9-调用门(无参)

最新推荐文章于 2022-04-15 18:18:08 发布
最新推荐文章于 2022-04-15 18:18:08 发布
阅读量3.7k 收藏 6
点赞数 10
分类专栏: OS 学习笔记 OS修炼指南之保护模式 文章标签: 操作系统 调用门 保护模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q1007729991/article/details/52537782
版权

1. 概述

本篇,将真正的实现提权——当前特权级从 3 变为 0.

当然,CPU 不会让你就这么简单的从 3 环跨到 0 环。但是,CPU 又必须提供一套方法,来让你完成这个功能。

前面讲过。DPL = 0 的非一致代码段,是绝对不允许不同特权级的程序跳转进来。可是,我给以给你开个后门,让你进来,然后给你最高权限,允许你胡作非为。

这个后门,必须由我(操作系统)来指定,而且只允许你跳转到我指定的地方。

2. 调用门

前面做过 jmp 跨段实验,但是 jmp 跨段后,权限是不会变的。CPU 提供给了我们另一种方法——调用门,来达到提权的目的。可以使用 call + 调用门的段选择子,来达到提权的目的。通过调用门,可以让 3 环程序进入 0 环,也就是由用户态变成内核态。

  • call far 指令格式
call far cs:eip

由于在 VC6.0 中不支持这种写法,所以可以写成下面这种形式。(buffer是一个长度为6字节的缓冲区,高2字节存放 cs 段选择子,低 4 字节存放偏移值。)

__asm {
  call fword ptr [buffer]
}

实际上,call far 后面跟的 eip 已经废弃。

下面的实验演示了如何读取高 2G 内存。

3. 编写 r0 函数 getData

  • 该函数将运行在ring 0下,因为其中读取了高2G内存数据。
  • 在 main 函数执行长调用,注意VC6.0 不能直接写 call 0x48:0,编译不通过
#include <windows.h>
#include <stdio.h>

WORD g_cs0, g_ss0, g_ds0, g_es0, g_fs0, g_gs0;
DWORD r0_data_lowdword, r0_data_hidword;

__declspec(naked) void getData() {
	__asm {
		pushfd
		pushad
		mov g_cs0, cs
		mov g_ss0, ss
		mov g_ds0, ds
		mov g_es0, es
		mov g_fs0, fs
		mov g_gs0, gs
		mov eax, 0x8003f048
		mov eax, [eax]
		mov r0_data_lowdword, eax
		mov eax, 0x8003f04c
		mov eax, [eax]
		mov r0_data_hidword, eax
		popad
		popfd
		retf
	}
}

void printData() {
	printf("g_cs0=%02x\ng_ss0=%02x\ng_ds0=%02x\ng_es0=%02x\ng_fs0=%02x\ng_gs0=%02x\nr0_data(0x8003f048)=%08x %08x\n", 
		g_cs0, g_ss0, g_ds0, g_es0, g_fs0, g_gs0, r0_data_hidword, r0_data_lowdword);
}

int main(int argc, char* argv[]) {
	char cs_eip[6] = {0, 0, 0, 0, 0x48, 0};// 这里的 eip 被废弃
	__asm {
		call fword ptr [cs_eip]
	}
	printData();
	getchar();
	return 0;
}

有一点需要注意的是,call far 函数指令的格式虽然是 call far cs:eip,但是这后面的 eip 已经被废弃。而真正的 eip 是填写到了调用门中。

4. 查看函数 getData 地址

  • 在 main 函数第一行下断点,F5 运行调试,然后在函数 getData 中右键,查看反汇编
    这里写图片描述

5. 构造调用门描述符

  • 调用门描述符结构
|   7    |     6  |     5     |    4    |   3    |   2    |   1    |   0    |  字节
|76543210|76543210|7 65 4 3210|765 43210|76543210|76543210|76543210|76543210|  比特
|-----------------|1|--|0|1100|000|-----|--------|--------|--------|--------|  占位
|offset in segment|P|D |S|TYPE|   |param|segment selector |offset in segment|  含义
|     31-16         |P |          |nums |                 |       15-0      |
                    |L |
  • 函数地址是 00401030,构造的调用门描述符是 0040ec00`00081030
  • 在 WinDbg 调试器中,执行 eq 命令安装描述符
    这里写图片描述

