Question

fuzzySecurity 于 16 年更新了数篇 Windows 内核 exp 的教程，本文是内核篇的第九篇。 点击查看原文 。

欢迎来到另一个 Windows 内核 exp 开发系列！自上次一别，已是三秋。我已然在我的 PSKernel-Primitives repo 上开源了一些精炼的代码，所以如果你对 PowerShell 内核 pwn 感兴趣的话就点个 star。

今天我们挖出最喜欢的 Windows10 RS2 上的 Bitmap 内核溯源(kernel primitive)。我们跳过 RS1，此前我已经发过博文给 @mwrlabs ，其中详述了如何在周年纪念版本中去绕过新的缓解机制，文章在这里 here 。

我们将使用两种不同的技术来从桌面堆(desktop heap) 中泄露 Windows 对象，此后将使用那些对象，来泄露 Bitmap。我强烈推荐你先看看下面的这些资料以了解背景知识。罢了，不跟你多 BB，开始吧！

• Win32k Dark Composition: Attacking the Shadow part of Graphic subsystem (Peng Qui & SheFang Zhong => 360Vulcan) - here

• LPE vulnerabilities exploitation on Windows 10 Anniversary Update (Drozdov Yurii & Drozdova Liudmila) - here

• Morten Schenk’s tweet revealing the first technique :D ( @Blomster81 ) - here

• Abusing GDI for ring0 exploit primitives: reloaded ( @NicoEconomou & Diego Juarez) - here

• A Tale Of Bitmaps: Leaking GDI Objects Post Windows 10 Anniversary Edition ( @FuzzySec ) - here

• PSKernel-Primitives ( @FuzzySec ) - here

• Windows RS2 HmValidateHandle Write-What-Where ( @FuzzySec ) - here