9-调用门(无参)

最新推荐文章于 2024-08-07 13:04:47 发布
最新推荐文章于 2024-08-07 13:04:47 发布
阅读量3.7k 收藏 6
点赞数 10
分类专栏: OS 学习笔记 OS修炼指南之保护模式 文章标签: 操作系统 调用门 保护模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q1007729991/article/details/52537782
版权

1. 概述

本篇,将真正的实现提权——当前特权级从 3 变为 0.

当然,CPU 不会让你就这么简单的从 3 环跨到 0 环。但是,CPU 又必须提供一套方法,来让你完成这个功能。

前面讲过。DPL = 0 的非一致代码段,是绝对不允许不同特权级的程序跳转进来。可是,我给以给你开个后门,让你进来,然后给你最高权限,允许你胡作非为。

这个后门,必须由我(操作系统)来指定,而且只允许你跳转到我指定的地方。

2. 调用门

前面做过 jmp 跨段实验,但是 jmp 跨段后,权限是不会变的。CPU 提供给了我们另一种方法——调用门,来达到提权的目的。可以使用 call + 调用门的段选择子,来达到提权的目的。通过调用门,可以让 3 环程序进入 0 环,也就是由用户态变成内核态。

  • call far 指令格式
call far cs:eip

由于在 VC6.0 中不支持这种写法,所以可以写成下面这种形式。(buffer是一个长度为6字节的缓冲区,高2字节存放 cs 段选择子,低 4 字节存放偏移值。)

__asm {
  call fword ptr [buffer]
}

实际上,call far 后面跟的 eip 已经废弃。

下面的实验演示了如何读取高 2G 内存。

3. 编写 r0 函数 getData

  • 该函数将运行在ring 0下,因为其中读取了高2G内存数据。
  • 在 main 函数执行长调用,注意VC6.0 不能直接写 call 0x48:0,编译不通过
#include <windows.h>
#include <stdio.h>

WORD g_cs0, g_ss0, g_ds0, g_es0, g_fs0, g_gs0;
DWORD r0_data_lowdword, r0_data_hidword;

__declspec(naked) void getData() {
	__asm {
		pushfd
		pushad
		mov g_cs0, cs
		mov g_ss0, ss
		mov g_ds0, ds
		mov g_es0, es
		mov g_fs0, fs
		mov g_gs0, gs
		mov eax, 0x8003f048
		mov eax, [eax]
		mov r0_data_lowdword, eax
		mov eax, 0x8003f04c
		mov eax, [eax]
		mov r0_data_hidword, eax
		popad
		popfd
		retf
	}
}

void printData() {
	printf("g_cs0=%02x\ng_ss0=%02x\ng_ds0=%02x\ng_es0=%02x\ng_fs0=%02x\ng_gs0=%02x\nr0_data(0x8003f048)=%08x %08x\n", 
		g_cs0, g_ss0, g_ds0, g_es0, g_fs0, g_gs0, r0_data_hidword, r0_data_lowdword);
}

int main(int argc, char* argv[]) {
	char cs_eip[6] = {0, 0, 0, 0, 0x48, 0};// 这里的 eip 被废弃
	__asm {
		call fword ptr [cs_eip]
	}
	printData();
	getchar();
	return 0;
}

有一点需要注意的是,call far 函数指令的格式虽然是 call far cs:eip,但是这后面的 eip 已经被废弃。而真正的 eip 是填写到了调用门中。

4. 查看函数 getData 地址

  • 在 main 函数第一行下断点,F5 运行调试,然后在函数 getData 中右键,查看反汇编
    这里写图片描述

5. 构造调用门描述符

  • 调用门描述符结构
|   7    |     6  |     5     |    4    |   3    |   2    |   1    |   0    |  字节
|76543210|76543210|7 65 4 3210|765 43210|76543210|76543210|76543210|76543210|  比特
|-----------------|1|--|0|1100|000|-----|--------|--------|--------|--------|  占位
|offset in segment|P|D |S|TYPE|   |param|segment selector |offset in segment|  含义
|     31-16         |P |          |nums |                 |       15-0      |
                    |L |
  • 函数地址是 00401030,构造的调用门描述符是 0040ec00`00081030
  • 在 WinDbg 调试器中,执行 eq 命令安装描述符
    这里写图片描述

