2345内核拒绝服务漏洞(1)

最新推荐文章于 2022-05-11 15:02:47 发布
最新推荐文章于 2022-05-11 15:02:47 发布
阅读量320 收藏
点赞数
分类专栏: 原创 Windows 文章标签: 漏洞分析 2345 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/angelxf/article/details/101520155
版权

概述

已经快2个月了吧,已经忘了是什么原因突然搞起了驱动漏洞,反正就是很有兴致地想挖掘一下驱动漏洞。

在网上了解了基本的驱动漏洞挖掘方法,主要是通过ioctl接口进行挖掘,已经有很多相关fuzz工具了,比如ioctlbfkDriver-Fuzzer等等。

kDriver-Fuzzer的作者k0keoyo在2017年收获了100多个CVE,很牛逼啊,这个已经2018年了,再来挖此种类型的驱动是不是已经晚了啊,心中苦涩啊。

不过毕竟也写了几年驱动程序了,不搞搞怎么也说不过去啊,所以开始干!

初学者嘛,还是找软柿子捏捏,什么微软、卡巴、小红伞、360、管家先还是别想了,很巧的知道了2345安全软件(此处想笑,毕竟为我贡献了不少…),先啥也不管,IDA一番…

很不幸的,没多久2345就被我弄翻了,嗯,听说该公司年代也挺久了,咋这么…

经过俩周手工和工具的连番蹂躏,发现2345安全软件驱动共10多个内核拒绝服务漏洞(某些也许可提权),也第一次感受到了拿CVE的感觉(其实怎么感觉都有点waterwater的)…

好,前言胡扯差不多就到这里了,本系列将拿2345中几个典型的原因造成的安全漏洞进行一番分析,希望对和我一样的初学者有一定帮助。

哦,当然,在连番联系2345客服催促之后,2345终于修复了所有漏洞,所以我才等到这个时候分享文章,分析一些细节应该对他们没什么影响了吧(不过,我可没有所有的都重新验证一遍,申明一下,大家不要拿来干坏事,出事了我概不负责!)

漏洞概况

2345安全软件的驱动2345NetFirewall.sys在ioctl(0x00222014)接口处理中,对输入数据校验不严格,可构造数据中包含非法地址导致访问违例,然后bsod拒绝服务。

漏洞分析

在IRP_MJ_DEVICE_CONTROL处理函数中,对0x222014接口进行处理时如下所示:

img

InputBuf是应用层传入的输入缓存内容,校验InputBuf是否为空,长度是否超过8字节,然后在memcpy位置直接取InputBuf第一个字段(0偏移)作为目标地址拷贝内容进去,这里未校验第一个字段值作为内存地址的合法性。

看到这里是不是有什么邪恶的想法了,把该字段置0,那么memcpy(0, xx, xx)不就bsod了。嗯,有点想多了,2345还是受过一些伤害做过一些自我修复的。

看下面,该段代码有异常处理保护,so,0地址bsod不成了(确认该处在3.6版本时被人法克了的,所以补了一下)。

img

既然0不行,那么其他地址还是可以的嘛,比如某些内核地址0x80000000,或者nt!HalDispatchTable(某些提权方式使用的地址)。

用下面的poc代码尝试了一下,bsod!

ctlcode = 0x222014;
NETFW_IOCTL_222014 buf_222014 = {0};
buf_222014.size = 1;
buf_222014.ptr = (DWORD*)0x80000000; //非法内核地址
if(!DeviceIoControl(h, ctlcode, &buf_222014, sizeof(NETFW_IOCTL_222014), &buf_222014, sizeof(NETFW_IOCTL_222014), &BytesReturned, NULL)) {
	printf("[-] DeviceIoControl %x error: %d\n", ctlcode, GetLastError());
}

kd> dd 80000000
80000000  ???????? ???????? ???????? ????????
80000010  ???????? ???????? ???????? ????????

