漏洞分析丨HEVD-0x1.StackOverflow[win7x86]

最新推荐文章于 2024-08-15 14:09:45 发布
最新推荐文章于 2024-08-15 14:09:45 发布
阅读量197 收藏
点赞数
分类专栏: 网络安全 文章标签: 大数据 安全 网络安全 c++ c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64973256/article/details/125538890
版权
摘要由CSDN通过智能技术生成

前言
窥探Ring0漏洞世界第一课:缓冲区溢出

实验环境:

•虚拟机:Windows 7 x86

•物理机:Windows 10 x64

•软件:IDA,Windbg,VS2022

漏洞分析
该环境提供了各种内核漏洞场景供学习,本次实验内容是BufferOverflowStack

首先用IDA打开HEVD.sys,搜索BufferOverflowStack,可以看到两个函数:BufferOverflowStackIoctlHandler和TriggerBufferOverflowStack,前者是分发程序,后者是漏洞程序

从IDA的F5里可以看出,这是一个经典的栈溢出漏洞:使用用户输入的长度进行memcpy调用

int __stdcall TriggerBufferOverflowStack(void *UserBuffer, unsigned int Size)
{
unsigned int KernelBuffer[512]; // [esp+10h] [ebp-81Ch] BYREF
 CPPEH_RECORD ms_exc; // [esp+814h] [ebp-18h]

 memset(KernelBuffer, 0, sizeof(KernelBuffer));
 ms_exc.registration.TryLevel = 0;
 ProbeForRead(UserBuffer, 0x800u, 1u); // 检查用户缓冲区是否可读
 _DbgPrintEx(0x4Du, 3u, "[+] UserBuffer: 0x%p\n", UserBuffer);
 _DbgPrintEx(0x4Du, 3u, "[+] UserBuffer Size: 0x%zX\n", Size);
 _DbgPrintEx(0x4Du, 3u, "[+] KernelBuffer: 0x%p\n", KernelBuffer);
 _DbgPrintEx(0x4Du, 3u, "[+] KernelBuffer Size: 0x%zX\n", 0x800u);
  _DbgPrintEx(0x4Du, 3u, "[+] Triggering Buffer Overflow in Stack\n");
 memcpy(KernelBuffer, UserBuffer, Size);       // 经典缓冲区溢出
  return 0;
}

接下来看看要如何进入这个漏洞函数,利用IDA的交叉引用功能,可以看到是BufferOverflowStackIoctlHandler函数:

int __stdcall BufferOverflowStackIoctlHandler(_IRP *Irp, _IO_STACK_LOCATION *IrpSp)
{
int v2; // ecx
 _NAMED_PIPE_CREATE_PARAMETERS *Parameters; // edx

  v2 = -1073741823;
 Parameters = IrpSp->Parameters.CreatePipe.Parameters;
  if ( Parameters )
   return TriggerBufferOverflowStack(Parameters, IrpSp->Parameters.Create.Options);
  return v2;
}

这里使用的是IRP传参,也就是说驱动是使用IO通信的,接着使用交叉引用向上找,找到通信的地方,找到进入这里用的控制码:

看这个分支结构,和这明显的jumptable标识,这是一个跳转表,这是switch-case结构,这里应该就是通过控制码进行跳转:

 

PAGE:00444064 _IrpDeviceIoCtlHandler@8 proc near      ; DATA XREF: DriverEntry(x,x)+8A↓o
PAGE:00444064
PAGE:00444064                               DeviceObject= dword ptr  8
PAGE:00444064                               Irp= dword ptr  0Ch
PAGE:00444064
PAGE:00444064 55                            push    ebp
PAGE:00444065 8B EC                         mov     ebp, esp
PAGE:00444067 53                            push    ebx
P

