背景知识众所周知，xp以后的系统，ring3进ring0的方法是通过系统快速调用也就是sysenter/sysexit或syscall/sysret实现的，而与之类似的，NT 4.0开始，微软将之前纯ring3实现的图形部分的大部分接口整理移植到了Win32k.sys这个知名屎山之中，但是由于仍然有部分组件功能保留在ring3，所以需要一个ring0调用ring3的方法。 12

起源一年多以前，Jonas L在推特首次提出了这个注入方法，并在评论区提出了一些可能的利用方法。半年前，有人在GitHub发布了一份Poc，某种程度上进行了对注入方案的验证。 原理控制台程序，会有一个对应的Code Page，也就是代码页，这个东西是字符代码的一个映射，每个控制台对应两个代码页，一个输入一个输出。 大部分Code Page都是nls文件，但是看到有一部分是dll文件，确切地说是5开

0.前言前些天就有人问起，今天正好有时间就搞一下这个东西，思路很简单，也可以用于一些类似的方案上 1.背景介绍四年前，Hexacorn在自己的博客中提出了一种新颖的注入方法，整体思路类似于Propagate的方法，通过窗口消息触发执行 大概半年后，odzhan发布了公开的poc，整套注入以及很完善了。此后的三年半，这套方案一直可以用来绕过360核晶进行进程注入 总结下来，就是通过窗口消息等方法，触

概述CVE-2021-1675 / CVE-2021-34527 这两个洞本质上就是一个洞，只是因为修复的问题分配了两个编号。具体的漏洞分析就不赘述了，很早就有人发过，没必要炒冷饭，这里只总结下实际使用时可能出现的问题，以及很多poc中不会提到的细节 复现攻击环境注意事项1.域相关目标机器为域内Windows Server机器时，攻击机必须为同一域内的机器；目标机器为非域环境Window

历时半个多月，删站的我又决定把博客搭起来了，这次从用了五年的Wordpress换成了Hexo，自动部署的纯静态博客似乎也是不错的 不过之前的文章没有保存了，很多都是早年写的东西，现在看来已经没有意义了 后面会尽量恢复记笔记的习惯，也就顺手更一些文章吧，希望我的文章可以帮到你