(2)熟悉HackSys驱动

最新推荐文章于 2022-03-11 15:06:21 发布
最新推荐文章于 2022-03-11 15:06:21 发布
阅读量636 收藏 1
点赞数
分类专栏: 内核漏洞 文章标签: 内核漏洞 HEVD
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/86606173
版权

上一章,我们搭建好了内核双机调试环境,实体机作为调试机,虚拟机win7Sp1x86作为被调试机。现在我们先熟悉一下HackSysExtremeVulnerableDriver这个用来练习内核漏洞利用的项目,后面简称(HEVD)下一章我将演示一些漏洞利用的技术。

本次将用到的工具如下:

  • 双机内核调试环境
  • HackSys Extreme Vulnerable Driver (HEVD) - 编译版本,和源码都要
  • OSR Driver Loader(驱动加载器)
  • DebugView (from SysInternals Suite)
  • Visual Studio 2013(或任何你喜欢的版本)

安装测试 HEVD

首先,我会介绍如何安装HEVD,然后配置调试器和被调试机器显示输出调试字符串信息以及HEVD项目的符号信息,最后使用HEVD项目自带的漏洞利用程序,测试一下漏洞是否可以成功触发!

查看调试字符串

HEVD内置了很多漏洞利用时的调试字符串,我们可以使用Windbg在调试机查看,也可以使用DbgView在被调试机器中查看这些调试信息。

在安装HEVD之前,首先需要开启调试输出配置,然后在被调试机器打开DbgView,才能看到安装驱动时的调试信息。

配置调试器

建立好双机调试以后,让Windbg中断下来,输入开启打印调试字符串命令:

ed nt!Kd_Default_Mask F

然后,让被调试机再次运行起来,输入运行命令:

g

配置被调试机器

我们需要以管理员权限运行DbgView。然后我们选择菜单:

Capture -> Capture Kernel

在这里插入图片描述

安装内核漏洞驱动

首先我们需要在被调试机器中下载好,预编译好的二进制文件,以及源码包。安装并测试!
我们可以在HackSysTeam的github上release页面找到最新版本的:
https://github.com/hacksysteam/HackSysExtremeVulnerableDriver/releases

在这里插入图片描述

预编译压缩包中有两个版本,我们选择32位的i386,打开刚才下载的OSR Driver Loader工具,加载32位的HEVD驱动。

在OSR工具的Service Start项,选择Automatic,然后点击下面的Register Service按钮,提示成功后,再点击
Start Service按钮!

在这里插入图片描述

如果驱动服务安装并启动成功,我们可以看到在windbg或者被调试机器的DbgView中看到打印出的banner信息:

在这里插入图片描述

添加符号

预编译的HEVD包中含有调试符号PDB文件,我们可以将这个PDB文件添加到windbg中,方便我们调试时定位函数以及在源码中的位置等。

首先我们中断调试器,然后查看一下所有加载的模块:

lm

可以使用过滤命令,来找到HEVD模块:

lm m H*

我们可以看到windbg并没有使用任何符号,这个很好解决,首先开启:

!sym noisy

然后使用reload命令查看未加载的符号路径:

.reload /f

47e42f969a8e6a109a4606206365eb0f.png

可以看到这里有两个符号路径,我们选择其中一个:

d:\mss\HEVD.pdb\38ACF1BD8B354E07B7A8C3554683ABD71\HEVD.pdb

比如我就选择第一个,然后按照这个路径创建一模一样的目录,然后把HEVD.pdb拷贝进去,

然后重新执行.reload命令,随后可以使用x命令查看关于HEVD的符号信息了:

x HEVD!*

ad60fb92500ea88a4daf73eb9e085512.png

测试漏洞利用

在下载的HEVD压缩包内有一个漏洞利用测试程序,我们可以传入不同的参数测试每种类型的漏洞,效果是打开一个system权限的cmd:

如果打开该文件时提示缺少msvcr100.dll类库,自己拷一个32位的就行过来,放在同目录下就行!
519e6c95a366af3fd50aa8f5463ca08f.png

测试池溢出利用:

79f2a90595d283459523e2f1c046a3e1.png

我们看到利用成功后弹出了一个system权限的cmd程序,并且windbg中也打印出了相关的漏洞利用调试信息:
在这里插入图片描述

Hi Driver,Let’s Talk!

