IOCTLance:一款针对x64 WDM驱动程序的漏洞检测工具

于 2024-07-18 16:00:02 发布
阅读量714 收藏 25
点赞数 12
分类专栏: 工具 文章标签: 安全扫描 漏洞检测 驱动程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FreeBuf_/article/details/140525496
版权

关于IOCTLance

IOCTLance是一款针对x64 WDM驱动程序的漏洞检测工具,该工具来源于CODE BLUE 2023上展示的一个名为“使用符号执行和污点分析增强 WDM 驱动程序漏洞检测 ”的项目。该工具能够有效增强检测Windows驱动程序模型(WDM)驱动程序中各种漏洞的能力。

在对104个已知包含漏洞的WDM驱动程序和328个未知是否包含漏洞的WDM驱动程序进行全面的安全检测时,IOCTLance成功发现了26个不同驱动程序中的117个以前未发现的漏洞。扫描结果还报告了41 个CVE,其中包括25个拒绝服务漏洞、5个访问控制缺失漏洞和11个特权提升漏洞。

功能介绍

支持扫描得到目标漏洞类型

1、映射物理内存

2、可控进程句柄

3、缓冲区溢出

4、空指针引用

5、读/写可控地址

6、任意shellcode执行

7、任意wrmsr

8、任意输出

9、危险文件操作

可选自定义

1、长度限制

2、循环界限

3、总超时

4、IoControlCode 超时

5、递归

6、符号化数据部分

工具要求

angr==9.2.18

ipython==8.5.0

ipdb==0.13.9

工具下载&安装

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/zeze-zeze/ioctlance.git

切换到项目目录中,根据需求选择安装方式即可:

cd ioctlance

源码构建

dpkg --add-architecture i386

apt-get update

apt-get install git build-essential python3 python3-pip python3-dev htop vim sudo \

                openjdk-8-jdk zlib1g:i386 libtinfo5:i386 libstdc++6:i386 libgcc1:i386 \

                libc6:i386 libssl-dev nasm binutils-multiarch qtdeclarative5-dev libpixman-1-dev \

                libglib2.0-dev debian-archive-keyring debootstrap libtool libreadline-dev cmake \

                libffi-dev libxslt1-dev libxml2-dev

 

pip install angr==9.2.18 ipython==8.5.0 ipdb==0.13.9

Docker使用

docker build .

工具帮助信息

# python3 analysis/ioctlance.py -h

usage: ioctlance.py [-h] [-i IOCTLCODE] [-T TOTAL_TIMEOUT] [-t TIMEOUT] [-l LENGTH] [-b BOUND]

                    [-g GLOBAL_VAR] [-a ADDRESS] [-e EXCLUDE] [-o] [-r] [-c] [-d]

                    path

 

positional arguments:

  path                  包含待分析驱动程序的目录或文件路径

 

optional arguments:

  -h, --help            显示帮助信息和退出

  -i IOCTLCODE, --ioctlcode IOCTLCODE

                        分析指定的IoControlCode (例如:22201c)

  -T TOTAL_TIMEOUT, --total_timeout TOTAL_TIMEOUT

                        符号执行的总超时 (默认为1200, 0为不限制)

  -t TIMEOUT, --timeout TIMEOUT

                        分析每一个IoControlCode的超时 (默认为40, 0为不限制)

  -l LENGTH, --length LENGTH

                        限制LengthLimiter的指令数量 (默认为0, 0为不限制)

  -b BOUND, --bound BOUND

                        LoopSeer边界 (默认为0, 0为不限制)

  -g GLOBAL_VAR, --global_var GLOBAL_VAR

                        .data字段中的字节数据量 (默认为0 hex)

  -a ADDRESS, --address ADDRESS

                        ioctl句柄地址 (例如:140005c20)

  -e EXCLUDE, --exclude EXCLUDE

                        要排除的函数地址,用逗号分隔 (例如:140005c20,140006c20)

  -o, --overwrite       如果x.sys已被分析则覆盖x.sys.json (默认为False)

  -r, --recursion        递归检测模式 (默认为False)

  -c, --complete         获取完整的基状态 (默认为False)

  -d, --debug           分析过程中输出调试信息 (默认为False)

