18 Comments

  • 1. kojii  |  avril 8th, 2007 at 21:40

    heh beh bon boulot dude ;).
    Même moi qui love pas Windows j’ai apprécié le texte et ca se voit qu’il y a eu du boulot derriere (comme d’hab quoi).

    Bonne continuation.

  • 2. whiskas  |  avril 9th, 2007 at 11:59

    Très intéressant comme article, je viens de découvrir ton blog par l’exploit que tu as posté sur milw0rm, et c’est du bon boulot.

    Ton blog fait parti de mes RSS maintenant. :)

  • 3. admin  |  avril 9th, 2007 at 18:15

    Après avoir modifié le payload et rendu le sploit plus générique et plus stable, j’ai réussi à faire spawn un shell avec les droits SYSTEM w00t b0x r00ted :) Par contre cette version je le garde pour mwa !

  • 4. Dave Aitel  |  avril 9th, 2007 at 18:57

    This is good work! A very good text on the problem.

  • 5. Touronster  |  avril 9th, 2007 at 22:48

    Très sympa, j’ai pas lu ton article du début, j’ai plutot analysé ton PoC et la fin de ton article, mais c’est super sympa !

  • 6. silma  |  avril 10th, 2007 at 09:30

    C’est sur, tu deviendras maitre du monde avant moi…
    mais quand tu seras là haut, sois prudent… un putch est si vite arrivé… niark niark :P

  • 7. foin  |  avril 10th, 2007 at 15:09

    Good! have a nice day

  • 8. Baboon  |  avril 10th, 2007 at 16:47

    Juste comme ca :
    C’est « coup tete , manchette , balayette »
    essaie donc de mettre une manchette a un gars a terre …
    tu risque plus de te racler tes petits n’ongles sur le sol qu’autre chose …
    ;)
    Sinon /me aime bien les trucs rigolo de ce genre

  • 9. newsoft  |  avril 10th, 2007 at 22:57

    Tout simplement excellent !

  • 10. unknow  |  avril 11th, 2007 at 09:20

    Les chocapics ca pue t’aurais du passer a autres chose au lieu de galerer avec ca …

  • 11. Christophe  |  avril 11th, 2007 at 10:08

    Moi je dis bravo ^^

  • 12. The lsd  |  avril 12th, 2007 at 14:09

    Ivan, tu me fais de la f34r a chaque fois que je lis tes posts !
    Tu m’hallucine !
    /me retourne à ses pôvres petites failles php la tête basse

    Enjoy

    The lsd

  • 13. Tr4c3  |  avril 13th, 2007 at 01:20

    Very well.Thx for shareing.

  • 14. pouik  |  avril 14th, 2007 at 14:38

    Félicitation, vivement que tu passes du cote obscur de la force :p

  • 15. YoLeJedi  |  avril 15th, 2007 at 13:29

    Salut,

    C’est baboon qui a parlé de ton travail sur le forum de labo. Je ne connaissais pas ton blog avant mais je vais de ce pas mettre le lien sur le site.

    Je tenais à te féliciter pour ce travail. Vraiment très très intéressant ! :)

    J’ai au moins appris une chose : On peut mapper la page à l’adresse 0 avec NtAllocVirtualMemory. Chose que je pensais impossible avec une simple API user.
    Comme quoi… dés fois, on reste sur des idées qui nous empêchent de voir plus loin.

    Je suis aussi en train de travailler sur cette vulnérabilité. Et je me dis qu’il doit sûrement y avoir d’autres façons de travailler sur cette table d’handle de win32k.sys.
    Plutôt que d’ouvrir un object et le refermer, n’y aurait-il pas des choses à faire avec des objects ouverts en modifiant leur caractéristique avec des API de base ?
    L’idéal serait de pouvoir créer, à partir de cette faille, une fonction générique qui permette d’écrire ce que l’on veut n’importe où en mémoire. Ça serait pas mal ça, non ? ;)

    Merci encore pour ton travail de qualité.

    Bonne continuation,
    Lionel

  • 16. admin  |  avril 15th, 2007 at 19:40

    D’après ce que j’ai vu, les API qui intéragissent avec les éléments de la gpGdiSharedMemory réalisent des appels système compliqués sur le driver win32k.sys. Sachant que l’implémentation du GDI dans le noyau n’est pas vraiment documentée et que le seul le champ de la strucute GDITableEntry vraiment intéressant est pKernelInfo pointant sur une structure noyau non-documentée, je vois mal comment on pourrait réussir directement en modifiant ce dernier écrire à une adresse arbitraire. Par contre en adaptant le payload il est possible de faire ce qu’on veut :]

    Tient moi au courant si tu as quelque chose :)
    Et merci pour ton fabuleux site que je connais depuis longtemps :p

    T

  • 17. YoLeJedi  |  avril 17th, 2007 at 15:29

    Salut :)

    Ça y est. J’ai trouvé une technique plus simple et plus générique :)
    Je sentais bien qu’il y avait quelque chose à faire de plus simple ;)

    Pour exploiter la faille, j’ai tout simplement fait une usurpation d’un Objet Palette car cet objet propose une interface.
    Je vais publier un texte là-dessus d’ici quelques jours.
    Mais comment fait-on pour t’envoyer un mail si je veux te joindre l’exploit ?

    >Et merci pour ton fabuleux site que je connais depuis longtemps :p

    C’est gentil ce que tu dis là. Ça me fait sincèrement plaisir :)
    Mais tu sais, ton blog et ton travail méritent aussi des compliments. J’apprécie particulièrement ta manière d’aborder le RE. C’est frais et il y a un réel travail de recherche personnelle dans ta démarche.
    Je ne peux que t’encourager à continuer dans cette direction et cet esprit !!! :)
    Et n’hésite surtout pas à venir nous faire coucou sur le forum de Labo.

    Bonne journée,
    Lionel

  • 18. admin  |  avril 25th, 2007 at 20:57

    Un paper de YoleJedi sur le sujet, beaucoup plus propre que le mien :]
    http://www.labo-asso.com/php/travaux/gdi_kernel_exploit.php

Trackback this post