10-调用门(有参)实验

最新推荐文章于 2022-07-07 15:30:14 发布
最新推荐文章于 2022-07-07 15:30:14 发布
阅读量2.5k 收藏 3
点赞数 2
分类专栏: OS 学习笔记 OS修炼指南之保护模式 文章标签: 保护模式 调用门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q1007729991/article/details/52542296
版权

上一篇重点讲解了没有参数的调用门实验,本节讲解有参数的调用门实验。

1. 编写R0函数

int g_a, g_b, g_c;
__declspec(naked) void getParam(int a, int b, int c) {
	__asm {
		// int 3 // 取消注释可以在WinDbg中看R0栈数据
		pushad // 0x20 B
		pushfd // 0x04 B
		//             .- 8 个通用寄存器和标志寄存器占用大小
		//             |     .- cs 和 eip 占用大小
		//             |     |
		mov eax, [esp+0x24+0x08+0x08] // 参数 a
		mov g_a, eax
		mov eax, [esp+0x24+0x08+0x04] // 参数 b
		mov g_b, eax
		mov eax, [esp+0x24+0x08+0x00] // 参数 c
		mov g_c, eax
		popfd
		popad
		retf 0x0c
	}
}
int main(int argc, char* argv[])
{
	// 构造cs:eip
	char cs_eip[6] = {0, 0, 0, 0, 0x48, 0};
	__asm {
		push 1
		push 2
		push 3
		call fword ptr [cs_eip];
	}
	printf("g_a = %d\ng_b = %d\ng_c = %d\n", g_a, g_b, g_c);
	return 0;
}

2. 记录getParam函数地址

这里写图片描述

可以看到地址为 0x00401020

3. 构造带3个参数的调用门描述符

调用门描述符结构:

|   7    |     6  |     5     |    4    |   3    |   2    |   1    |   0    |  字节
|76543210|76543210|7 65 4 3210|765 43210|76543210|76543210|76543210|76543210|  比特
|-----------------|1|--|0|1100|000|-----|--------|--------|--------|--------|  占位
|offset in segment|P|D |S|TYPE|   |param|segment selector |offset in segment|  含义
|     31-16         |P |          |nums |                 |       15-0      |
                    |L |

注意有些比特位是固定的。

根据调用门描述符结构,可以构造出描述符 0040ec03`00081020,然后安装到gdt表的8003f048的位置。

这里写图片描述

4. 执行结果

这里写图片描述

5. 查看R0栈数据

这里需要取消 int 3那行注释,这样会在 WinDbg 下中断。可以看到CS/SS都已经是R0的段了,esp也指向了高2G的地址。(为什么会这样?CPU需要始终保持 cs 中的 CPL 和 ss 中的 CPL 一致)

这里写图片描述

可以看到这时候 esp 的值为 0xb2391dc4,去看一下栈内存数据

这里写图片描述

6. 总结

当使用调用门进行提权的时候,程序由3环进入0环,这时候需要切换栈,也就是说要更改 ss 段选择子和 esp 的值。这时候 CPU 会自动的帮我们把原始 3 环的 ss, esp, 参数(如果有的话), cs 和 eip 复制到这个 0 环栈中去。

一定要注意,这是 CPU 自动帮我们做的事情,和 OS 没有任何关系。

引起注意的地方是,切换栈,需要 0 环 ss 段选择子和 esp ,这些值 CPU 是如何找到了呢?这个问题先放在这儿,后续文章解决会揭晓答案。这里,只给出一个线索——TSS.