执行安全评估

# python3 evaluation/statistics.py -h

usage: statistics.py [-h] [-w] path

 

positional arguments:

  path        目标目录或文件路径

 

optional arguments:

  -h, --help    显示帮助信息和退出

  -w, --wdm   将WDM驱动程序拷贝至<path>/wdm

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可协议。

项目地址

IOCTLance:【GitHub传送门

参考资料

https://codeblue.jp/2023/en/

https://drive.google.com/file/d/1lEegyJ1SBB_lDts6F3W3JPySucM3nugR/view?usp=sharing

GitHub - ucsb-seclab/popkorn-artifact

GitHub - eclypsium/Screwed-Drivers: "Screwed Drivers" centralized information source for code references, links, etc.

GitHub - koutto/ioctlbf: Windows Kernel Drivers fuzzer

LOLDrivers

FreeBuf-
关注
  • 12
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
Ropdump:针对二进制可执行文件的安全检测工具
08-16 526
1、识别二进制可执行文件中的潜在 ROP 小工具。2、通过分析易受攻击的函数来检测潜在的缓冲区溢出漏洞。3、生成漏洞检测模板,加快漏洞检测过程4、通过分析内存分配函数来识别潜在的内存泄漏漏洞。5、可以打印函数名称和地址以供进一步分析。6、支持搜索特定的指令模式。
博客
Gafgyt僵尸网络针对云原生环境,SSH弱密码成GPU挖矿新目标
08-16 298
它还会执行一个蠕虫模块,这是一个基于 Go 的 SSH 扫描器,名为 ld-musl-x86,负责扫描互联网上安全性较差的服务器,并将恶意软件传播到其他系统,从而有效扩大僵尸网络的规模。值得注意的是,Gafgyt 的源代码于 2015 年初在网上泄露,进一步助长了其新版本和适应版本的出现。最新的攻击链涉及使用弱密码暴力破解 SSH 服务器,部署下一阶段有效载荷,以便使用 “systemd-net ”进行加密货币挖矿攻击,但在这一过程中,会先终止在受感染主机上运行的其他竞争性恶意软件。
博客
XMGoat:一款针对Azure的环境安全检测工具
08-15 732
XMGoat是一款针对Azure的环境安全检测工具,XM Goat 由 XM Cyber Terraform 模板组成,可帮助您了解常见的 Azure 安全问题。2、使用初始用户和服务主体凭据,根据场景流程对目标环境执行安全测试(例如,XMGoat/scenarios/scenario_1/scenario1_flow.png)。3、如果您需要安全测试帮助,请参考解决方案(例如,XMGoat/scenarios/scenario_1/solution.md)。1、运行安装程序然后开始。
博客
GitHub Actions 遭利用,14个热门开源项目令牌泄露风险激增
08-15 912
近日,有攻击者通过 CI/CD 工作流中的 GitHub Actions 工具窃取了谷歌、微软、AWS 和 Red Hat 等多个知名开源项目的 GitHub 身份验证令牌。窃取这些令牌的攻击者可在未经授权的情况下访问私有存储库、窃取源代码或向项目中注入恶意代码。Palo Alto Networks Unit 42 发现这个情况后,立刻敦促所有受到影响的企业立刻采取行动。但由于 GitHub 暂未对此有所行动,因此根本问题仍未解决。
博客
X-Recon:一款针对Web安全的XSS安全扫描检测工具
08-14 1679
