【2021.03.16】代码跨段跳转实验

最新推荐文章于 2022-02-25 16:53:04 发布
最新推荐文章于 2022-02-25 16:53:04 发布
阅读量359 收藏 1
点赞数
分类专栏: Windows内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18120361/article/details/114903080
版权

本节内容

通过 JMP FAR 指令修改CS段寄存器

要点回顾

前文以 JMP 0x20:0x004183D7 为例,提到了代码跨段跳转的五个步骤,分别是:

  1. 拆分段选择子:确认RPL、TI、索引。
  2. 查询GDT表得到段描述符。
  3. 权限检查:一致代码段与非一致代码段检查方式不一样。
  4. 加载段描述符:加载段描述符至段寄存器,真正修改CS段寄存器。
  5. 代码执行:修改EIP(新CS.BASE + EIP),赋值给EIP寄存器并且执行。

构造段描述符

如何区分是否为数据段/代码段?

如 00cf9b00`0000ffff :

  1. 通过观察段描述符的高4字节的第五位(9或f),能确定是代码段还是数据段。
  2. 通过观察段描述符的高4字节的第六位(b),b是大于8的,在TYPE域表格中查找发现大于等于8的就是代码段。

找一个非一致代码段描述符,复制一份并写入GDT表中:

将 00cffb00`0000ffff 数据写入某个P位为0的位置。

8003f040   0000f200`0400ffff  00000000`00000000

kd> eq 8003f048 00cffb00`0000ffff(注意要使用Windbg查看新增是否成功)