6. 运行结果

这里写图片描述

7. 总结

调用门虽然是 CPU 提供给使用者提权的一种手段,但是 Windows 中却并未使用。在 Windows 中,大量使用了中断门来进行提权,包括后面的系统调用,都是采用中断的方式实现。

另外,所谓的后门,其实有很多,比如中断门,陷阱门,任务门。它们都可以实现提权。后续文章会陆续讲解。

--Allen--
关注
专栏目录
WINDOWS调用驱动
11-16
windows 调用示例 使用DDK编译。。。
调用
guocaigao的专栏
01-11 2480
,顾名思义它是一扇通向令一个地方,看一下的结构里面有一个描述符和一个偏移值,中定义了这扇通向的目的地,当我们调用一个的时候会到达这个地方: 中的选择:中的偏移值,也即下图的selector:offset 这是我们代码中国定义的的数据结构: #define Gate(Selector,Offset,PCount,Attr)\ .2byte (Offset&0xff
windows内核-调用的实现02
最新发布
zhyjhacker的博客
08-07 745
调用无参的实现提示:以下是本篇文章正文内容,下面案例可供参考一、windbg查看GDTR表,查看cs=1b即18出的描述符00cffb000000ffff5.4调用用指令eq 修改C0处用于构建调用,还要修改c8处的内容,从1B中复制过来,调用要跳到C8处指向1,这里如果不进行调用的调整,指向是没法执行的,如果大家不装windbg本代码,执行汇报05从错误2,本套课程需要有汇编基础。
通过调用进行控制转移 ——《x86汇编语言:从实模式到保护模式》读书笔记29
车子(chezi)
05-10 2898
通过调用进行控制转移 1.关于堆栈切换 2.通过调用进行控制转移和返回的具体过程
使用调用
weixin_34268843的博客
03-05 171
要注意gdt的第一项是0,不能使用。然后看gdt中那一项的p位没有置位,再添加一个调用描述符。描述符的offset指向需要被ring3程序调用的ring0函数地址。DPL为3。当然selector权限也需要是3。描述符中的selector应是0x8,说明是ring0下code。驱动通过DeviceIoControl传递给ring3程序调用的selector,当然也可以通过文件注册表之类的。不...
windows内核-调用的实现
zhyjhacker的博客
07-02 691
调用无参的实现提示:以下是本篇文章正文内容,下面案例可供参考一、windbg查看GDTR表,查看cs=1b即18出的描述符00cffb000000ffff5.4调用用指令eq 修改C0处用于构建调用,还要修改c8处的内容,从1B中复制过来,调用要跳到C8处指向。
java怎么无参构造方法_Java中如何在无参构造方法中调用有参构造?
weixin_39593961的博客
02-16 4315
展开全部一般正常的都是参数多的调用参数少的。有参数的调用无参数的居e68a843231313335323631343130323136353331333365643537多。当然你要无参调用的参的也可以。你用无参调用有参的。那你有参的参数你需要怎么传呢。当然如果换一个角度也可以。我手写下。没经过IDE的。提供下思路。我有两种思路,写同一个功能。public class Person{privat...
Matlab实现GA-GRU遗传算法优化控循单元的数据多输入单输出回归预测(完整源码和数据)
03-27
`main.m`文件应该是整个项目的入口,它调用其他函数进行模型的训练、评估和优化。`GA.m`实现了遗传算法的核心逻辑,`Mutation.m`和`Cross.m`分别对应变异和交叉操作,这两个操作是GA的关键步骤,用于保持种群多样性...
《Armv8/armv9架构入指南》-【第十四章】多核处理器
baron-周贺贺-代码改变世界ctw
07-10 592