至此,该内核拒绝服务漏洞验证成功,替换未其他内核地址还是有希望提权的,这里不在深入研究。

结语

看完整篇,其实知道该漏洞真的很明显,很弱B是吧。但是基于某些原因(门槛?漏洞价值?),内核驱动这方面受到的关注较少,所以被虐的少了,开发人员重视程度也不够,所以对于参数的校验上就没那么认真严谨了!所以留下了这种弱X的洞洞被我捡漏。

当然,前面提到2345在3.6版本中已经被人干过,所以还是做了一定的工作的,除了加入了异常保护代码,对于ioctl接口调用也加入了一定的限制和校验。所以poc不是直接就调用接口就成功触发bsod的,而做了一定的前期工作来应对2345做的限制和保护。

这里不是重点,大致讲一下。在IRP_MJ_DEVICE_CONTROL处理函数中,首先会校验调用接口的进程是否在缓存的白名单进程中,但是呢2345又提供了ioctl接口来添加进程到白名单中,对该接口也没做什么其他的校验,所以很随意的调用成功,把自己的poc进程加入了白名单中,然后再调用漏洞接口触发bsod,完成!

另外,如果有兴趣也研究一些驱动此类漏洞的,并且对驱动编程不是很了解的,建议可以先简单学习一下简单驱动编写模板、ring3和ring0通信方式、驱动设备等等内容,推荐可以看看《Windows驱动开发技术详解》相关章节内容。

该系列后续会继续分析其他原因引起的漏洞,如有兴趣,敬请期待!

