Windows x64中断门提权 R3调用R0函数

已于 2024-08-09 09:09:16 修改
阅读量2.2k 收藏 9
点赞数 2
分类专栏: Windows x64内核 文章标签: windows c语言 汇编 驱动开发
于 2023-04-26 09:17:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/deadpoolwilson12/article/details/130367254
版权
本文详细介绍了如何在未开启内核隔离的Windows 10系统中,通过理解IDT表、Fs和Gs寄存器以及中断处理流程,实现Ring3调用Ring0函数的提权技术。主要步骤包括分析中断门、配置项目、代码实现,特别强调了在构建中断门时仅需修改Gs寄存器即可调用内核函数。
摘要由CSDN通过智能技术生成

声明:
(1)本篇文章实验针对 未开启内核隔离(KPTI) 的Window10系统
(2)本次实验的实现 并不代表R3调用R0可以完全只由Ring3完成

Windows x64中断门提权 R3调用R0函数

win10并不使用调用门、陷阱门、任务门,  一律只用中断门,本次实验采用中断门提权实现R3调用R0函数。
没开启KPTI, Cr3始终为内核Cr3。

环境工具

(1) 调式工具:Windbg
(2) 虚拟机:windows10 19044.2846
(3) IDE: VS2019

一、原理分析

1.IDT表、中断描述符

中断:只使用一张IDT表,内核可以根据栈上的CS判断先前模式。

IDT表地址位于KPCR偏移0x38处

nt!_KPCR
+0x038 IdtBase : Ptr64 _KIDTENTRY64

64位中断门描述符:
x64中断门描述符

图来自Intel 第3卷 Figure 6-7. 64-Bit IDT Gate Descriptors
参照此图方便后续构造中断门

2.Fs、Gs寄存器

X86:0环时FS指向KPCR,3环时FS指向TEB
X64:0环时GS指向KPCR,3环时GS指向TEB
FSGS的基址在3个MSR寄存器中:
-
IA32_FS_BASE (下标0xC0000100)
IA32_GS_BASE (下标0xC0000101)
IA32_KERNEL_GS_BASE (下标0xC0000102)

3.简单分析3环进0环过程

(1) 分析int 3中断

windbg输入指令: !idt

!idt
可看到3号中断函数KiBreakpointTrap,这是因为笔者的测试机是未开启KPTI的.
而在开启KPTI时:3号中断函数调用的是KiBreakpointTrapShadow

用IDA对内核文件ntoskrnl.exe的KiBreakpointTrapShadow分析

kibts
由IDA分析可知,KiBreakpointTrapShadow 只是做了一些调用0环函数前的准备行为,如切换内核Cr3,切换内核rsp,切换内核gs等, 最后跳到了KiBreakpointTrap真正执行中断函数。

而未开启KPTI时,中断函数并不是KiBreakpointTrapShadow而是KiBreakpointTrap,而KiBreakpointTrap中并没有这些进内核的准备行为,笔者猜测进KiBreakpointTrap前肯定还执行过类似的代码, 目前还未查到

后面本人通过构建中断门进行测试发现,进去中断函数时rsp已经切换为0环的rsp, _KTrap_Frame的那5个寄存器也在栈中, cr3本身就是内核cr3 ,不需要改, 但是gs还没修改, 所以我们的构建中断门函数代码里边只用修改gs就可以调用内核函数了

二、代码实现

1.配置项目

1.创建vs空项目, 笔者项目名为IntGate
2.创建main.cpp文件和x64asm.asm文件(asm文件随便创建一个文件后, 将后缀为.asm就行)

3.右键项目->生成依赖性->生成自定义, 第四个打上勾

ro1
ro2

4.右键x64asm.asm,按如下图选择

在这里插入图片描述

5、打开项目属性设置固定基址, 并关闭增量链接

a1
a2

2.代码实现

代码如下(部分硬编码的地方需要更改):

main.cpp

#include <Windows.h>
#include <stdio.h>

extern "C" void InterruptEntry();
extern "C" void CaseInterrupt();



int main()
{
	printf("InterruptEntry Addr:%p\n", (ULONG64)InterruptEntry);
	// 笔者InterruptEntry为0x0000000140001200
	if ((ULONG64)InterruptEntry != 0x0000000140001200)
	{
		printf("InterruptEntry地址与中断门构建的地址不一样\n");
		system("pause");
		return 0;
	}
	system("pause");

	CaseInterrupt();

	system("pause");
	return 0;
}

x64asm.asm

option casemap:none

.data
pStr db 'I am the DbgPrint func', 0DH, 0AH

.code

InterruptEntry proc
	;切换gs
	swapgs

	;调用DbgPrint函数. 为方便直接用windbg查了之后将函数地址写成硬编码了
	mov rax,0fffff8047e7647b0h
	sub rsp,20h
	lea rcx,[pStr]
	call rax
	add rsp,20h