最低0.47元/天 解锁文章
极安御信安全研究院
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SEH 进阶(1)
商少
04-23 1535
SHE进阶 了解了上一篇的文章之后,我们写一个简单的例子来验证我们的想法,并学习新的知识。 不同的编译器提供的增强版本SHE 可能不同,但是它们都是基于windows 底层SHE 的。我们使用Win10 1703 + VS2010 生成X86 Rlease 程序来验证已经学过的知识,后面使用XP x86 7600 来学习编译器版本的SHE。 编译如下程序 #define WIN32_LEA
[Windows] CVE-2011-2005 Afd.sys 本地提权漏洞复现
fa1c4的blog
01-26 3242
前言 这是一个微软在2011.10发布的补丁中提到的系统辅助驱动程序Afd.sys存在的本地提权漏洞, 影响到Windows XP, 和Windows Server 2003系统. 漏洞成因是Microsoft Windows Ancillary Function Driver(afd.sys)驱动程序没有完善检测用户提交的数据, 攻击者可以利用该漏洞执行任意代码. 漏洞分析 漏洞利用 总结 ...
MFC逆向之CrackMe Level3 过反调试 + 写注册机
jmm18363027827的博客
12-15 730
今天我来分享一下,过反调试的方法以及使用IDA还原代码 + 写注册机的过程由于内容太多,我准备分为两个帖子写,这个帖子主要是写IDA还原代码,下一个帖子是写反调试的分析以及过反调试和异常这个CrackMe Level3是一个朋友发我的,我也不知道他在哪里弄的,我感觉挺好玩的,对反调试 异常 以及代码还原的学习有一些帮助调试器:X64和OD反编译工具:IDAPE工具:Detect It Easy反调试插件:OD的StrongOD和虫子的ScyllaHideARK工具:Pchunter。
反调试技术
nareku的博客
06-21 820
思来想去还是先写反反调试,壳的话打算在PE文件内容里写反调试顾名思义就是用尽一切手段防止运行时对程序的非法篡改和窥视,加大代码的复杂度和分析等以下只是遇到的一些反调试,其中有一些知识都没有学习到,不过慢慢来也慢慢补坑。
漏洞分析HEVD-0x2.StackOverflowGS[win7x86]
m0_64973256的博客
07-07 245
视频制作不易,求三联支持,拜谢~添加公众账号“极安御信安全研究院”,报暗号:“资料” 即可领取视频相关工具、源码、学习资料,和其他逆向工程免费课。进交流群报暗号“交流群” 网络安全交流群QQ:434238324...
HEVD-Python-Solutions:用于HackSysTeam Extreme漏洞驱动程序的Python解决方案
05-04
HEVD-Python-解决方案 用于HackSysTeam Extreme漏洞驱动程序的Python解决方案
kernel-drivers-hevd-exploitation:内核驱动程序声称利用了Windows
05-16
标题“kernel-drivers-hevd-exploitation:内核驱动程序声称利用了Windows”暗示了这是一个关于Windows内核驱动程序的安全漏洞研究,可能涉及到如何发现、分析和利用这些漏洞的过程。HEVD(Hypervisor-Enforced Code ...
hevd:HEVD漏洞利用的公共存储库
05-10
HEVD:Windows内核漏洞利用的公共存储库】 HEVD,全称为“HackSysExtremeVulnerableDriver”,是一个专门设计用于安全研究和教学目的的开源Windows内核漏洞利用开发平台。这个项目由安全研究人员创建,旨在帮助...
hsploit:HEVD Multi-Exploit by m_101
05-11
HEVD培训驱动程序有许多漏洞利用和内容提要,这是另一种多重漏洞利用。 关于如何利用此驱动程序,有很多文档,因此,我不会在此部分进行更多扩展。 但是,我发布的目标是有一个使用C调用的Rust示例,是的,您可以...
HackSysExtremeVulnerableDriver:HackSys Extreme漏洞Windows驱动程序
02-06
通过分析和利用HEVD中的漏洞,可以提高对Windows内核安全的理解,并提升安全防护能力。 六、总结 HackSys Extreme Vulnerable Driver作为学习和测试Windows内核驱动漏洞的重要工具,对于提升安全研究人员的技能和...
C++反汇编与逆向之识别main函数学习笔记
AvinLi的专栏
03-16 1127
int main(int argc, char* argv[]) { // main(int 1, char * * 0x00380d70) line 7 // mainCRTStartup() line 206 + 25 bytes // KERNEL32! 7c817067() // 根据堆栈的先进后出原则可知 // 程序在调用main函数之前,先调用了Kernel32 ->