OD中进行测试

在OD中,执行跨段跳转 JMP FAR 004B:0041B840D。

执行成功,实现了对CS段寄存器和EIP的同时修改。

修改段描述符的权限级别

将 00cffb00`0000ffff 修改为 00cf9b00`0000ffff(非一致代码段,且DPL为0)。

在OD中,执行跨段跳转 JMP FAR 004B:0041840D。

跳转到了ntdll,进入了异常模块,当前CPL为3,权限检查未通过,失败了。

非一致代码段要求CPL与DPL必须一致,才可以跳过去执行,否则无法加载。

将段描述符的属性修改为一致代码段

一致代码段允许低权限访问高权限。

将 00cffb00`0000ffff 修改为 00cf9f00`0000ffff。

kd> eq 8003f048 00cf9f00`0000ffff

修改为9后,DPL已经变成了0。

将b修改为f后,就变成了一致代码段。

在OD中,执行跨段跳转 JMP FAR 004B:0041840D。

从低权限跳转至DPL为0的高权限已经成功了。

为什么可以跳转?因为这个代码段是一致代码段。

总结

  1. 为了对数据进行保护,普通代码段是进制不同级别进行访问的。用户态的代码不能访问内核的数据。同样,内核态的代码也不能访问用户态的数据。
  2. 如果想提供一些通用的功能,而且这些功能并不会破坏内核数据,那么可以选择一致代码段。这样,低权限的程序可以在不提升CPL权限等级的情况下访问。
  3. 如果想访问普通代码段,只有通过调用门等提升CPL权限,才能访问。
oalken
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pycharm-community-2021.2.3
11-19
PyCharm是一种Python IDE(Integrated Development Environment,集成开发环境),带有一整套可以帮助用户在使用Python语言开发时提高其效率的工具,比如调试、语法高亮、项目管理、代码跳转、智能提示、自动完成、单元测试、版本控制。此外,该IDE提供了一些高级功能,以用于支持Django框架下的专业Web开发。
JS判断搜索引擎来路跳转代码.rar
09-16
亲测可用,JS判断搜索引擎来路跳转代码
Windows保护模式学习笔记(二)—— 代码跨段跳转
qq_41988448的博客
10-16 1295
Windows保护模式学习笔记(二)要点回顾 要点回顾
[保护模式]段间跳转跨段跳转
鬼手的博客
12-01 1646
文章目录段间跳转段寄存器段间跳转段间跳转的执行流程1.段选择子拆分2.查表得到段描述符3.权限检查4.加载段描述符5.代码执行总结跨段跳转短调用长调用跨段不提权跨段提权总结 段间跳转 代码跨段,本质就是修改CS段寄存器 段寄存器 段寄存器有下面几个:ES CS SS DS FS GS LDTR TR。除了CS以外,其他的段寄存器都可以通过MOV LES LSS LDS LFS LGS指令进行修改。...
简述RPL, DPL, CPL的区别与联系
huangkangying的专栏
04-09 3609
简述RPL, DPL, CPL的区别与联系基本概念RPL: Requested Privilege Level, 请求特权级 DPL: Descriptor Privilege Level,描述符特权级 CPL: Current Privilege Level,当前特权级区分RPL和CPL可能有很多博客或者文章上面都有讲到RPL和CPL,那么这两者到底有什么区别和联系呢: 1. RPL存在于段
x86 几个特权级别(CPL,RPL,DPL)
少帅的天空
08-04 3989
<br />在阅读linux内核的时候,在linux内核的权限保护机制部分,经常会讨论几个特权级别:CPL,RPL,DPL。下面简单讲一下我自己的理解。 背景知识:<br />1 x86体系结构的几个段寄存器:cs,ds,es,ss.fs.gs它们无论在实模式下还是保护模式下,都是16位的寄存器,只是功能不而已。实模式下: 用做段寄存器,用来将逻辑地址转换到线性地址保护模式下:段选择子,用来作为索引在GDT表或LDT表等中选择段描述符。主要内容:1 段选择子基本结构:   index    TI    
DPL, CPL及RPL之间的关系
weixin_33725239的博客
07-03 857
DPL: Descriptor Privilege Level 1) GDT/LDT表中的描述符 GDT/LDT表中的描述符,描述的是一段内存。 其中的DPL代表着GDT/LDT中的描述符描述的内存段的特权级别。 比如,当前正在执行的代码,它的特权级别就是当前的CS段选择子指向的段描述符中的DPL所决定的。 即DPL是描述一段内存的特权级别。 2) IDT表中的描述符 IDT表中的描述符,...
if.rar_If..._跳转
09-20
超级好用的跳转代码,喜欢的可以去下载下来看看
auto.js跳转到京东指定页面.txt
05-20
通过京东意图scheme跳转到指定页面,包括指定商品、东东农场、种豆得豆、宠汪汪、东东萌宠、天天加速以及各种签到页面的跳转代码
网站跳转链接页面PHP代码.zip
10-23
