漏洞分析丨HEVD-0x2.StackOverflowGS[win7x86]

最新推荐文章于 2023-12-15 20:12:55 发布
最新推荐文章于 2023-12-15 20:12:55 发布
阅读量241 收藏
点赞数
分类专栏: 网络安全 文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64973256/article/details/125662151
版权

作者:selph

前言

窥探Ring0漏洞世界:缓冲区溢出之突破GS保护

实验环境:

•虚拟机:Windows 7 x86

•物理机:Windows 10 x64

•软件:IDA,Windbg,VS2022

漏洞分析
本次实验内容是BufferOverflowStackGS(环境提供的栈溢出一共有两个,一个是普通的,一个是GS保护的)

首先用IDA打开HEVD.sys,搜索BufferOverflowStack,可以看到两个函数:BufferOverflowGSStackIoctlHandler和TriggerBufferOverflowStackGS,跟上一篇一样,前者是分发程序,后者是漏洞程序

从IDA的F5里可以看出,这是一个经典的栈溢出漏洞:使用用户输入的长度进行memcpy调用,和上一例完全一样

int __stdcall TriggerBufferOverflowStackGS(void *UserBuffer, unsigned int Size)
{
unsigned __int8 KernelBuffer[512]; // [esp+14h] [ebp-21Ch] BYREF
CPPEH_RECORD ms_exc; // [esp+218h] [ebp-18h]

memset(KernelBuffer, 0, sizeof(KernelBuffer));
ms_exc.registration.TryLevel = 0;
ProbeForRead(UserBuffer, 0x200u, 1u);
_DbgPrintEx(0x4Du, 3u, “[+] UserBuffer: 0x%p\n”, UserBuffer);
_DbgPrintEx(0x4Du, 3u, “[+] UserBuffer Size: 0x%zX\n”, Size);
_DbgPrintEx(0x4Du, 3u, “[+] KernelBuffer: 0x%p\n”, KernelBuffer);
_DbgPrintEx(0x4Du, 3u, “[+] KernelBuffer Size: 0x%zX\n”, 0x200u);
_DbgPrintEx(0x4Du, 3u, “[+] Triggering Buffer Overflow in Stack (GS)\n”);
memcpy(KernelBuffer, UserBuffer, Size);
return 0;
}

交叉引用查看调用处:依然跟上次一样

int __stdcall BufferOverflowStackGSIoctlHandler(_IRP *Irp, _IO_STACK_LOCATION *IrpSp)
{
int v2; // ecx
_NAMED_PIPE_CREATE_PARAMETERS *Parameters; // edx

v2 = -1073741823;
Parameters = IrpSp->Parameters.CreatePipe.Parameters;
if ( Parameters )
return TriggerBufferOverflowStackGS(Parameters, IrpSp->Parameters.Create.Options);
return v2;
}

接着往上走,找到控制码,这里调用处前面的标号是$LN6

 

查看前面的跳转表:

 

可以看到,这里是按顺序排的,这里eax只要等于1即可跳转过来

 

根据上例可知,eax=0,需要的输入是0x00222003,查看eax是怎么来的:

是通过这个索引获取的,所以这里eax得是比上次多4,所以这次使用的控制码是:

最低0.47元/天 解锁文章
极安御信安全研究院
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SEH 进阶(1)
商少
04-23 1528
SHE进阶 了解了上一篇的文章之后,我们写一个简单的例子来验证我们的想法,并学习新的知识。 不同的编译器提供的增强版本SHE 可能不同,但是它们都是基于windows 底层SHE 的。我们使用Win10 1703 + VS2010 生成X86 Rlease 程序来验证已经学过的知识,后面使用XP x86 7600 来学习编译器版本的SHE。 编译如下程序 #define WIN32_LEA
[Windows] CVE-2011-2005 Afd.sys 本地提权漏洞复现
fa1c4的blog
01-26 3230
前言 这是一个微软在2011.10发布的补丁中提到的系统辅助驱动程序Afd.sys存在的本地提权漏洞, 影响到Windows XP, 和Windows Server 2003系统. 漏洞成因是Microsoft Windows Ancillary Function Driver(afd.sys)驱动程序没有完善检测用户提交的数据, 攻击者可以利用该漏洞执行任意代码. 漏洞分析 漏洞利用 总结 ...
反调试技术
nareku的博客
06-21 790
思来想去还是先写反反调试,壳的话打算在PE文件内容里写反调试顾名思义就是用尽一切手段防止运行时对程序的非法篡改和窥视,加大代码的复杂度和分析等以下只是遇到的一些反调试,其中有一些知识都没有学习到,不过慢慢来也慢慢补坑。
MFC逆向之CrackMe Level3 过反调试 + 写注册机
最新发布
jmm18363027827的博客
12-15 686
今天我来分享一下,过反调试的方法以及使用IDA还原代码 + 写注册机的过程由于内容太多,我准备分为两个帖子写,这个帖子主要是写IDA还原代码,下一个帖子是写反调试的分析以及过反调试和异常这个CrackMe Level3是一个朋友发我的,我也不知道他在哪里弄的,我感觉挺好玩的,对反调试 异常 以及代码还原的学习有一些帮助调试器:X64和OD反编译工具:IDAPE工具:Detect It Easy反调试插件:OD的StrongOD和虫子的ScyllaHideARK工具:Pchunter。
程序出现Access violation - code c0000005 (first chance)的解决方法
木易云清
03-17 1万+
遇到相同的问题,虽然没解决我的问题,留着慢慢研究。 一、 首先说明产生这种现实的原因:      操作对象为null或内存地址不存在,非常容易产生这种错误的情况是你的程序采用的多线程技术,线程中有多全局变量操作 见四。要想真正在你的海量程序代码中定位到错误位置,属实是件不易的事情。    二、  那么我们如何解决这个问题呢?本人提出两种方法       1.从代码入手逐段屏蔽代码
HEVD-Python-Solutions:用于HackSysTeam Extreme漏洞驱动程序的Python解决方案
05-04
HEVD-Python-解决方案 用于HackSysTeam Extreme漏洞驱动程序的Python解决方案
kernel-drivers-hevd-exploitation:内核驱动程序声称利用了Windows
05-16
标题“kernel-drivers-hevd-exploitation:内核驱动程序声称利用了Windows”暗示了这是一个关于Windows内核驱动程序的安全漏洞研究,可能涉及到如何发现、分析和利用这些漏洞的过程。HEVD(Hypervisor-Enforced Code ...
hevd:HEVD漏洞利用的公共存储库
05-10
【HEVD:Windows内核漏洞利用的公共存储库】 HEVD,全称为“HackSysExtremeVulnerableDriver”,是一个专门设计用于安全研究和教学目的的开源Windows内核漏洞利用开发平台。这个项目由安全研究人员创建,旨在帮助...
hsploit:HEVD Multi-Exploit by m_101
05-11
HEVD培训驱动程序有许多漏洞利用和内容提要,这是另一种多重漏洞利用。 关于如何利用此驱动程序,有很多文档,因此,我不会在此部分进行更多扩展。 但是,我发布的目标是有一个使用C调用的Rust示例,是的,您可以...
HackSysExtremeVulnerableDriver:HackSys Extreme漏洞Windows驱动程序
02-06
通过分析和利用HEVD中的漏洞,可以提高对Windows内核安全的理解,并提升安全防护能力。 六、总结 HackSys Extreme Vulnerable Driver作为学习和测试Windows内核驱动漏洞的重要工具,对于提升安全研究人员的技能和...
Where do you want to jmp today ? In one of my previous posts (part 1 of writing stack based buffer
I'm a hack----
11-01 6641
In the first 2 parts of the exploit writing tutorial series, I have discussed how a classic stack buffer overflow works and how you can build a reliable exploit by using various techniques to jump to
vulnhub-Brainpan (考点:windows exe和linux elf下的两种缓冲区溢出)
冬萍子癸水
04-21 2127
https://www.vulnhub.com/entry/brainpan-1,51/ 安装为nat网络 arp-scan -l。比平常多出来的那个就是靶机了 nmap C:\root> nmap -A 192.168.189.188 Starting Nmap 7.80 ( https://nmap.org ) at 2020-04-20 22:11 EDT Nmap scan repo...
Kali Linux学习笔记—Windows缓冲区溢出攻击
weixin_43653897的博客
11-25 3239
重启后发生变化为true,不发生变化为false OS 必须是true
特殊字符串
ShadowAssassin的专栏
01-01 5686
var buffer = 'Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1
Windows缓冲区溢出之SLMail
Mi1k7ea
07-08 6025
基本概念与环境准备缓冲区溢出:当缓冲区边界限制不严格时,由于变量传入畸形数据或程序运行错误,导致缓冲区被填满从而覆盖了相邻内存区域的数据。可以修改内存数据,造成进程劫持,执行恶意代码,获取服务器控制权限等。在Windows XP或2k3 server中的SLMail 5.5.0 Mail Server程序的POP3 PASS命令存在缓冲区溢出漏洞,无需身份验证实现远程代码执行。注意,Win7以上系...
西湖论剑2021
qq_52974719的博客
12-06 333
西湖论剑RE部分题解
CFreeMarshaler::MarshalInterface逆向结果唯一可以触发CFreeMarshaler::InitSecret的地方
如鹿渴慕泉水的专栏
03-16 358
HRESULT __stdcall CFreeMarshaler::MarshalInterface(CFreeMarshaler *this, IStream *pStm, _GUID *riid, void *pv, unsigned int dwDestContext, void *pvDestContext, unsigned int mshlflags) { int v7; // e...
Exploit writing tutorial part1: Stack Based Overflows
Nixawk
06-28 2265
Author: Corelan Team (corelanc0d3r) Modify: Nixawk This tutorial will show you how to exploit a software from stack overflow.Requirements Software: Easy RM to MP3 Converter Version 2.7.3.700.2006.09
linux绕过内存写保护,内存保护机制及绕过方法——利用Ret2Libc绕过DEP之VirtualProtect函数...
weixin_39709262的博客
05-01 1156
利用Ret2Libc绕过DEP之VirtualProtect函数⑴. 原理分析:i.相关概念:VirtualProtect()函数:BOOL WINAPI VirtualProtect(_In_ LPVOID lpAddress, //目标地址的起始位置_In_ SIZE_T dwSize, //区域大小_In_ DWORD flNewProtect, //新的保护属性,设置为...
Base64编码与图片互转工具
热门推荐
Willdas博客
11-02 12万+
package com.willdas.test; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.FileOutputStream; import java.io.IOException; import java.io.InputStream; import ja

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

极安御信安全研究院

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值