1、子域名发现:检索目标网站的相关子域名并将其整合到白名单中。这些子域名可在抓取过程中使用;2、全站链接发现:根据提供的白名单和指定的max_depth收集整个网站的所有链接;3、表单和输入提取:识别提取的链接中找到的所有表单和输入,生成 JSON 输出。此 JSON 输出是利用该工具的 XSS 扫描功能的基础;4、XSS 扫描:一旦开始侦察选项返回包含提取条目的自定义 JSON,X-Recon 工具就可以启动 XSS 漏洞测试过程并为您提供所需的结果;
博客
2024年运营技术与网络安全态势研究报告:遭遇多次网络威胁的比例暴增
08-14 924
OT 对于全球各地的企业和政府而言至关重要,因为它囊括了关键基础设施、医疗保健系统和制造运营系统。OT 和 ICS 系统不可或缺的性质恰恰使它们面临更高的安全风险。据 NIST 称,OT 安全目标通常优先考虑完整性和可用性,其次是机密性,但随着 OT 网络环境的急剧恶化,组织也应将 OT 安全视为首要任务。正如《2024 年运营技术与网络安全态势研究报告》显示,有积极迹象表明,OT安全在许多组织中正趋于成熟。
博客
FreeBSD 针对OpenSSH 高危漏洞发布紧急补丁
08-13 984
近日,FreeBSD 项目的维护者针对OpenSSH 高危漏洞发布了紧急补丁。该漏洞被追踪为 CVE-2024-7589,CVSS 得分为 7.4(最高分为 10.0)。通过利用该漏洞,黑客能够在权限提升的情况下远程执行任意代码。根据上周发布的一份公告,sshd(8) 中的一个信号处理器可能会调用一个不安全的异步信号记录函数。而当客户端未在 LoginGraceTime 秒数(默认为 120 秒)内通过身份验证时,将调用该信号处理程序。
博客
PIP-INTEL:一款多功能OSINT开源情报与数据收集工具
08-13 428
PIP-INTEL的另一个重要特点是其高度可定制性。用户可以根据自己的需求配置不同的数据源和分析方法,并且可以通过自定义插件扩展其功能。这使得 PIP-INTEL成为一款适用于各种复杂情报需求的工具,无论是个人研究、企业安全分析,还是机构的情报工作。
博客
如何使用Extrude分析和检测二进制源码中的安全问题
08-12 324
当前版本的Extrude支持执行下列检测。
博客
微软披露Office最新零日漏洞,可能导致数据泄露
08-12 407
在披露该漏洞的同时,微软还表示其正在努力解决CVE-2024-38202 和 CVE-2024-21302两个零日漏洞,这些漏洞可能被利用来 "解除 "最新 Windows 系统的补丁,并重新引入旧漏洞。微软在一份公告中提到:在基于网络的攻击场景中,攻击者可以托管一个网站,或利用一个接受或托管用户提供内容的受攻击网站,该网站包含一个特制文件专门利用该漏洞。该公司还指出,虽然客户已经在所有支持版本的微软Office和微软365上得到了保护,但为了最大程度的规避安全风险,用户应在最终版本的补丁发布后立即更新。
博客
Volana:一款基于Go开发的Shell命令代码混淆工具
08-09 1486
在红队测试过程中,隐蔽性是非常重要的一个方面,许多基础设施会记录命令并实时将其发送到 SIEM,这使得事后清理部分本身毫无用处。Volana通过提供自己的 shell 运行时(输入你的命令,volana 会为你执行),提供一种在目标设备上执行的命令的隐蔽且简单的方法。因为我们希望受到保护,免受触发base64使用警报或在命令中寻找 base64 文本的系统的影响。Volana是一款功能强大的Shell命令代码混淆工具,该工具基于Go语言开发,可以帮助广大研究人员实现对Shell命令或脚本代码的混淆处理。
博客
Mandrake间谍软件再次潜入Google Play长达两年之久
08-09 1043
2020年5月,Bitdefender发布了一份白皮书,其中详细分析了一种复杂的安卓网络间谍软件Mandrake。2024年4月,卡巴斯基的研究人员发现了一个可疑样本,似乎是Mandrake的新版本。随后的分析显示,从2022年到2024年,多达5个携带Mandrake间谍软件的应用程序在Google Play上可用,总安装量已超3.2万次,却未被任何其他供应商发现。
博客
Black Hat USA 2024:微软AI助手Copilot安全隐患曝光
08-08 1384