ARMv8-A 架构为包含多个处理元素的系统提供了重要级别的支持。 ARM 多核处理器(例如 Cortex-A57MPCore 和 Cortex-A53MPCore 处理器)可以包含一到四个内核。使用 Cortex-A57 或 Cortex-A53 处理器的系统几乎总是以这种方式实现。多核处理器可能包含多个能够独立执行指令的内核,这些内核可以被视为单个单元或集群。 ARM 多核技术使集群中的四个组件内核中的任何一个都可以在不使用时关闭以节省电力,例如当设备负载较轻或处于待机模式时。当需要更高的性能时,每个处
什么是调用
、moddemod
09-07 817
调用 通过GDT表查询 任务 中断 陷阱 通过IDT表查询 其实就是一种转换机构,这里谈到的各种概念都是针对CPU的,人家intel工程师就是这样设计的一套理念,你只需要理解即可。保护模式之所以称之为保护模式,重在保护二字,因为在保护模式的前一个版本实模式下,所有的不管是系统的数据还是用户的数据都是混在一块的,如果你一个不小心改写了某块系统部分的数据,结果就是系统直接崩溃! 这显示是很不可取的,所以intel后来设计了保护模式,所谓保护可以理解为保护操作系统不受用户轻易破坏! 本质还是一样的,所
调用介绍
weixin_45678798的博客
07-07 874
调用为不同特权级间的进程控制提供了便利,他们一般只用在操作系统中或使用特权级保护机制的程序里;
8.调用
qq_35129925的博客
03-04 247
调用提权,在R3实现R0的权限。 一、调用的执行流程 满足以下条件的描述符才是调用 1. S=0 必须是系统 2.TYPE 是1100的样式 调用选择是低四字节的16-31位 调用的(高16-31位)+(低0-15位)+(调用选择的BASE)=真正执行的地址 ...
调用的定义+调用
weixin_30341745的博客
08-28 171
【0】写在前面 0.1)本代码,添加了描述符的相关代码,旨在说明 怎样 对转移的目标 进行定义,调用; 0.2)本文 只对 与 相关的 代码进行简要注释,言简意赅; 0.3)文末总结是干货(from orange’s implemention of a os),前面代码仅供参考的,且source code from orange’s implementio...
10-调用
啊哈的博客
11-28 382
本节内容 调用(无参) 1、调用执行流程 指令格式:CALL CS:EIP(EIP是废弃的) 执行步骤: 根据CS的值 查GDT表,找到对应的描述符 这个描述符是一个调用. 在调用描述符中存储另一个代码选择. 选择指向的 .Base + 偏移地址 就是真正要执行的地址. 2、描述符 3、构造一个调用无参 提权) 0040EC00 000810D0 4、代码测试 步骤一:代码测试,并观察堆栈与寄存器的变化. 记录执行前的寄存器值: CS SS E
6.调用
My classmates
10-11 722
1、调用执行流程指令格式: CALL CS:EIP(EIP是废弃的)cs:真正执行的代码下面解释 执行步骤:. 1)根据CS的值查GDT表,找到对应的描述符,这个描述符是一个调用 2)在调用描述符中存储另一个代码选择 3)选择指向的.Base +偏移地址就是真正要执行的地址. 当s位为0的时候说明是系统描述符了, type域为1100这时后就是一个描述符。 它的低16...
11.[保护模式]调用
diheqiu3577的博客
07-17 184
1.调用执行流程   指令格式:CALL CS:EIP(EIP是废弃的) 执行步骤:   根据CS的值查GDT表,找到对应描述符,这个描述符是一个调用调用描述符中存储另一个代码选择 选择指向的.BASE +偏移地址 就是真正执行的地址 2.描述符 S位一定是0; 只有为0 才是系统描述符 TYPE位为1100的...
特权级3(调用
wswupeng的专栏
05-11 2689
特权级3——调用  http://blog.chinaunix.net/u/15262/showart_294956.html调用的作用gate简单来说可以想象成政府为人民提供的一个政府诉求中心,它可以集中收集人民对政府的要求和投诉,然后把这些诉求发给相关的政府部来处理。
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值