像r3的漏洞利用一样,我们需要找到一个可以破坏程序执行的输入点,如果在r3程序就会崩溃,在内核r0,系统就会蓝屏。

为了能和驱动通讯,我们需要使用IOCTL码,也叫输入输出控制码。可以让我们从r3发送一些字符串给驱动,这也是我们漏洞利用很重要的一点:

HEVD中包含了各种类型的漏洞,每一个漏洞都可以使用IOCTL加精心构造的输入Buffer来触发。其中有一些触发后,可能会让你的系统蓝屏!

找到Device name & IOCTLs

在开始与驱动通讯之前,我们需要知道两件事:

  1. 驱动创建的设备对象名(如果驱动没有创建任何设备对象,那我们是不可能与驱动通讯的)
  2. 驱动接收的IOCTLs列表

HEVD是一个开源项目,所以我们可以直接从源码中阅读有用的信息。现实生活中的漏洞挖掘大部分情况下我们是没有源码的,有时候只能去逆向来获取相关信息。

来看一下HEVD项目源码中创建设备的相关代码

https://github.com/hacksysteam/HackSysExtremeVulnerableDriver/blob/master/Driver/HackSysExtremeVulnerableDriver.c#L79
e2fe9ffa6d744a0f2515230936a82f69.png

上面显示了设备对象的名称,现在我们来找一下IOCTLs, 我们将从IRPs数组中找:
https://github.com/hacksysteam/HackSysExtremeVulnerableDriver/blob/master/Driver/HackSysExtremeVulnerableDriver.c#L106

db1cd4cc70b9d69749f2be345d11af3b.png

连接IRP_MJ_DEVICE_CONTOL的函数用来分发各种IOCTL给驱动,我们需要看一下这个函数:

https://github.com/hacksysteam/HackSysExtremeVulnerableDriver/blob/master/Driver/HackSysExtremeVulnerableDriver.c#L193

f8dd85f45191bdc31a0dda11fd13dd68.png

函数中有一个switch来分发各种IOCTL给相应的处理函数,我们可以在头文件中找到这些值得定义:
https://github.com/hacksysteam/HackSysExtremeVulnerableDriver/blob/master/Driver/HackSysExtremeVulnerableDriver.h#L57
c9eea5b123d4c21af23beb2af56b1ad5.png

编写客户端程序

现在拿到了所有IOCTLs,我们可以使用我们自己编写的程序来和驱动通信,把拿到的IOCTL,写到我们自己程序的头文件中:

#pragma once
#include <windows.h>

const char kDevName[] = "\\\\.\\HackSysExtremeVulnerableDriver";

