WooYun.org

2345Regmon.sys中ControlCode为0x222058的处理逻辑中存在一个内核paged pool溢出。
这个ControlCode的处理逻辑中存在一个将参数中的ansi字符串转存到内核申请的内存中的过程。
处理流程如下：
首先将InputBuffer中的某些部分作为字符串创建AnsiString。然后调用一个处理函数，就是这个函数中触发了漏洞。

可以看出VulFunc函数接受了3个参数，分别是[InBuffer+0x8], 0, 一个从Inbuffer中转换过来的AnsiString。
下面分析VulFunc函数，

函数首先调用AllocSome申请了两段内存。

申请了两块固定大小的内存，分别为0x48c字节的Buf1和0x258字节的Buf2。Buf2存放在[Buf1+0x18]处。
然后将参数3转换成UnicodeString。

用参数3转换的UnicodeString的长度和指针填充了Buf1中的部分域，然后由于参数2为0，所以直接跳转到loc_1f56a执行，调用VulFunc2。
然后VulFunc2中又调用了VulFunc3最终调用了导致这次溢出的罪魁祸首vulTriger

这里我要说一下。。我是第一次调这种类型的东西，这个溢出位置是我在调试出出错的池是Buf2所在的池后用!pool 调用一个函数就测试一下pool是否损坏了。一点一点查出来了。不知道有没有什么更简单的办法。
仔细观察一下vulTriger其实是一个字符串拷贝，将上面提到的由inBuffer中转换来的UnicodeString的字符串拷贝到Buf2中。
就是这个拷贝操作溢出了，BUF2是固定长度的但是UnicodeString没有限制长度，超出了BUF2的长度。
另外。其实不少地方都没判断好用户层发送过来的数据长度(或者偏移？？)，只不过别的可能是越界读。
我是菜鸟就不探究具体能不能利用了。
就酱。。有点晚了。VulFunc3函数里其实我没仔细分析。具体的长度和目的缓冲区好像还有个计算过程。不过应该没啥问题铁定是这能溢出。实测结果就是给BUF2拷贝7XXX个字符。