6. 运行结果

这里写图片描述

7. 总结

调用门虽然是 CPU 提供给使用者提权的一种手段,但是 Windows 中却并未使用。在 Windows 中,大量使用了中断门来进行提权,包括后面的系统调用,都是采用中断的方式实现。

另外,所谓的后门,其实有很多,比如中断门,陷阱门,任务门。它们都可以实现提权。后续文章会陆续讲解。

--Allen--
关注
  • 10
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
windows内核-调用的实现
zhyjhacker的博客
07-02 649
调用无参的实现提示:以下是本篇文章正文内容,下面案例可供参考一、windbg查看GDTR表,查看cs=1b即18出的描述符00cffb000000ffff5.4调用用指令eq 修改C0处用于构建调用,还要修改c8处的内容,从1B中复制过来,调用要跳到C8处指向。
java怎么无参构造方法_Java中如何在无参构造方法中调用有参构造?
weixin_39593961的博客
02-16 4270
展开全部一般正常的都是参数多的调用参数少的。有参数的调用无参数的居e68a843231313335323631343130323136353331333365643537多。当然你要无参调用的参的也可以。你用无参调用有参的。那你有参的参数你需要怎么传呢。当然如果换一个角度也可以。我手写下。没经过IDE的。提供下思路。我有两种思路,写同一个功能。public class Person{privat...
10-调用(有参)实验
进击的小学生
09-14 2517
编写R0函数int g_a, g_b, g_c; __declspec(naked) void getParam(int a, int b, int c) { __asm { // int 3 // 取消注释可以在WinDbg中看R0栈数据 pushad // 0x20 B pushfd // 0x04 B //
10-调用
啊哈的博客
11-28 377
本节内容 调用(无参) 1、调用执行流程 指令格式:CALL CS:EIP(EIP是废弃的) 执行步骤: 根据CS的值 查GDT表,找到对应的描述符 这个描述符是一个调用. 在调用描述符中存储另一个代码选择. 选择指向的 .Base + 偏移地址 就是真正要执行的地址. 2、描述符 3、构造一个调用无参 提权) 0040EC00 000810D0 4、代码测试 步骤一:代码测试,并观察堆栈与寄存器的变化. 记录执行前的寄存器值: CS SS E
27-通过调用实现提权
网络安全
06-27 1332
参考资料:9-调用无参) 1. 什么是调用 在之前的学习中,JMP FAR指令实现代码的本质是修改CS寄存器,并不会改变程序的特权级别(即修改CPL的值),如果我们即想要实现代码和提权的话,就需要用到调用调用是CPU提供的一个功能,它允许一个3(CPL=3)的程序通过这扇“”来修改CS寄存器并实现提权到0(CPL=0),实际上调用是一个系统描述...
Java入 - 方法的使用第2关:掌握无参有返回值方法的调用
Hakuuna的博客
04-15 3169
第2关:掌握无参有返回值方法的调用 100 任务要求 参考答案 任务描述 相关知识 回顾与展望 一定不可忽视的问题 编程要求 测试说明 任务描述 定义一个方法,用来计算两课程成绩的平均值,并返回结果。 相关知识 如果方法不包含参数,但有返回值,我们称为无参带返回值的方法。 例如:下面的代码,定义了一个方法名为 numberPlus ,无参数,但返回值为 int 类型的方法,执行的操作为计算两数之和,并返回结果。 在 numberPlus() 方法中,返回值类型为 int
[windows内核]调用
r250414958的博客
07-05 685
Windows系统并没有使用调用,但是没用并不等于没有,所以我们这次主要是靠自己实现,来完成这次的探究 关于调用的说明在手册第三卷的5.83中 下面是调用描述符格式 可以看到有些值是固定的,这是调用特有的,我们来逐个看一下描述符格式里的各个意思 The segment selector field in a call gate specifies the code segment to be accessed. The offset field specifies the entry p
、GDT、调用学习笔记
qq_18811919的博客
02-06 2065