西湖论剑2021
qq_52974719的博客
12-06 337
西湖论剑RE部分题解
CFreeMarshaler::MarshalInterface逆向结果唯一可以触发CFreeMarshaler::InitSecret的地方
如鹿渴慕泉水的专栏
03-16 363
HRESULT __stdcall CFreeMarshaler::MarshalInterface(CFreeMarshaler *this, IStream *pStm, _GUID *riid, void *pv, unsigned int dwDestContext, void *pvDestContext, unsigned int mshlflags) { int v7; // e...
windows内核提权(一)之栈溢出
qq_41252520的博客
04-24 830
前言 这个学期在做一个安全软件项目,涉及到windows的驱动开发,也因此项目为我敲开了windows内核的大门。这里面的东西奥妙无穷,亟待探索。 环境 HackSystem的作者专门为教学windows内核安全而写了一个漏洞驱动HEVD,里面包含了基本的堆栈溢出漏洞,并附带了EXP。我下载的是最新版的HEVD3.0。 windows7 32位 分析 首先使用IDA静态分析一下,找到D...
Dalvik interpreter 笔记
幻想世界
02-08 2108
在任何的virtual matchine都有一个interpreter的架构,DVM也不例外. 到底DVM的interpreter在指令处理上是如何运作的? 以下就作一一的心得记录.顺便提一下, 从Android2.2之后google为了要提升app在DVM上的执行效率,所以在DVM增加了JITcompiler机制. 由于这又是另一个topic. 所以有关于JIT的运作就不在这作心得记录. 日后有
更深入一点理解switch语句及c/c++对const的处理
热门推荐
潇寒的Blog
08-17 1万+
更深入一点理解 switch 语句 及 c/c++ 对 const 的处理                                    谢煜波------------------------------------------------转载请注明原作者,以出处~~------------------------------------------------前段时间在论坛上
Spark MLlib 特征工程(上)
08-14 2981
特征选择的动机,在于提取与预测标的关联度更高的特征,从而精简模型尺寸、提升模型泛化能力。特征选择可以从两方面入手,业务出发的专家经验和基于数据的统计分析。归一化的目的,在于去掉不同特征之间量纲的影响,避免量纲不一致而导致的梯度下降震荡、模型收敛效率低下等问题。归一化的具体做法,是把不同特征都缩放到同一个值域。在这方面,Spark MLlib 提供了多种归一化方法供开发者选择。
软考高级第四版备考---第39天(数据管理)
u013136284的专栏
08-12 952
5.2数据安全管理:数据安全管理是在数据安全标准与策略的指导下,通过对数据访问的授权、分类分级的控制、监控数据的访问等进行数据安全的管理工作,满足数据安全的业务需要和监管需求,实现组织内部对数据生存周期的数据安全管理。6.4数据质量提升:数据质量提升是对数据质量分析的结果,制定、实施数据质量改进方案,包括错误数据更正、业务流程优化、应用系统问题修复等,并制定数据质量问题的预防方案,确保数据质量改进的成果得到有效保持。
ElasticSearch文档数据关联关系处理
最新发布
qq_44027353的博客
08-15 789
再更新操作时,对象类型和嵌套对象nested方式有一个问题,因为根对象和嵌套对象本质上它们还是存在一个文档中的,每次更新时就可以需要重新索引整个文档。ES提供了父子关联关系,通过维护parent/child的关系,分离它们,使父文档和子文档是两个独立的文档,更新其中一个文档不会影响另一个文档。创建子文档时,必须通过routing指定父文档id,保证父子文档在一个shard中,提高join查询性能。user字段如果保存的是一个对象数组,在搜索时添加两个查询条件,数组中两个对象分别满足一个条件。
谷粒商城实战笔记-175~177-商城业务-检索服务-检索查询接口开发
epitomizelu的专栏
08-13 772
搜索页面搭建完成之后,点击搜索按钮,发送参数给后台服务,后台服务根据参数从Elasticsearch中查询符合条件的数据,返回给前端。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

极安御信安全研究院

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值