// IOCTLs
#define HACKSYS_EVD_IOCTL_STACK_OVERFLOW CTL_CODE(FILE_DEVICE_UNKNOWN, 0x800, METHOD_NEITHER, FILE_ANY_ACCESS)
#define HACKSYS_EVD_IOCTL_STACK_OVERFLOW_GS CTL_CODE(FILE_DEVICE_UNKNOWN, 0x801, METHOD_NEITHER, FILE_ANY_ACCESS)
#define HACKSYS_EVD_IOCTL_ARBITRARY_OVERWRITE CTL_CODE(FILE_DEVICE_UNKNOWN, 0x802, METHOD_NEITHER, FILE_ANY_ACCESS)
#define HACKSYS_EVD_IOCTL_NON_PAGED_POOL_OVERFLOW CTL_CODE(FILE_DEVICE_UNKNOWN, 0x803, METHOD_NEITHER, FILE_ANY_ACCESS)
#define HACKSYS_EVD_IOCTL_ALLOCATE_UAF_OBJECT CTL_CODE(FILE_DEVICE_UNKNOWN, 0x804, METHOD_NEITHER, FILE_ANY_ACCESS)
#define HACKSYS_EVD_IOCTL_USE_UAF_OBJECT CTL_CODE(FILE_DEVICE_UNKNOWN, 0x805, METHOD_NEITHER, FILE_ANY_ACCESS)
#define HACKSYS_EVD_IOCTL_FREE_UAF_OBJECT CTL_CODE(FILE_DEVICE_UNKNOWN, 0x806, METHOD_NEITHER, FILE_ANY_ACCESS)
#define HACKSYS_EVD_IOCTL_ALLOCATE_FAKE_OBJECT CTL_CODE(FILE_DEVICE_UNKNOWN, 0x807, METHOD_NEITHER, FILE_ANY_ACCESS)
#define HACKSYS_EVD_IOCTL_TYPE_CONFUSION CTL_CODE(FILE_DEVICE_UNKNOWN, 0x808, METHOD_NEITHER, FILE_ANY_ACCESS)
#define HACKSYS_EVD_IOCTL_INTEGER_OVERFLOW CTL_CODE(FILE_DEVICE_UNKNOWN, 0x809, METHOD_NEITHER, FILE_ANY_ACCESS)
#define HACKSYS_EVD_IOCTL_NULL_POINTER_DEREFERENCE CTL_CODE(FILE_DEVICE_UNKNOWN, 0x80A, METHOD_NEITHER, FILE_ANY_ACCESS)
#define HACKSYS_EVD_IOCTL_UNINITIALIZED_STACK_VARIABLE CTL_CODE(FILE_DEVICE_UNKNOWN, 0x80B, METHOD_NEITHER, FILE_ANY_ACCESS)
#define HACKSYS_EVD_IOCTL_UNINITIALIZED_HEAP_VARIABLE CTL_CODE(FILE_DEVICE_UNKNOWN, 0x80C, METHOD_NEITHER, FILE_ANY_ACCESS)
#define HACKSYS_EVD_IOCTL_DOUBLE_FETCH CTL_CODE(FILE_DEVICE_UNKNOWN, 0x80D, METHOD_NEITHER, FILE_ANY_ACCESS)
#define HACKSYS_EVD_IOCTL_INSECURE_KERNEL_FILE_ACCESS CTL_CODE(FILE_DEVICE_UNKNOWN, 0x80E, METHOD_NEITHER, FILE_ANY_ACCESS)
#define HACKSYS_EVD_IOCTL_MEMORY_DISCLOSURE CTL_CODE(FILE_DEVICE_UNKNOWN, 0x80F, METHOD_NEITHER, FILE_ANY_ACCESS)
#define HACKSYS_EVD_IOCTL_PAGED_POOL_SESSION CTL_CODE(FILE_DEVICE_UNKNOWN, 0x810, METHOD_NEITHER, FILE_ANY_ACCESS)
#define HACKSYS_EVD_IOCTL_WRITE_NULL CTL_CODE(FILE_DEVICE_UNKNOWN, 0x811, METHOD_NEITHER, FILE_ANY_ACCESS)

每一个IOCTL控制码是被一个标准宏创建的,定义在windows头文件winioctl.h中:
1ca2d8b8334801ffa7bee14193aab498.png

如果你添加了windows.h头文件,它会自动包含上图中这个宏的。

现在我们准备写一个简单的程序来跟驱动通信。首先,我们使用CreateFile打开设备对象,然后我们可以用DeviceIoControl发送IOCTl控制码。

下面是一个简单的例子,发送STACK_OVERFLOW ioctl 给驱动程序:


#include <stdio.h>
#include <windows.h>

#define HACKSYS_EVD_IOCTL_STACK_OVERFLOW    CTL_CODE(FILE_DEVICE_UNKNOWN, 0x800, METHOD_NEITHER, FILE_ANY_ACCESS)

const char kDevName[] = "\\\\.\\HackSysExtremeVulnerableDriver";