--Allen--
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
调用实战(2)----调用特权级转移理论篇
金俊小筑
11-20 1194
<br /> <br />假设我们想由代码段A转移到代码段B,运用一个调用G,调用G中的目标选择子指向代码B的段。这里有几个要素:CPL、RPL、代码B得DPL(DPL_B)、调用G的DPL(DPL_G)。A访问调用G是,要求CPL和RPL都小于等于DPL_G。即CPL和RPL需要在更高的特权级上。<br /> <br />除了上面一步符合要求之外,系统还将比较CPL和DPL_B。如果一致代码段的话,要求DPL_B<=CPL;如果非一致代码段的话,call指令和jmp指令有所不同。call指令要求D
调用
guocaigao的专栏
01-11 2450
,顾名思义它是一扇通向令一个地方,看一下的结构里面有一个描述符和一个偏移值,中定义了这扇通向的目的地,当我们调用一个的时候会到达这个地方: 中的选择子:中的偏移值,也即下图的selector:offset 这是我们代码中国定义的的数据结构: #define Gate(Selector,Offset,PCount,Attr)\ .2byte (Offset&0xff
6.调用
My classmates
10-11 694
1、调用执行流程指令格式: CALL CS:EIP(EIP是废弃的)cs:真正执行的代码下面解释 执行步骤:. 1)根据CS的值查GDT表,找到对应的段描述符,这个描述符是一个调用 2)在调用描述符中存储另一个代码段段的选择子 3)选择子指向的段 ,段.Base +偏移地址就是真正要执行的地址. 当s位为0的时候说明是系统描述符了, type域为1100这时后就是一个描述符。 它的低16...
使用调用
weixin_34268843的博客
03-05 160
要注意gdt的第一项是0,不能使用。然后看gdt中那一项的p位没有置位,再添加一个调用描述符。描述符的offset指向需要被ring3程序调用的ring0函数地址。DPL为3。当然selector权限也需要是3。描述符中的selector应是0x8,说明是ring0下code段。驱动通过DeviceIoControl传递给ring3程序调用的selector,当然也可以通过文件注册表之类的。不...
通过调用进行控制转移 ——《x86汇编语言:从实模式到保护模式》读书笔记29
车子(chezi)
05-10 2856
通过调用进行控制转移 1.关于堆栈切换 2.通过调用进行控制转移和返回的具体过程
调用介绍
weixin_45678798的博客
07-07 849
调用为不同特权级间的进程控制提供了便利,他们一般只用在操作系统中或使用特权级保护机制的程序里;
8.调用
qq_35129925的博客
03-04 227
调用提权,在R3实现R0的权限。 一、调用的执行流程 满足以下条件的描述符才是调用 1. S=0 必须是系统段 2.TYPE 是1100的样式 调用的选择子是低四字节的16-31位 调用的(高16-31位)+(低0-15位)+(调用的选择子的BASE)=真正执行的地址 ...
特权级3(调用
wswupeng的专栏
05-11 2683
特权级3——调用  http://blog.chinaunix.net/u/15262/showart_294956.html调用的作用gate简单来说可以想象成政府为人民提供的一个政府诉求中心,它可以集中收集人民对政府的要求和投诉,然后把这些诉求发给相关的政府部来处理。
什么是调用
、moddemod
09-07 746
调用 通过GDT表查询 任务 中断 陷阱 通过IDT表查询 其实就是一种转换机构,这里谈到的各种概念都是针对CPU的,人家intel工程师就是这样设计的一套理念,你只需要理解即可。保护模式之所以称之为保护模式,重在保护二字,因为在保护模式的前一个版本实模式下,所有的不管是系统的数据还是用户的数据都是混在一块的,如果你一个不小心改写了某块系统部分的数据,结果就是系统直接崩溃! 这显示是很不可取的,所以intel后来设计了保护模式,所谓保护可以理解为保护操作系统不受用户轻易破坏! 本质还是一样的,所
一个调用源码很好理解
03-30
一个调用的例子。比较容易上手,让大家理解调用
[保护模式]调用
鬼手的博客
12-01 1086
文章目录调用调用执行流程调用描述符调用实验调用示例代码构造调用修改GDT表执行流程中断现场有调用示例代码构造调用修改GDT表中断现场总结 调用 调用执行流程 CALL FAR的指令格式:CALL CS:EIP(EIP是废弃的) 执行步骤: 根据CS的值 查GDT表,找到对应的段描述符,这个描述符是一个调用调用描述符中存储另一个代码段的段选择子 选择子指向的段 段...