	; 恢复gs
	swapgs
	iretq
InterruptEntry endp


CaseInterrupt proc
	int 0fh ;f号中断系统未使用
	ret
CaseInterrupt endp


end

windbg配置

1.构建中断门
笔者InterruptEntry地址为0x0000000140001200,中断门属性就填3号中断的属性,地址填0x0000000140001200

 windbg:
 eq idtr+f0 4000ee00`00101200
 eq idtr+f8 00000000`00000001
 !idt f

windbg1

2.设置Cr4寄存器中SMEP和SMAP, 把3去掉就行

windbg2

运行截图

在这里插入图片描述

三、参考资料

如有错误, 还请大佬指正

及时雨先森
关注
专栏目录
[Windows] 系统调用R3 进入 R0
墨鱼菜鸡
09-07 254
背景 一个线程由用户态进入内核态的途径有3种典型的方式: 通过 int 0x2e(软中断自陷) 或 KiFastSystemCall (快速系统调用),主动进入内核。引发异常或硬件中断,被迫进入内核。 一般...
Windows内核之中断提权
Appleteachers的博客
05-04 333
Windows内核之中断提权 前言 在平时三环程序下的开发中,都会用到断点,而这个断点其实就是与中断有关联的。 1.中断介绍 在三环程序开发中,编译器进行断点之后反汇编可以查看到,断点反汇编的形式就是 int 3。如下图,在OD中查看,这就是一个断点。 int 0x3; 其实就是查找的IDT表中,从0开始,索引为3的位置,继续看下图,通过windbg查看到int 3的段描述符。 INT段描述符对应的分解图如下: 构造中断的高32位中的低16位的值是固定的,也就是ee00 而offset
R3R0权限
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-17 6527
以前看过一个这样的文章没太明白,今天在看《天书夜读》第12章----CPU权限级与分页机制----12.4.1小节----调用及其漏洞中看到这样的一段描述,这里记录一下当作一个日后快速查看的笔记。这里学习其思想。原文如下: "如果黑客可以写入一个调用,那么就可以利用R3程序直接进入R0权限。“ 这是一个实现思路的提出。 ”全局描述符表的位置是很容易找到的,指令SGDT不是特权指令,在R3
中断提权操作
weixin_34273481的博客
06-21 337
中断在idt表中 因此构造一个函数函数地址给它 然后产生一个中断 就实现了提权1。查看 nt!DbgBreakPointWithStatus+0x4: 83eb2110 cc int 3 kd> r idtr idtr=80b95400 2.查看表 kd> dq 80b95400 L30 80b95400 83e78e00`00085fc0...
构建API调用框架绕过杀软hook
hongduilanjun的博客
05-09 706
我们知道杀软在API函数的监控上一般有两种手段,一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API,另外一种方式就是在0环去往SSDT表的路径上挂钩来判断进0环后的操作。那么我们如果不想杀软监控我们的行为,之前提过的内核重载是一种绕过的方式,但是内核重载的动静太大,这里我们就通过直接重写3环到0环的API,通过重写KiFastCallEntry来自己调用内核的函数,以达到规避杀软的效果。 调用过程 我们首先来看一下API函数调用过程,这里以OpenProcess函数为例 首先在kernel32
保护模式----中断
Harlan的博客
09-01 821
  #include&lt;stdio.h&gt; #include&lt;windows.h&gt; DWORD dwH2GValue; DWORD g_eax; DWORD g_eflags; DWORD g_eflagsBefore; void __declspec(naked) GetH2GValue() { __asm { mov g_eax,...
wifi驱动移植,arm9上 ifconfig ra0 up 失败
12-08 5094
我在虚拟机上不会报错,可以网卡可以搜索网络,这里是在arm9板子上就报上面的错误,弄了好几天了,请指点下。(注:我用的板子一部分目录可以修改一部分目录不可以修改,我想是不是这个原因导致:SIOCSIFFLAGS: Operation not permitted  错误,但是我还没想出好的方法验证具体是那个目录不可修改造成的,不明白ifconfig ra0 up需要经过那些目录及其配置流程,关于
保护模式X86 段机制
挖树
12-25 475
段的机制 文章目录段的机制段寄存器段寄存器结构段寄存器属性探测段描述符与段选择子GDT 全局描述符表段描述符段选择子修改段寄存器LDT 局部描述符表段描述符属性P位 高四15G位 高四23S位 高四12D/B位 高四[22]1.对CS段(代码段)的影响2.对SS段(栈段,仍属于数据段)的影响3.对向下拓展的数据段影响TYPE域 高四[8,11]当表示数据段时当表示代码段时当表示系统段时段描述符结构...
保护模式阶段测试
weixin_73368512的博客
12-04 165
滴水中期保护模式阶段测试个人代码
调用
guocaigao的专栏
01-11 2511
,顾名思义它是一扇通向令一个地方,看一下的结构里面有一个描述符和一个偏移值,中定义了这扇通向的目的地,当我们调用一个的时候会到达这个地方: 中的选择子:中的偏移值,也即下图的selector:offset 这是我们代码中国定义的的数据结构: #define Gate(Selector,Offset,PCount,Attr)\ .2byte (Offset&0xff