保护模式 什么是保护模式 x86 CPU的3个模式:实模式、保护模式、虚拟8086模式。 AMD64与Intel64 AMD在1999年的时候拓展了这套指令集,成为x86-64后改名叫AMD64,AMD是首先开发了64拓展,但是AMD的 64位拓展并不支持32位,后来Intel也开发了64位拓展成为Intel64并首先做到了向下兼容32位。 保护的特点 的机制、页的机制,页机制主要是为了保护操作系统的数据结构,比如保护系统的GDT表和IDT表,关键寄存器比如CR0寄存器 寄存器结构 什么是寄存
[保护模式]调用
鬼手的博客
12-01 1086
文章目录调用调用执行流程调用描述符调用实验无参调用示例代码构造调用修改GDT表执行流程中断现场有参调用示例代码构造调用修改GDT表中断现场总结 调用 调用执行流程 CALL FAR的指令格式:CALL CS:EIP(EIP是废弃的) 执行步骤: 根据CS的值 查GDT表,找到对应的描述符,这个描述符是一个调用调用描述符中存储另一个代码选择 选择指向的 ...
3-选择描述符结构
热门推荐
进击的小学生
09-14 2万+
描述符与选择的结构选择结构选择一共有16位,结构如下:| 1 | 0 | 字节 |7654321076543 2 10| 比特 |-------------|-|--| 占位 | INDEX |T|R | 含义 | |I|P | | | |L | INDEX:在GDT数组或LDT数组的索引号 TI
13-任务状态(TSS)
进击的小学生
09-24 1万+
任务状态不要被名字所吓倒,它不过是一块位于内存中的结构体而已。有一点需要注意的是,不要把它和任务切换关联起来(切记),否则你会被搞晕,它只是位于内存中的一数据。Intel 白皮书给出TSS在内存中的图是这样的,它保存了一些重要的值。 抽象成结构体就是下面这个样。struct TSS { DWORD link, // 保存前一个 TSS 选择,使用 call 指令切换寄
操作系统修炼指南——保护模式
进击的小学生
09-14 1万+
境搭建 000 实验境搭建 保护模式 001 保护模式 002 寄存器 003 选择描述符结构 004 描述符属性分析 005 特权级 006 数据权限检查 007 代码权限检查与 jmp 008 跨提权与调用 009 调用无参) 010 调用(有参) 011 中断 012 陷阱 013
2-寄存器
进击的小学生
09-14 6891
从 ds 说起 寄存器 寄存器有96位 寄存器数据来源从 ds 说起如果你稍稍懂一点汇编,当你执行下面这行代码的时候,它会把 32 位整数 5 写入到地址 0x0012f000 这个位置处。dword 就表示这是一个 double word 宽度的数,一个 word 是 16 bit.mov dword ptr ds:[0x0012f000], 5不要惊讶,不要因为不懂汇编而苦恼,接触多了,就
19-PDE-PTE
进击的小学生
10-02 6841
不知在第14篇《分页》文章里,你有没有搞懂什么是页,同时还延伸出了页表的概念。另外,还解释了逻辑地址、线性地址和物理地址之间的关系。我知道你脑可能是一团浆糊,这只能怪我的语言表达能力还不够强。大的文字让人读起来有时候很恼火,可是为了阐释问题,大文字有时候又避免不了。所以,有时候不得不砍去细支末节,压缩篇幅。为了能够强化分页的知识,本篇扼要回顾前两篇内容,精简总结几个概念之间的关系。页、
11-中断
进击的小学生
09-24 5550
除了使用调用进行提权,本篇的中断显的更加重要。因为在 Windows 中,大量使用了中断。中断的结构| 7 | 6 | 5 | 4 | 3 | 2 | 1 | 0 | 字节 |76543210|76543210|7 65 4 3210|76543210|76543210|76543210|76543210
14-TSS切换实验
进击的小学生
09-24 4483
概述前面讲述了TSS有两个功能,提权的时候切换栈,需要用到TSS,另外执行 call/jmp 访问TSS的时候,可以切换一堆寄存器。本节主要进行一个实验,来模拟第二个功能。实验思路 编写测试入口函数 构造TSS 设计TSS描述符并安装 编写测试入口函数CPU利用 TSS 切换一堆寄存器后,转而就去执行 eip 所指向的指令,为了能够让CPU执行自己的代码,我们需要编写一个测试函数,把这个函数的地
4-描述符属性分析
进击的小学生
09-14 4095
描述符结构| 7 | 6 | 5 | 4 | 3 | 2 | 1 | 0 | 字节 |76543210|7 6 5 4 3210 |7 65 4 3210|76543210|76543210|76543210|76543210|76543210| 比特 |--------|-|-|-|-|----
15-任务
进击的小学生
09-24 3761
