esp+0x24+0x8+0x0] // 參數1mov dword ptr ds:[z],eaxpopfdpopadretf 0xC // 注意堆棧平衡,寫錯藍屏} }int main(int argc, char* argv[]) {char buff[6] = {0,0,0,0,0x48,0};__asm{push 0x3push 0x2push 0x1call fword ptr [buff] // 長調用,使用調用門提權} printf("%x %x %x\n",x,y,z);getchar();return 0; }修改調用門描述符,(根據裸函數的地址修改):
執行結果如下:
總結
以上是生活随笔為你收集整理的(11)调用门提权(有参)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: (10)调用门提权(无参数)
- 下一篇: (12)调用门阶段测试