HANDLE open_device(const char* device_name)
{
    HANDLE device = CreateFileA(device_name,
        GENERIC_READ | GENERIC_WRITE,
        NULL,
        NULL,
        OPEN_EXISTING,
        NULL,
        NULL
    );
    return device;
}

void close_device(HANDLE device)
{
    CloseHandle(device);
}

BOOL send_ioctl(HANDLE device, DWORD ioctl_code)
{
    //prepare input buffer:
    DWORD bufSize = 0x4;
    BYTE* inBuffer = (BYTE*) HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, bufSize);

    //fill the buffer with some content:
    RtlFillMemory(inBuffer, bufSize, 'A');

    DWORD size_returned = 0;
    BOOL is_ok = DeviceIoControl(device,
        ioctl_code,
        inBuffer,
        bufSize,
        NULL, //outBuffer -> None
        0, //outBuffer size -> 0
        &size_returned,
        NULL
    );
    //release the input bufffer:
    HeapFree(GetProcessHeap(), 0, (LPVOID)inBuffer);
    return is_ok;
}

int main()
{
    HANDLE dev = open_device(kDevName);
    if (dev == INVALID_HANDLE_VALUE) {
        printf("Failed!\n");
        system("pause");
        return -1;
    }

    send_ioctl(dev, HACKSYS_EVD_IOCTL_STACK_OVERFLOW);

    close_device(dev);
    system("pause");
    return 0;
}

尝试编译上面c程序源码,然后放到虚拟机运行,打开DbgView然后查看驱动输出的调试字符信息:

66c42aef6bea3c0a1ddc84e94920bc15.png

正如上图所示,驱动收到了我们发送的控制码,然后打印出了调试字符串信息。

实验:走个崩溃吧~~

尝试输入0x1000的Buffer size,直到驱动程序崩溃,因为虚拟机在调试模式下,崩溃时机器不会蓝屏,而是被WinDbg接管异常。
尝试分析一下崩溃时信息详细信息,使用以下命令打印出崩溃详情:

!analyze -v

其他有用的命令:

k - stack trace
kb - stack trace with parameters
r - registers
dd [address]- display data as DWORD starting from the address

想了解更多命令,可以使用windbg提供的帮助文件:

.hh

在我们上面写的简单程序中,用户层输入的buffer用字母 “A” -> asciii 0x41 填充.

RtlFillMemory(inBuffer, bufSize, 'A');