anhkgg
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
驱动程序FUZZ工具 Kdriver
07-21
作者:k0shl ####一些环境说明: 编译环境:Windows 10 x64 build 1607 项目IDE:VS2013 测试环境:Windows 7 x86、Windows 10 x86 build 1607 参数介绍: "-l" :开启日志记录模式(不会影响主日志记录模块) "-s" :驱动枚举模块 "-d" :打开设备驱动的名称 "-i" :待Fuzz的ioctl code,默认从0xnnnn0000-0xnnnnffff "-n" :在探测阶段采用null pointer模式,该模式下极易fuzz 到空指针引用漏洞,不加则常规探测模式 "-r" :指定明确的ioctl code范围 "-u" :只fuzz -i参数给定的ioctl code "-f" :在探测阶段采用0x00填充缓冲区 "-q" :在Fuzz阶段不显示填充input buffer的数据内容 "-e" :在探测和fuzz阶段打印错误信息(如getlasterror()) "-h" :帮助信息 ####常用Fuzz命令实例: kDriver Fuzz.exe -s 进行驱动枚举,将CreateFile成功的驱动设备名称,以及部分受限的驱动设备名称打印并写入Enum Driver.txt文件中 kDriver Fuzz.exe -d X -i 0xaabb0000 -f -l 对X驱动的ioctl code 0xaabb0000-0xaabbffff范围进行探测及对可用的ioctl code进行fuzz,探测时除了正常探测外增加0x00填充缓冲区探测,开启数据日志记录(如增加-u参数,则只对ioctl code 0xaabb0000探测,若是有效ioctl code则进入fuzz阶段) kDriver Fuzz.exe -d X -r 0xaabb1122-0xaabb3344 -n -l 对X驱动的ioctl code 0xaabb1122-0xaabb3344范围内进行探测,探测时采用null pointer模式,并数据日志记录
Tomcat源码阅读之底层IO封装(1)InternalNioInputBuffer的分析
fjs的专栏
03-28 3043
最近读代码的节奏很慢,。。在HttpPrcoessor部分已经停滞了挺久的时间了。。 可能它设计到的东西还是挺多的吧。。。 今天写的是InternalNioInputBuffer类型的分析,它算是Tomcat对IO封装部分的一个十分重要的环节了,可以将其理解为用于沟通底层socket与上层servletInputStream的中间层。。。而且InternalNioInputBuffer中还实现
IOCTL Fuzzer 使用说明
zfs2008zfs的博客
06-16 2112
IOCTL Fuzzer ver. 1.3使用说明 最近在进行驱动测试时开始接触这些工具,使用过程中有一些困惑,可惜网上这方面的资料实在有限,自己摸索了一些使用方法。
.net oa 用到那些技术_【转载】内核漏洞挖掘技术系列(1)——trinity
weixin_39710951的博客
10-28 172
原文链接:内核漏洞挖掘技术系列(1)--trinity - 先知社区这是内核漏洞挖掘技术系列的第一篇。前言提到linux内核fuzz目前最流行的工具是syzkaller,不过在syzkaller出现之前(github上首次commit是2015年10月)linux内核fuzz用到最多的工具是trinity(github上首次commit是2006年3月,1.0版本发布于2012年8月),并且就在2...
WDM驱动程序开发之驱动框架篇:KDriver类
03-22 2265
KDriver类: 一、Overview    KDriver类提供了一个设备驱动程序的框架。这个类的职责包括初始化驱动程序,把I/O请求传递给它们的目标设备对象。    KDriver是一个抽象类,驱动编写人员必须写一个新的类来继承它。新的子类必须重写DriverEntry函数,这是当系统载入驱动程序时框架要调用的函数。这个派生类会有一个构造函数,但是构造函数不允许有参数。一般来说,最好不要
内核漏洞的利用与防范
04-19
内核漏洞的利用与防范内核漏洞的利用与防范内核漏洞的利用与防范
windows内核驱动漏洞挖掘工具.rar
03-16
IOCTL Fuzzer是一个自动化的windows内核驱动漏洞挖掘工具,它利用自己的驱动hook了NtDeviceIoControlFile,目的是接管整个系统所有的IOCTL请求。当处理IOCTL请求时,一旦符合配置文件中定义的条件,IOCTL Fuzzer会用...
windows内核驱动漏洞挖掘工具.zip
03-26
IOCTL Fuzzer是一个自动化的windows内核驱动漏洞挖掘工具,它利用自己的驱动hook了NtDeviceIoControlFile,目的是接管整个系统所有的IOCTL请求。当处理IOCTL请求时,一旦符合配置文件中定义的条件,IOCTL Fuzzer会用...
macOS Big Sur内核漏洞挖掘.pdf
11-07
本议题将介绍如何通过一个越界读漏洞,多次漏洞类型转换,在macOS Big Sur上完成100%稳定的内核代码执行,并分析漏洞审计的切入点和相关思路。
FUZE:辅助生成内核UAF漏洞利用.pdf
