Windows内核之中断门提权

最新推荐文章于 2023-04-30 18:59:50 发布
最新推荐文章于 2023-04-30 18:59:50 发布
阅读量304 收藏 1
点赞数
分类专栏: 免费分享 技术文 文章标签: windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Appleteachers/article/details/116404336
版权

Windows内核之中断门提权

前言

    在平时三环程序下的开发中,都会用到断点,而这个断点其实就是与中断门有关联的。

1.中断门介绍
在三环程序开发中,编译器进行断点之后反汇编可以查看到,断点反汇编的形式就是 int 3。如下图,在OD中查看,这就是一个断点。

int 0x3; 其实就是查找的IDT表中,从0开始,索引为3的位置,继续看下图,通过windbg查看到int 3的段描述符。

INT段描述符对应的分解图如下:

构造中断门的高32位中的低16位的值是固定的,也就是ee00
而offset就是要跳转的函数地址(高32位中高16位和低32位中低16位)
低32位中,高16位是我们的段选择子偏移(index),查询的是GDT表

2.中断门的实现
接下来找一段空的位置,在把我们新构造的段描述符放进去。
1.构建段描述符
我们需要的两个条件,第一个是函数地址,第二个是段选择子 (index),这里我新建了一个__declspec的空函数,然后取地址即可
40100a。

第二个段选择子,我们用0008即可,就是GDT表中偏移为8的地方。

GDT表
kd> dq 80b99000
80b99000 0000000000000000 00cf9b000000ffff
80b99010 00cf93000000ffff 00cffb000000ffff
80b99020 00cff3000000ffff 80008b1e400020ab
80b9

