如何触发ms1080.docVIP

如何触发MS11-080 By KK MS11-080的补丁刚出来的时候，看微软的安全公告上说这是一个可用来提权的漏洞。当时觉得这种漏洞的成因用补丁比对技术还是比较容易看出来的（虽然在分析MS11-062是没有用到，详见拙文《对MS11-062的分析 图1 进一步查看两个函数流程图比对，发现是在对某一个值的检验上存在差异。先看看补丁前是怎么做的，如图2所示： 图2 为了便于理解，将这段汇编代码用以下伪C语言代码表示： If(theIoStackLocation.OutputBufferLength !=0 theIrp.RequestMode ==1) { //如果IRP请求时从Ring3发起，而且传入DeviceIoControl的参数OutputBufferLength //不为0 If(theIrp.UserBuffer MmUserProbeAddress) { //故意触发异常，并且被AfdJoinLeaf在函数入口处注册的SEH Handler处理 *(MmUserProbeAddress) = 0; } else { //对theIrp.U