10-调用
啊哈的博客
11-28 377
本节内容 调用(无) 1、调用执行流程 指令格式:CALL CS:EIP(EIP是废弃的) 执行步骤: 根据CS的值 查GDT表,找到对应的段描述符 这个描述符是一个调用. 在调用描述符中存储另一个代码段段的选择子. 选择子指向的段 段.Base + 偏移地址 就是真正要执行的地址. 2、描述符 3、构造一个调用(无 提权) 0040EC00 000810D0 4、代码测试 步骤一:代码测试,并观察堆栈与寄存器的变化. 记录执行前的寄存器值: CS SS E
调用详解
H888001的博客
09-25 879
1. 调用描述符的格式 调用用于在不同特权级之间实现受控的程序控制转移,通常仅用于使用特权级保护机制的操作系统中。本质上,它只是一个描述符,一个不同于代码段和数据段的描述符,可以安装在GDT或者LGT中,但是不能安装在IDT(中断描述符表)中。 注意:Linux Kernel 0.12 中并没有用到调用。 上图就是调用描述符的格式(图片来自赵炯的《Linux内核完全剖析》)。 调用描...
调用学习
一位非著名不专业的Re选手
03-02 325
构造调用 根据上图我们可以看到调用段描述符的结构,没有base和limit,变成了偏移地址和代码段的段选择子,根据代码段的段选择子可以查GDT表得到代码段的base,加上偏移就得到了需要被调用的地址。此时type的值为c表示32位的调用, param Count为数个数, P位是存在位,为1时有效。 DPL表示调用的特权级,用于指定通过调用访问特定过程所要求的特权级 接下来编写测试代...
(4) [保护模式]调用
qq_50332504的博客
02-25 744
不一样的call ==> call far call far 使用 调用 进行提权,观察寄存器和堆栈的变化 使用带数的调用,并观察堆栈变化 关键字: 调用数的调用
11.[保护模式]调用
diheqiu3577的博客
07-17 174
1.调用执行流程   指令格式:CALL CS:EIP(EIP是废弃的) 执行步骤:   根据CS的值查GDT表,找到对应段描述符,这个描述符是一个调用调用描述符中存储另一个代码段段的选择子 选择子指向的段 ,段.BASE +偏移地址 就是真正执行的地址 2.描述符 S位一定是0; 只有为0 才是系统段描述符 TYPE位为1100的...
调用描述符
For Geek
04-22 1343
描述符跟段描述符的结构不同。 1. 它指定要访问的代码段(选择子)。 2. 它定义了在指定代码段例程的入口点(偏移)。 3. 它指定了调用者尝试去访问例程所需要的特权级(DPL 这里是访问者所要具备的特权级)。 4. 如果发生了栈切换,它指定了拷贝到新栈的可选数的数量(5位最多32个)。 5. 它定义了push到目标栈的值的大小:16位强制16位push,32位强制32位p...
段使用时相关的检查与调用实验
kernweak的博客
04-26 271
段类型检查 加载段选择符进入段寄存器时候 CS只能存放可执行的选择符 不可读可执行不能被加载到数据段寄存器 只有可写的数据段才能加载到SS 段权限检查 当给段寄存器赋值,实际是从GDT中获取相应的段描述符加载到段寄存器的不可见部分。这个时候有个权限检查,有三个概念: CPL:当前代码执行权限 DPL:存在段描述符中,描述访问本段内存需要的权限 RPL:存在于段寄存器加载时的段选择子...
java调用父类有构造方法
最新发布
05-24
在 Java 中,如果子类的构造方法没有显式地调用父类的构造方法,则会默认调用父类的无构造方法。如果父类没有无构造方法,则需要在子类的构造方法中显式地调用父类的有构造方法。 调用父类有构造方法的方法是使用 super 关键字,并将需要传递给父类构造方法的数传递给 super 关键字。例如: ```java public class Parent { private int value; public Parent(int value) { this.value = value; } } public class Child extends Parent { public Child(int value) { super(value); } } ``` 在上面的例子中,子类 Child 中的构造方法显式地调用了父类 Parent 的有构造方法,并将需要传递给它的数传递给 super 关键字。这样就可以在子类中使用父类的有构造方法了。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值