最低0.47元/天 解锁文章
你永远不了解Thrash的魅力
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows x64中断提权 R3调用R0函数
deadpoolwilson12的博客
04-26 2066
Windows X64利用中断提权,应用层调用内核层函数
1.4 windows内核——中断,陷阱,任务
kmic1的博客
10-13 549
TSS任务状态段 一个内核一个,存在于内存中,不存在与cpu;可以让cpu同时执行多个任务。 进程A申请堆栈时要向TSS申请,申请时会有两个一个0环,一个3环的, 1.TSS结构 本质: 不要把TSS与“任务切换”联系到一起 TSS的意义就在于可以同时换掉”一堆”寄存器 段寄存器有es,cs,ds,gs,idtr,tr 那么如何找到TSS,答案是tr 从GDT表中找到tr段寄存器,selector记录着TSS段描述符,base记录TSS表位置,limit记录TSS大小 2.tr段寄存器 3. TSS
中断提权操作
weixin_34273481的博客
06-21 318
中断在idt表中 因此构造一个函数 把函数地址给它 然后产生一个中断 就实现了提权1。查看 nt!DbgBreakPointWithStatus+0x4: 83eb2110 cc int 3 kd> r idtr idtr=80b95400 2.查看表 kd> dq 80b95400 L30 80b95400 83e78e00`00085fc0...
[windows内核]中断
r250414958的博客
07-12 655
要说中断,不得不先说一个概念就是IDT表(中断描述符表),用来存放中断描述符的地方,IDT也用来存放任务,以及陷阱描述符,具体在手册中第三卷:6.11 IDT DESCRIPTORS 我们在windbg中可以使用如下指令查看idt表地址以及表的大小 下图是中断描述符的格式 字段的具体含义如下 现在我们了大概了解了中断描述符,我们再来了解一下异常和中断处理 大概意思是说 处理器对异常和中断调用的处理方式与用 CALL 指令调用例程和任务的处理十分相近。响应异常和中断时,处理器将异常或中断
1_中断提权
leibso的博客
10-22 209
1 使用pchunter查看系统中断表(中断描述符表) 1.1 那些中断处理地址内核高2GB ,所以中断处理环境坑定在0环 利用分析: 那我们把自己得处理函数放在这里面,那经过这个表调用就能获得高权限; 注意: 代码 应该把随机基址关闭,并且使用release版本,这样地址稳定一些,debug 即使不开随机基址,可能运行中 子函数的地址会因为重构(当你改变内容的时候,可能编译器判...
Windows保护模式(四)中断&陷阱
sky123博客
10-12 597
继续运行代码,成功在 test 函数断下来,并且完成提权,栈结构也与前面描述的相符。中断和调用堆栈变化的不同点是多压了一个 EFLAGS 标志寄存器,因此返回使用的是 iretd 而不是 retf。指令会平衡堆栈,而中断没有参数,因此会造成堆栈不平衡。在 IDT 表 0x100 偏移处构造一个中断,对应中断号为 0x20。在 IDT 表 0x100 偏移处构造一个陷阱,对应中断号为 0x20。Windows 系统没有使用调用,但使用了中断中断执行时,会将IF标志位清零,但陷阱不会。
中断实验(一)打印任意地址(中断提权
weixin_46625454的博客
11-15 731
idt是中断描述表,idt表包含了三种描述符:任务中断,以及陷阱 本文是通过修改idt表中的0x20号中断,增加了自己的中断 每一个idt表项中的 前2个字节+后2个字节(Offset31..16+Offset15..0=EIP)这个地址是当权限符合以后跳转到这个地址执行。 权限符合: 这里举一个例子 : mov eax, dword ptr ds : [0x8003f500] (1.找出选择子->2.查找IDT或者GDT表->3.找出描述符->4.根据描述...
7.中断
My classmates
10-11 528
Windows没有使用调用,但是使用了中断: <1>系统调用 老的CPU调用一些api从r3进入r0,就是通过中断,新的都是快速调用了 <2&am
windows x32调用/中断实现 ring3提权
不会写代码的丝丽
01-01 1125
调用是Intel提供的一个机制,用于控制不同权限级(ring0-ring3)的程序函数调用。简单点就是提供了一个ring3 调用ring0 函数的机制。在intel手册描述如下详细可参阅实现调用需要构造一个调用描述符放入GDT或者LDT中。指向代码段的段选择子,P表示是否有效,如果栈转化那么指示要从调用方栈拷贝到目标栈的word(16位)数。type固定为1100.如果调用的代码段是ring3权限(CPL),而目标调用是ring0(RPL)权限,栈区是不共享的因此需要将栈区的参数拷贝到目标栈中。
【OS学习笔记】三十五 保护模式十:中断描述符表、中断和陷阱
厚积薄发
12-18 1531
上一篇文章学习了中断与异常的概念:【OS学习笔记】三十四 保护模式十:中断和异常区别 本片文章接着学习以下内容: 中断描述符表 中断 陷阱 1 中断描述符表 我们前面讲了无数次,在实模式下,是由位于低地址的1M内存中的中断向量表存放中断过程的地址。但是在保护模式下,有一点不一样,存放中断过程地址的是中断描述符表(IDT),且中断描述符不一定位于低地址处。 顾名思义,在中断描述符表(IDT)...
27-通过调用实现提权
网络安全
06-27 1327
参考资料:9-调用(无参) 1. 什么是调用 在之前的学习中,JMP FAR指令实现代码跨段的本质是修改CS段寄存器,并不会改变程序的特权级别(即修改CPL的值),如果我们即想要实现代码跨段和提权的话,就需要用到调用。 调用是CPU提供的一个功能,它允许一个3环(CPL=3)的程序通过这扇“”来修改CS段寄存器并实现提权到0环(CPL=0),实际上调用是一个系统段描述...
int 3中断与软件调试
weixin_34066347的博客
12-11 251
摘要:平常编程调试的过程中,我们可能会有这样的疑惑:“为什么使用硬件模拟器,比如bochs调试的时候,开始设置的调试断点都不会生效?”,“断点调试的本质是什么,为什么程序能够在特定的地方停留下来?既然程序是指令流,为何CPU没有一直执行下去?”,“在软件中断的情况下,如何进行调试?”。断点和单步执行是两个经常使用的调试功能,也是调试器的核心功能。本章我们将介绍IA-32 C...
Windows内核实验001 中断提权
鬼手的博客
11-12 1227
文章目录实验环境内核提权IDT的基本知识什么是中断什么是IDT表在PC Hunter中查看IDT表中断提权的基本原理写一个三环的小程序修改IDT表提权测试 本篇文章基于周壑老师的讲解,感谢周壑老师。 实验环境 windbg双机调试环境 VS开发环境 32位 WIN7 虚拟机 内核提权 内核态的程序拥有一切权限,在Windows操作系统上,没有任何其他软件可以限制内核态的程序。如果让一个用户层的...
windows 驱动与内核调试 学习
不会写代码的丝丽
10-15 2323
一般驱动需要运行内核权限下运行(因为涉及硬件读取),比如Intel下的ring 0权限下。在windwos大量病毒和杀软为了特殊目的往往都是通过将自身升级为内核驱动方式进行运作。如果病毒程序首先进入ring 0理论上可以杀软将毫无作用。微软为了扼杀此类程序在windwo7 64位系统上会强制校验驱动程序签名,如果签名非微软认可将不会被加载。微软官方驱动学习指南。
(x86)硬件断点的原理与测试
最新发布
walker的博客
04-30 309
硬件中断的原理与测试。
x64(win10) KPTI 内核页表隔离机制
walker的博客
06-27 1045
Windows10 x64 内核页表隔离机制(KPTI)【实验】
11-中断
进击的小学生
09-24 5542
除了使用调用进行提权,本篇的中断显的更加重要。因为在 Windows 中,大量使用了中断中断的结构| 7 | 6 | 5 | 4 | 3 | 2 | 1 | 0 | 字节 |76543210|76543210|7 65 4 3210|76543210|76543210|76543210|76543210
8-跨段提权与调用
进击的小学生
10-03 3140
上一篇文章使用 jmp far 指令实现代码跨段,本质上就是改变 cs 段寄存器。但是我们发现,无论如何,jmp far 也无法更改 CPL。即使你的 RPL = 0,也是徒劳。 有没有办法更改 cs 段寄存器,同时也更改 CPL?答案是肯定的。本篇提到了调用只是其中的一种方法,还有其它方法,后文会陆续介绍。 1. 在 3 环能读取高 2G 内存吗? 回答这个问题最笨的方法就是做一个实...
win7 64位 内核安全_X64内核SMAP,SMEP浅析
weixin_39548805的博客
12-05 1001
本文为看雪论坛优秀文章看雪论坛作者ID:amzilun前言实验环境:Win10+VS2015+WDK10SMAP(Supervisor Mode Access Prevention,管理模式访问保护)和SMEP(Supervisor Mode Execution Prevention,管理模式执行保护)的作用分别是禁止内核CPU访问用户空间的数据和执行用户空间的代码,并不会因为你权限高就...
Windows保护模式学习笔记(四)—— 中断&陷阱
qq_41988448的博客
10-17 1544
Windows保护模式学习笔记(四)—— 中断/陷阱前言要点回顾中断描述符表(IDT)一、中断实验:构造一个中断第一步:初步构造参数第二步:确定 Offset in Segment第三步:将描述符写入IDT表第四步:继续执行第二步的代码二、陷阱实验:构造一个陷阱第一步:初步构造参数第二步~第四步:参考中断陷阱中断的区别: 前言 一、学习自滴水编程达人中级班课程,官网:htt...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值