https://blog.csdn.net/Kwansy/article/details/108844441
上一篇博客介紹了調(diào)用門提權(quán)的無參版本，本節(jié)介紹有參版本的實(shí)現(xiàn)。

構(gòu)造調(diào)用門描述符時(shí)，要設(shè)置 Param Count 字段，比如說要傳進(jìn)3個(gè)參數(shù)， 描述符可以設(shè)置為:
????EC03 0008????，其中問號(hào)部分是要跳轉(zhuǎn)的函數(shù)地址，如果這里有疑問請(qǐng)看上一篇博客。

下圖是我在windbg內(nèi)存窗口中觀察得出的結(jié)論：

參數(shù)要手動(dòng)push，裸函數(shù)內(nèi)打印了3個(gè)參數(shù)，完整代碼如下：

// 調(diào)用門提權(quán).cpp : Defines the entry point for the console application. //#include "stdafx.h" #include <windows.h> #include <stdio.h>int x,y,z;// 該函數(shù)通過 CALL FAR 調(diào)用，使用調(diào)用門提權(quán)，擁有0環(huán)權(quán)限 void __declspec(naked) FunctionHas0CPL() {__asm{ pushadpushfd// pushad 和 pushfd 使ESP減小了 0x24 個(gè)字節(jié)// 原ESP+8就是參數(shù)1，+C就是參數(shù)2，+10就是參數(shù)3，詳見堆棧圖// 如果這里還有疑問，可以在windbg的內(nèi)存窗口中觀察mov eax,[esp+0x24+0x8+0x8] // 參數(shù)3mov dword ptr ds:[x],eaxmov eax,[esp+0x24+0x8+0x4] // 參數(shù)2mov dword ptr ds:[y],eaxmov eax,[esp+0x24+0x8+0x0] // 參數(shù)1mov dword ptr ds:[z],eaxpopfdpopadretf 0xC // 注意堆棧平衡，寫錯(cuò)藍(lán)屏} }int main(int argc, char* argv[]) {char buff[6] = {0,0,0,0,0x48,0};__asm{push 0x3push 0x2push 0x1call fword ptr [buff] // 長調(diào)用，使用調(diào)用門提權(quán)} printf("%x %x %x\n",x,y,z);getchar();return 0; }

修改調(diào)用門描述符，（根據(jù)裸函數(shù)的地址修改）：

執(zhí)行結(jié)果如下：

總結(jié)

以上是生活随笔為你收集整理的（11）调用门提权（有参）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。