所以只要我们分析崩溃详情时看到了这个字母,就说明我们可以从用户层输入buffer填充内核层的内存。

附录

FFE4
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HackSysExtremeVulnerableDriver:HackSys Extreme漏洞Windows驱动程序
02-06
《深入剖析HackSys Extreme Vulnerable Driver:Windows内核驱动漏洞利用与防护》 HackSys Extreme Vulnerable Driver(HEVD)是一款专门为安全研究人员和逆向工程师设计的开源Windows内核驱动程序,它模拟了一系列...
hevd:HEVD漏洞利用的公共存储库
05-10
5. **HackSys**:HackSys是一系列安全研究项目,包括HEVD,专注于提供安全研究人员和逆向工程师的教育资源。这些项目通常包含漏洞研究、调试技巧和漏洞利用技术的实践案例。 6. **C语言**:HEVD的源代码主要用C语言...
[01] HEVD 双机调试环境搭建
abns44296的博客
07-17 463
作者:huity出处:https://www.cnblogs.com/huity35/p/11203303.html版权:本文版权归作者所有。文章在看雪、博客园、个人博客同时发布。转载:欢迎转载,但未经作者同意,必须保留此段声明;必须在文章中给出原文连接;否则必究法律责任。 0x00 前言 近期开始学习Windows内核漏洞,参考了很多博客和其他资料,决定还是边学习边分...
CTL_CODE 宏 详解
weixin_30625691的博客
11-20 327
CTL_CODE宏 CTL_CODE:用于创建一个唯一的32位系统I/O控制代码,这个控制代码包括4部分组成: DeviceType(设备类型,高16位(16-31位)), Function(功能2-13 位), Method(I/O访问内存使用方式), Access(访问限制,14-15位)。 这个宏创建一个独特的系统I/O(输入输出)控制代码(IOCTL)。 #define...
windbg使用方法_从头开始了解和使用Hypervisor(第2部分)
weixin_39891158的博客
11-23 387
上一篇:从头开始了解和使用Hypervisor(第1部分) DbgView的问题不幸的是,由于某些未知原因,我无法查看DbgPrint()的结果。如果可以看到结果,则可以跳过此步骤,但是如果中间遇到问题,请执行以下步骤:在regedit中,添加一个密钥: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Man...
搭建Window驱动调试环境(Host:Win10 x64 + Target:VBox/WiN10 64)
豆芽哥
03-09 936
一: Host 软件: 系统: Win10 64 位家庭版 软件包: Visual Studio Comunity 2019(https://visualstudio.microsoft.com/vs/#visual-studio-2019-launch-videos) Windows Software Development Kit (SDK) for Windows 10(安装VS...
DbgPrint 函数流程分析
weixin_33895657的博客
01-20 532
DbgPrint 函数流程分析 前言 Windows 下编写内核驱动时经常用到 DbgPrint 函数输出一些调试信息,用来辅助调试。当正在用 WinDbg 内核调试时,调试信息会输出到 WinDbg 中。或者利用一些辅助工具也能看到输出的调试信息,比如 Sysinternals公司的 DebugView 工具。本文分析了 Vista 系统上 DbgPrint 系列函...
windows内核_Windows内核漏洞利用
weixin_39900468的博客
12-30 181
堆栈缓冲区溢出在第一部分中,我们会从HackSysExtremeVulnerableDriver中的普通堆栈缓冲区溢出开始。当堆栈上存在的缓冲区获取的数据超出其存储容量时(例如,在一个16字节缓冲区中复制20个字节,就可以是字符数组或类似对象),其余数据将写入附近位置,从而有效覆盖或破坏堆栈。其核心思想是控制此溢出,这样我们可以覆盖堆栈上保存的返回地址,并且在执行当前(易受攻击的)函数...
HEVD第八部分-UAF释放重引用
qq_36918532的博客
03-11 249
原理 UAF的原理就是释放掉一个对象之后,但是并没有将其置为空,所以导致成为了悬挂指针,然后在使用就会出现一些奇怪的事情:有以下几种情况: 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为NULL,但是在它下一次使用之前,有代码对这块内存进行了修改,那么当程序再次使用这块内存时,就很有可
HEVD第二部分缓冲区溢出学习(HEVD-3.0)
qq_36918532的博客
03-01 2144
HEVD3.0学习
OutputDebugString在win7操作系统windbg内核调试下无法输出的解决办法
xbgprogrammer的专栏
01-22 1849
此blog作为一篇充数的blog吧! 我用windbg内核调试认证包的时候,认证包本应利用OutputDebugString输出一些调试信息,但是在windows 7中并没有输出信息。左查右找,发现了两张方法,第一张更改注册表,好像还要重启,忽略掉了。主要介绍一下第二种方法。 1. windbg连接好被调试的操作系统后,载入符号 (.reload) 2. 枚举符号x nt!kd_defaul