在Black Hat USA 2024,一位研究人员披露了微软AI助手Copilot存在的多个安全隐患,攻击者能够借此漏洞窃取敏感数据和企业凭证。微软声称,通过将任务委派给AI助手Copilot,每天可以节省数百小时的工作时间。Copilot是微软在2023年2月推出的AI驱动助手,它允许企业构建和训练自己的AI助手,使得微软应用程序中的任务自动化。Copilot基于大型语言模型,能够接受文本、图像和语音输入,并在新的Windows 11 PC和Copilot PC上运行。
博客
Ashok:一款多功能开源网络侦查OSINT工具
08-08 1399
2、Google Dorking(无限制)3、Github信息收集/爬取4、子域名识别功能5、内容管理系统/开发技术检测(支持自定义Header)
博客
揭秘新型安卓间谍软件LianSpy的攻击手段
08-07 481
Kalinin表示:“除了收集通话记录和应用列表等标准间谍行为外,它还利用root权限进行隐蔽的屏幕录制,避开安全检查,其依赖重命名的su二进制文件,暗示了初次入侵后的二次感染。目前尚不清楚该间谍软件的传播方式,但卡巴斯基推测,它可能是通过未知的安全漏洞或是直接接触目标手机来部署的,这些带有恶意软件的应用程序看起来像是支付宝或安卓系统的一个服务。并且,收集的数据以加密形式存储在SQL数据库中,指定记录类型和SHA-256哈希值,只有拥有相应私有RSA密钥的攻击者才能解密窃取的信息。
博客
Apache OFBiz 曝出严重漏洞,允许预身份验证 RCE
08-06 620
近日,研究人员发现 Apache OFBiz 中存在一个新的关键漏洞,该漏洞是 Apache OFBiz 中的一个错误授权问题,被追踪为CVE-2024-38856。SonicWall 的安全研究员 Hasib Vhora 与其他安全专家在公告中写道:如果满足某些先决条件,如屏幕定义没有明确检查用户的权限,因为它们依赖于终端的配置,那么未经验证的终端可能允许执行屏幕的屏幕渲染代码。该问题源于身份验证机制中的一个漏洞,它允许未经身份验证的用户访问通常仅限已登录用户使用的功能,从而可能导致远程代码执行。
博客
CyberChef:用于加密、编码、压缩和数据分析的网络瑞士军刀
08-06 903
1、解码 Base64 编码的字符串2、将日期和时间转换为不同的时区3、解析 Teredo IPv6 地址4、从十六进制转储转换数据,然后解压缩5、解密并反汇编 shellcode6、将多个时间戳显示为完整日期7、对不同类型的数据进行不同的操作8、使用输入的部分作为操作的参数9、执行 AES 解密,从密码流的开头提取 IV10、自动检测多层嵌套编码。
博客
如何使用pwned检测自己是否已被渗透或数据泄露
08-05 1050
pwned是一款功能强大的网络安全检测工具,该工具基于命令行实现,可以帮助广大安全研究人员检测自己的设备系统是否已被渗透,或发生了数据泄露。pwned ba 获取帐户(用户名或电子邮件地址)的所有数据泄露。pwned pa 获取账户(电子邮件)中的所有数据。pwned breaches 获取所有的数据泄露信息。其他命令不需要 API 密钥,我们可以在不获取密钥的情况下使用它们。
博客
攻击者正滥用Cloudflare隧道传播恶意软件并逃避检测
08-05 277
攻击的最初载体是一封包含 ZIP 压缩文件的网络钓鱼电子邮件,该压缩文件包含一个 URL 快捷方式文件,可将收件人引向一个的WebDAV 服务器上的 Windows 快捷方式文件,该服务器由 TryCloudflare 托管代理。去年,Sysdig首次记录了利用TryCloudflare进行恶意攻击的情况,一个被称为LABRAT的加密劫持和代理劫持活动通过GitLab中一个现已打补丁的关键漏洞,利用Cloudflare隧道渗透目标并掩盖其命令与控制(C2)服务器。
博客
Radamsa:一款高性能通用模糊测试工具
08-02 1242
默认情况下,如果未指定特定的随机状态,Radamsa将从 /dev/urandom 中获取随机种子,并且每次启动时通常都会看到不同的结果,但对于较小的输入,可能会经常看到相同的结果或原始结果。其目标是无论程序处理哪种数据(无论是xml还是mp3),都能发现问题,反之,如果找不到错误,则意味着其他类似工具可能也找不到。Radamsa是一款高性能的通用模糊测试工具,广大研究人员可以将其当作一个应用程序稳定性测试的测试用例生成工具。工具无法保证所有的输出都是唯一的,但相同的输出结果情况还是很罕见的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值