任务上一节已经基本掌握了使用 call/jmp 去访问一个任务,来达到切换一堆寄存器的目的。但是,CPU同时又提供了另一种方法让我们访问任务——任务。而任务是安装在 IDT 表中的。之前学中断的时候,就简单介绍了IDT表中可以安装中断、陷阱,还有一个当时只是稍微提了一下,那就是任务。说白了就是想表达,IDT 表中只可以安装 3 种:中断、陷阱和任务。思考一下,既然都可以使用
用java编写带参方法计算两课程考试成绩的平均分通过方法的参数传入成绩信息
最新发布
09-19
### 回答1: 可以使用以下代码实现: ``` public class ScoreCalculator { public static double calculateAverage(double score1, double score2) { return (score1 + score2) / 2; } } ``` 在调用该方法时,可以将两课程的成绩作为参数传入,例如: ``` double score1 = 80; double score2 = 90; double average = ScoreCalculator.calculateAverage(score1, score2); System.out.println("The average score is: " + average); ``` 输出结果为: ``` The average score is: 85.0 ``` ### 回答2: 编写一个Java方法来计算两课程考试成绩的平均分,可以通过方法的参数传入成绩信息。以下是一个可能的实现: ```java public class AverageCalculator { public static double calculateAverage(double score1, double score2) { double average = (score1 + score2) / 2.0; return average; } public static void main(String[] args) { double score1 = 80.5; // 第一课程成绩 double score2 = 90.0; // 第二课程成绩 double averageScore = calculateAverage(score1, score2); System.out.println("两课程的平均分是:" + averageScore); } } ``` 上述代码定义了一个`calculateAverage`方法来接收两个成绩作为参数,并返回这两课程的平均分。在`main`方法中,我们传入两个具体的成绩数值,然后调用`calculateAverage`方法来计算平均分,并将结果打印输出。 假设第一课程的成绩是80.5,第二课程的成绩是90.0,然后通过调用`calculateAverage`方法计算得出的平均分是85.25(取小数点后两位)。 ### 回答3: Java是一种面向对象的编程语言,可以使用它编写带参方法来计算两课程的考试成绩平均分。以下是一个简单的示例: ```java public class ScoreCalculator { public static void main(String[] args) { double mathScore = 85.5; // 数学成绩 double englishScore = 78.5; // 英语成绩 double averageScore = calculateAverageScore(mathScore, englishScore); System.out.println("平均成绩为:" + averageScore); } public static double calculateAverageScore(double score1, double score2) { double average = (score1 + score2) / 2; return average; } } ``` 在这个例中,`calculateAverageScore`方法接收两个参数:`score1`和`score2`,分别表示两课程的考试成绩。方法内部计算这两课程成绩的平均值并返回。 在`main`方法中,我们定义了两个变量`mathScore`和`englishScore`作为成绩输入,然后调用`calculateAverageScore`方法,并将返回的平均分打印出来。 这样,你就可以通过方法的参数传入成绩信息,并使用带参方法来计算两课程考试成绩的平均分了。
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值