vista debug
avder的专栏
06-10 1392
debugprint e nt!Kd_DEFAULT_Mask 8 ----------------------------------------------1: kd> x nt!*debug*81cfddc0 nt!ExpDebuggerWorkItem = 81c5536f nt!DbgSetDebugPrintCallback = 81cfddb0 nt!ExpDebuggerProce
Windows内核HEVD) 之UAF
qq_41071646的博客
09-08 540
UAF这个词 确实不算陌生 不过要说的一点是 在CTF里面的应用一般是 堆块在释放的时候 堆块指针没有清空 然后 再次申请 申请到那块的区域 然后就可以通过一开始的堆块指针来写 就达到了 修改的目的 然后 在这个样例里面来说 并不是堆块 算是内存池=== 这个概念还是不太了解 等到扒扒我的书 然后可以先看这个样例的代码 可以看到 有几个重要函数 AllocateUaFObjectN...
Windows内核漏洞学习-HEVD的使用
WocW的博客
05-15 2531
HEVD的使用 HEVD简单介绍和下载 ​ HEVD是一个漏洞靶场,里面有大量写好的漏洞,主要用它来学习漏洞的利用。在Github上就可以找到该项目,下面贴一下下载传送门,我用的是1.2版本。 https://github.com/hacksysteam/HackSysExtremeVulnerableDriver/releases HEVD安装 ​ 下载好之后,程序有有漏洞和无漏洞两个版本。使用有漏洞的x86版本,根据前面学习到的驱动编程知识,将它安装到Win7 32位环境中。在安装时候选择自动执行,然后
HEVD内核攻击:驱动程序的编译、安装、加载及调试(一)
weixin_34220623的博客
09-20 463
本文讲的是HEVD内核攻击:驱动程序的编译、安装、加载及调试(一), HEVDHackSys的一个Windows的训练项目,是一个存在漏洞内核驱动,里面存在多个漏洞,通过ControlCode控制漏洞类型,这个项目的驱动里几乎涵盖了内核可能存在的所有漏洞,从最基础的栈溢出,到池溢出,释放后重用等等类型,是一个非常好的项目。非常适合我们熟悉理解Wi...
Windows内核漏洞学习-内核利用程序之池溢出
WocW的博客
05-24 750
0x00:前言 昨天阅读了内核池的一些原理,与Linux堆还是有很多相似的。今天继续调试HEVD中池溢出攻击。参考的原文: 传送门 0x01:漏洞原理 漏洞源码: NTSTATUS TriggerPoolOverflow(IN PVOID UserBuffer, IN SIZE_T Size) { PVOID KernelBuffer = NULL; NTSTATUS Status = STATUS_SUCCESS; PAGED_CODE(); __try {
内核漏洞学习—熟悉HEVD
dfdhxb995397的博客
08-16 231
一直以来内核漏洞安全给很多人的印象就是:难,枯燥。但是内核安全是否掌握是衡量一个系统安全工程师水平的标准之一,也是安全从业人员都应该掌握的基本功。本文通过详细的实例带领读者走进内核安全的大门。难度系数:四颗星 原文地址:https://hshrzd.wordpress.com/2017/06/05/starting-with-windows-kernel-exploitation-pa...
[03] HEVD 内核漏洞之UAF
abns44296的博客
07-24 359
作者:huity出处:https://www.cnblogs.com/huity35/p/11240997.html版权:本文版权归作者所有。文章在博客园、看雪、个人博客同时发布。转载:欢迎转载,但未经作者同意,必须保留此段声明;必须在文章中给出原文连接;否则必究法律责任。 0x00 前言 上一节研究了内核栈溢出相关问题,事实上利用已经成功了, 但是源码在vs环境下编译的驱动文件和...
[02] HEVD 内核漏洞之栈溢出
abns44296的博客
07-23 390
作者:huity出处:https://www.cnblogs.com/huity35/p/11231155.html版权:本文版权归作者所有。文章在看雪、博客园、个人博客同时发布。转载:欢迎转载,但未经作者同意,必须保留此段声明;必须在文章中给出原文连接;否则必究法律责任。 0x00 前言 上一篇主要学习了环境搭建及前期项目准备,本篇开始学习HEVD中的内核栈溢出漏洞(StackOv...
(4)添加执行CMD命令回显功能
Sven的忘却日记
02-19 2341
编写提权EXP的时候经常用到这个功能,我把它封装成了一个函数,直接调用即可! 效果图: 源码: void execute_command(int argc, _TCHAR* argv[]) { if (argc &amp;amp;amp;amp;amp;amp;lt;= 1) { printf(&amp;amp;amp;amp;amp;quot;Usage:exp.exe ipconfig\n&amp;amp;amp;amp;amp;quot;); return; }
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值