08-08
通过15个Linux内核UAF漏洞组成的测试集,我们展示了FUZE不仅可以辅助内核UAF漏洞利用生成,还可以辅助一些内核缓解机制的绕过。 What are We Talking about? • Discuss the challenge of exploit development • ...
服务器拒绝访问问题定位及修复
qq_39581763的博客
05-04 1万+
第一:问题定位1.使用top查看当前系统资源占用情况,包括cpu、内存、硬盘2.查看系统连接数据netstat -an | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'3.系统存在大量TIME_WAIT和CLOSE_WAIT4.TIME_WAIT是系统资源调用,大量访问冲击时,系统会存在大量带消化处理的连接,此时连接的装填都是TIM...
万能驱动助理篡改主页为2345的解决办法
weixin_34319817的博客
04-26 1475
万能驱动助理,因为驱动比较全,都是离线的包,并且足够小,所以很多人用,我也用,上次帮别人装系统之后用万能驱动助理安装驱动,然后发现默认安装了2345浏览器,然后我网上查了一下,原文如下: 感觉最新版的万能驱动助理在安装驱动的时候会自动安装2345浏览器。只需要找到这个文件[WinXP.x86]WanDrv6,Win7的是这个[Win7.x86]WanDrv6,win8类推,用文本打开,删除最后两句...
华为电脑管家PcManager多屏协同功能破解
热门推荐
anhkgg的专栏
11-06 3万+
让友商电脑兼容了一下华为系专属的多屏协同功能 笔者注:文中出现的大写C,请轻声念出北京大爷的口头禅。 华为刚发布多屏协同功能的时候,我就被种草了。 后来一天在微博看到@Navis-MDT发布的一个体验视频,果然碉堡了。 华为多频协同体验视频 瞬间有点想从“米boy”转为“花粉”用户,这…当然是不可能的了。 翻看微博回复,看到华为手机副总裁@李小龙Bruce_Lee也转发了该视频,并回复网友“为啥不...
免杀技术有一套(免杀方法大集结)(Anti-AntiVirus)
anhkgg的专栏
05-22 1万+
00. 概述什么是免杀?来自百科的注解: 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。 有本比较有名的书,想详细学习的同学可以去看看。《黑客免杀攻防》 其实我大概好像只看过目录…( ╯□╰ ) 下面我介绍的是自己实践的一些方法,有没有效果,试试就
微信(WeChat)电脑端多开分析+源码
anhkgg的专栏
05-14 9435
0x00 前言不知道大家有没有多个微信号,我反正有一两三个。现在电脑端微信使用频率也比较高,主要用于大文件传输,或者手机电脑文件互传等等,除了不能收红包和看朋友圈,貌似电脑端没其他毛病。哦,还有个毛病,只能开一个微信,只能开一个,开一个,一个…不管这些有的没的,今天的主题是,怎么样在电脑上开多个微信客户端!0x01 分析了解过单实例的同学,应该都知道大概是怎么实现的单开。简单说下,大都通过判断Mut
SuperRDP2:开启Windows家庭版远程桌面功能(多用户)
anhkgg的专栏
05-11 4787
SuperRDP2:自适应支持Windows家庭版最新远程桌面 SuperRDP2 SuperRDP是在rdpwrap基础上重写的项目,用于启用Windows家庭版的远程桌面,并且支持多用户。 SuperRDP已经发布1年4个月了,提交了60多次commit,给网友解决了近100个问题(issue),支持了几十多个新版本的远程桌面。 目前SuperRDP项目也有760左右的Stars,感谢大家对项目和我工作的肯定。 有时候会同时收到很多网友的issue,需要支持他们的版本,其实还挺麻烦的,特别有时候忙的时候
使用魔法电脑安装最新华为电脑管家多屏协同
anhkgg的专栏
10-08 4663
魔法电脑能够实时一键修改bios信息,无需重启,不破坏固件。 官网http://www.hankeer.org/magic.html下载魔法电脑(MagicComputer)。 运行魔法电脑,修改蓝色文字bios信息,点击魔法生效 官网https://consumer.huawei.com/cn/support/pc-manager/下载电脑管家,双击正常安装即可 搞定。 具体操作视频可以看:https://www.bilibili.com/video/BV1zb4y1a77E ...
小Win,点一份APC(Apc机制详解)(一)
anhkgg的专栏
05-06 4100
翻开 翻开小Win的菜单,APC赫然在目... 做工讲究,味道不错,是小Win的热门菜,我们点一来尝尝! 吃了可以做很多事情... APC注入APC注入APC注入... 细节来自于ReactOS源码分析。 如果对这个发神经的文风有任何不适,请谅解,因为我确实神经了 来一份APC ring3这么做的 点APC的正确姿势是使用QueueUs
KSMBD 拒绝服务漏洞
最新发布
05-10
KSMBD 是 Linux 内核中的 SMB 服务器实现,该漏洞是由于 KSMBD 服务器在处理传入的 SMB 请求时存在缺陷,攻击者可以发送恶意构造的 SMB 请求导致 KSMBD 服务器崩溃,从而导致拒绝服务攻击。这个漏洞可能导致攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值