Cóż, użyj CreateRemoteThread
na zdalnym procesie i wywołaj coś [1], które niezawodnie wywala proces. Nie jestem pewien, czy CreateRemoteThread
chroni przed wskaźnikami zerowymi, ale można przekazać do niego adres w pustej stronie i wykonać zdalny proces.
[1] NULL lub null, dostęp strona, dzielenie przez zero, powołując się doskonałą dyspozycję, int3
...
Przykład:
#include <stdio.h>
#include <tchar.h>
#include <Windows.h>
BOOL setCurrentPrivilege(BOOL bEnable, LPCTSTR lpszPrivilege)
{
HANDLE hToken = 0;
if(::OpenThreadToken(::GetCurrentThread(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, FALSE, &hToken)
|| ::OpenProcessToken(::GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
{
TOKEN_PRIVILEGES tp;
LUID luid;
if(!::LookupPrivilegeValue(
NULL, // lookup privilege on local system
lpszPrivilege, // privilege to lookup
&luid)) // receives LUID of privilege
{
::CloseHandle(hToken);
return FALSE;
}
tp.PrivilegeCount = 1;
tp.Privileges[0].Luid = luid;
tp.Privileges[0].Attributes = (bEnable) ? SE_PRIVILEGE_ENABLED : 0;
// Enable the privilege or disable all privileges.
if(!::AdjustTokenPrivileges(
hToken,
FALSE,
&tp,
sizeof(TOKEN_PRIVILEGES),
(PTOKEN_PRIVILEGES) NULL,
(PDWORD) NULL)
)
{
CloseHandle(hToken);
return FALSE;
}
::CloseHandle(hToken);
}
return TRUE;
}
int killProcess(DWORD processID)
{
HANDLE hProcess = ::OpenProcess(PROCESS_ALL_ACCESS, FALSE, processID);
if(hProcess)
{
if(!setCurrentPrivilege(TRUE, SE_DEBUG_NAME))
{
_tprintf(TEXT("Could not enable debug privilege\n"));
}
HANDLE hThread = ::CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)1, NULL, 0, NULL);
if(hThread)
{
::CloseHandle(hThread);
}
else
{
_tprintf(TEXT("Error: %d\n"), GetLastError());
::CloseHandle(hProcess);
return 1;
}
::CloseHandle(hProcess);
}
return 0;
}
int __cdecl _tmain(int argc, _TCHAR *argv[])
{
killProcess(3016);
}
Oczywiście będziemy chcieli dostosuj PID w wywołaniu do killProcess
. Skompilowany z WNET DDK i przetestowany na 2003 Server R2.
Istotą jest to, że mówimy procesowi zdalnemu, aby wykonywał kod pod adresem 0x1 ((LPTHREAD_START_ROUTINE)1
), który znajduje się wewnątrz pustej strony, ale nie jest wskaźnikiem zerowym (w przypadku, gdy istnieją kontrole przeciwko temu). Crud wokół funkcji, w szczególności setCurrentPrivilege
jest używany do uzyskania pełnych przywilejów debugowania, abyśmy mogli wykonać nasz zły uczynek.
Jeśli to program, do którego możesz dołączyć debugger, możesz wyjść z debuggera bez odłączania - to spowoduje awarię aplikacji –