使用方法:  下载后将压缩包内go.php文件打开编辑  (把http://www.####.com链接改成自己... 如何调用:你的网站域名/go.php/?url=跳转到别人的网站地址  列如:http://www.3se.cc/go.php/?url=http://wwwbaidu.com/
(3) [保护模式]代码跨段跳转 (jmp far)
qq_50332504的博客
02-25 1469
使用jmp far修改CS寄存器的值 ES, SS, DS, FS, GS, LDTR, GDTR, IDTR, TR都可以通过一些指令来直接修改其值,但唯独CS寄存器不行。本文将说明CS如何 使用jmp far指令 修改CS寄存器的值,以及一些jmp far指令的小细节
6、代码间的跳转--Windows内核学习笔记
Windows内核学习笔记
01-17 213
1、代码间的跳转(段间跳转、非调用门值类的) 1、同时修改CS和EIP的指令 JMP FAR/CALL FAR/RETF/INT/IRETED 2、只改变EIP的指令 JMP/CALL/JCC/RET 3、JMP 0x20:0x004183D7 CPU如何执行这行代码? -首先JMP后面跟了6个字节,分别是0020:004183D7 -0x0020是两个字节,0x004183D7是第四个字节 -如果是这样的话 JMP 0x004183D7,CPU直接修改EIP的值,不需要查表 -JM
PC微信程序多开
weixin_43482414的博客
05-12 436
查看微信安装目录 C:\Program Files (x86)\Tencent\WeChat 管理员权限运行CMD 进入WeChat安装目录 cd C:\Program Files (x86)\Tencent\WeChat 多开微信 需要几个就加入几个&WeChat.exe start WeChat.exe&WeChat.exe
26-代码跨段跳转
网络安全
06-15 753
1. 什么是代码跨段 简单来讲,代码跨段本质上就是修改CS段寄存器的值,即把另一个代码段的描述符加载到cs段寄存器。 前面我们也说过,CS段寄存器不能单独修改,需要和EIP寄存器一起修改才行,因此想要实现代码跨段访问就需要使用一些特定的指令来完成,例如jmp far指令就可以完成代码跨段访问。 2. 代码跳转流程 2.1 查表得到段描述符 然后CPU根据段选择子查找G...
08-代码跨段跳转实验
啊哈的博客
11-28 163
本节内容 通过JMP FAR指令修改CS段寄存器 要点回顾 在上一节课种重点介绍了JMP 0x20:0x004183D7 跨段跳转的五个步骤,分别是: 1、段选择子拆分 2、查表得到段描述符 3、权限检查 4、加载段描述符 5、代码执行 1、构造段描述符 找一个非一致代码段描述符,复制一份,写入到GDT表中 kd> r gdtr gdtr=8003f000 kd> dq 8003f000 8003f000 0000000000000000 00cf9b000000ffff 8003f010
4.代码跨段跳转
My classmates
10-10 518
代码跨段就是修改CS段寄存器 段寄存器: ES,CS,SS,DS,FS,GS,LDTR,TR 段寄存器读写: 除CS外,其他的段寄存器都可以通过 MOV,LES,LSS,LDS,LFS,LGS指令进行修改 CS的改变意味着EIP的改变,改变CS的同时必须修改EIP,所以我们无法使用上面的指令来进行修改. 同时修改CS与EIP的指令.JMP FAR /CALL FAR /RETF /INT/IRE...
7、代码间的跳转跨段跳转)--Windows内核学习笔记
Windows内核学习笔记
01-18 500
1、短调用 –指令格式:CALL 立即数/寄存器/内存 –CALL指令的作用:指令执行之前,先把下一行指令的地址,压入堆栈中,相当于PUSH进去,PUSH完成后会把后边的值写入到EIP中,所以这个指令执行后的效果如下图: –通常一个函数执行完毕后,会用RET指令进行返回 ,RET指令相当于POP EIP,将返回值的地址弹到EIP中,然后ESP加4 2、长调用(跨段不提权) –指令格式:CALL CS:EIP(EIP是废弃的,只是为了保证语法的兼容) –当一个CALL后面跟了六个字节,那这个CALL就是一个
07-代码跨段跳转流程
啊哈的博客
11-28 274
本节内容 代码跨段 本质就是修改CS段寄存器 要点回顾 段寄存器: ES,CS,SS,DS,FS,GS,LDTR,TR 段寄存器读写: 除CS外,其他的段寄存器都可以通过MOV,LES,LSS,LDS,LFS,LGS指令进行修改 CS为什么不可以直接修改呢? CS的改变意味着EIP的改变,改变CS的同时必须修改EIP,所以我们无法使用上面的指令来进行修改. 1、代码间的跳转(段间跳转 非调用门之类的) 段间跳转,有2种情况,即要跳转的段是一致代码段还是非一致代码段(如何区分参见之前视频) 同时修改CS与E
vivado2021.2下载
最新发布
07-13
Vivado 2021.2是赛灵思公司(Xilinx)最新推出的一款综合性的设计开发环境。Vivado是专门用于FPGA(现场可编程门阵列)和SoC(片上系统)设计的工具软件,它提供了一个全面的设计流程,包括设计、验证、调试和生成...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值