中断
For Geek
05-05 386
中断结构如下 四个字节表示偏移量,Selector是段选择子,一般来说,lowOffset的下一个字节的值为0x8e或0xee。 可以看到除了8e外,还有85的存在,这是任务的存在。因为系统支持的中断向量是256个,所以在offset为0x100的地方可以供用户来编程 #include <stdio.h> //定义几个全局变量,用以输出addr为0x8003f400 un...
1_中断提权
leibso的博客
10-22 231
1 使用pchunter查看系统中断表(中断描述符表) 1.1 那些中断处理地址内核高2GB ,所以中断处理环境坑定在0环 利用分析: 那我们把自己得处理函数放在这里面,那经过这个表调用就能获得高权限; 注意: 代码 应该把随机基址关闭,并且使用release版本,这样地址稳定一些,debug 即使不开随机基址,可能运行中 子函数的地址会因为重构(当你改变内容的时候,可能编译器判...
Window系统内存读写API简易阅读笔记---从R3R0
u011442768的博客
10-23 1838
以前一直都在用Read/WriteProcessMemory这个API读写内存,也没探究过Windows怎么实现的内存读写,这几天就了解了解这一部分。 打开IDA,拖入KernelBase.dll(因为Kernel32.dll中的ReadProcessMemory会调转到KernelBase这里),定位到API。 BOOL __stdcall ReadProcessMemory(HANDLE hProcess, LPCVOID lpBaseAddress, LPVOID lpBuffer, SIZE_T
7.中断
My classmates
10-11 553
Windows没有使用调用,但是使用了中断: &amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;1&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;系统调用 老的CPU调用一些api从r3进入r0,就是通过中断,新的都是快速调用了 &amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;2&amp;amp;amp;amp;amp;amp;amp;amp;am
详细结构操作libxml.doc
10-28
例如,在处理完当前节点后,可以再次调用相同的函数来处理子节点。 ### 总结 该文档主要介绍了如何使用 libxml 在 Linux 环境下的 C 语言中处理 XML 文件,重点在于如何提取 XML 中的节点值、属性值、元素值,并...
1.4 windows内核——中断,陷阱,任务
kmic1的博客
10-13 592
TSS任务状态段 一个内核一个,存在于内存中,不存在与cpu;可以让cpu同时执行多个任务。 进程A申请堆栈时要向TSS申请,申请时会有两个一个0环,一个3环的, 1.TSS结构 本质: 不要把TSS与“任务切换”联系到一起 TSS的意义就在于可以同时换掉”一堆”寄存器 段寄存器有es,cs,ds,gs,idtr,tr 那么如何找到TSS,答案是tr 从GDT表中找到tr段寄存器,selector记录着TSS段描述符,base记录TSS表位置,limit记录TSS大小 2.tr段寄存器 3. TSS
Windows保护模式(四)中断&陷阱
sky123博客
10-12 656
继续运行代码,成功在 test 函数断下来,并且完成提权,栈结构也与前面描述的相符。中断调用堆栈变化的不同点是多压了一个 EFLAGS 标志寄存器,因此返回使用的是 iretd 而不是 retf。指令会平衡堆栈,而中断没有参数,因此会造成堆栈不平衡。在 IDT 表 0x100 偏移处构造一个中断,对应中断号为 0x20。在 IDT 表 0x100 偏移处构造一个陷阱,对应中断号为 0x20。Windows 系统没有使用调用,但使用了中断中断执行时,会将IF标志位清零,但陷阱不会。
中断实验(一)打印任意地址(中断提权
weixin_46625454的博客
11-15 795
idt是中断描述表,idt表包含了三种描述符:任务中断,以及陷阱 本文是通过修改idt表中的0x20号中断,增加了自己的中断 每一个idt表项中的 前2个字节+后2个字节(Offset31..16+Offset15..0=EIP)这个地址是当权限符合以后跳转到这个地址执行。 权限符合: 这里举一个例子 : mov eax, dword ptr ds : [0x8003f500] (1.找出选择子->2.查找IDT或者GDT表->3.找出描述符->4.根据描述...
windows x32调用/中断实现 ring3提权
最新发布
不会写代码的丝丽
01-01 1194
调用是Intel提供的一个机制,用于控制不同权限级(ring0-ring3)的程序函数调用。简单点就是提供了一个ring3 调用ring0 函数的机制。在intel手册描述如下详细可参阅实现调用需要构造一个调用描述符放入GDT或者LDT中。指向代码段的段选择子,P表示是否有效,如果栈转化那么指示要从调用方栈拷贝到目标栈的word(16位)数。type固定为1100.如果调用的代码段是ring3权限(CPL),而目标调用是ring0(RPL)权限,栈区是不共享的因此需要将栈区的参数拷贝到目标栈中。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值