要点回顾
前文提到 CALL FAR 指令,该指令的格式如下:
CALL CS:EIP(EIP是废弃的)
调用门
指令格式:CALL CS:EIP(EIP是废弃的)
执行步骤
- 根据CS段寄存器中储存的段选择子查询GDT表,找到对应的段描述符,这个段描述符是一个调用门(也就是说是一个系统段描述符)。
- 在调用门描述符中储存了另一个代码段的段选择子。
- 段选择子指向的段:段.BASE + 偏移地址,就是真正要执行的地址。
调用门描述符
如果是一个门描述符,它的结构如下:
- 首先S位,必须为0。只有S位为0的时候,才是系统段描述符。门描述符是系统段描述符中的类。
- 当S位为0,说明是一个系统段描述符,当它的TYPE位为1100的时候,说明这个描述符是一个门描述符。
- 可以看到图中的S位与TYPE位是写死的。
构造调用门(无参且提权)
由于Windows中并没有使用调用门,所以需要手动构造一个调用门。
构造调用门的时候,从高位往低位写。
如门描述符高4字节的31-16位,是要跳转的偏移地址的高4位,当前并不确定要去的位置在哪,所以先用4个0代替。
0000
P位表示当前段描述符是否有效,所以必须置1。
门描述符的DPL位在做实验的时候一定要置为3,也就是11。因为测试代码是在3环写的,CPL是3,如果DPL设置为0,那么段权限检查是无法通过的。
二进制:1 11 0,也就是高4字节的15-12位。1110转换为16进制是E。
0000E
如果是调用门,那么TYPE位的值是确定的,也就是1100,转换为16进制是C。
0000EC
门描述符高4字节的7-5位默认是0,是保留的。
调用门是可以传递参数的,但是在本次实验中不需要传递参数,所以门描述符高4字节的4-0位也写成0。
0000EC00
以上,高32位的值就构造出来了,然后开始构造门描述符的低32位。
门描述符低4字节的31-16位,需要写的是一个段选择子,它真正指向了要执行的代码段。
前文提到过:使用长调用可以有提权和不提权,比如要调用的代码权限和当前的权限(CPL:3)是一样的,就可以指向一个DPL为3的代码段。
比如当前的CPL为3,不想提权就可以写成001B。001B就是一个段选择子,它对应的代码段是一个3环的代码段。
0000EC00`001B
如果希望提权,把当前的CPL:3,提权到0环,那么就可以写成0008。0008对应的代码段是一个0环的代码段。
0000EC00`0008
紧接着在门描述符中又是一个偏移(低4字节的第15-0位),高4字节的16-31位和第4字节的0-15位组成的偏移才是一个完整的32位偏移。
现在并不知道要往哪里跳,还是一样,用0代替。
0000EC00`00080000
以上就构造了一个调用门的段描述符,这个段描述符如果想要使用就需要加入到GDT表中。
加入GDT表
将构造好的调用门的段描述符加入到GDT表中。
写入GDT表中以后,就可以做实验并使用调用门了。
代码
#include "stdafx.h"
#include <windows.h>
void __declspec(naked) GetRegister()
{
__asm
{
int 3 //下断看地址:004010D0, 啥也没做,一个INT3中断
retf //注意返回, 不能是ret!
}
}
int main()
{
char buff[6];
*(DWORD*)&buff[0] = 0x12345678; //可以随便写, 这个就是EIP, EIP是废弃的
*(WORD*)&buff[4] = 0x48; //不能随便写, 对应CS段寄存器. 段选择子, 通过它寻找门描述符.
__asm
{
call fword ptr[buff] //长调用
}
getchar();
return 0;
}
构造后的门描述符:0000EC00`00080000,修改为:0040EC00`000810D0
当以上代码执行后,虽然 GetRegister() 中的代码写在了低2G空间内,但是当其一旦执行后,就已经不是3环的权限了,而是0环的权限。
执行后并不会中断至IDE,因为开着0环调试器Windbg,而0环调试器具有优先权。
寄存器的变化
在执行之前CS:001B,SS:0023,ESP:0012FF28。
代码执行后,可以看到Windbg中产生了一个中断:
还是那段代码,只不过提权了。提权以后观察寄存器变化:
在执行之前CS:001B,SS:0023,ESP:0012FF28。
在执行之后CS:0008,SS:0010,ESP:ED7B2DD0。
CS为什么是8?因为指定了要去的段是8,如果指定的是001B,那这里就不是8了。
这个段是一个0环的代码段,涉及到了权限切换。
CS是无论是否有权限切换都会变化,如果涉及到了权限切换,还有另外两个寄存器的值也会发生变化:ESP、SS。
堆栈的变化
小结
执行完成以后,当 GetRegister() 中的代码执行的时候,它的权限和寄存器都发生了变化。
通过调用门来进行提权,是成功的。
如果在 GetRegister() 中做内核才能做的事情,会不会崩溃蓝屏呢?答案是不会。
因为有了调用门以后,现在在 GetRegister() 中写代码是和驱动中写代码是完全一样的。
使用调用门提权后读取GDT表
#include "stdafx.h"
#include <windows.h>
BYTE GDT[6] = {0};
DWORD dwH2GValue;
void __declspec(naked) GetRegister()
{
__asm
{
pushad
pushfd
mov eax,0x8003f00c //读取高2G内存
mov ebx,[eax]
mov dwH2GValue,ebx
sgdt GDT; //读取GDT
popfd
popad
retf //注意返回, 不能是ret
}
}
void PrintRegister()
{
DWORD GDT_ADDR = *(PDWORD)(&GDT[2]);
WORD GDT_LIMIT = *(PWORD)(&GDT[0]);
printf("%x %x %x\n", dwH2GValue,GDT_ADDR,GDT_LIMIT);
}
int main()
{
__asm
{
mov ebx,ebx
mov ebx,ebx
}
char buff[6];
*(DWORD*)&buff[0] = 0x12345678;
*(WORD*)&buff[4] = 0x48;
__asm
{
call fword ptr[buff]
}
PrintRegister();
getchar();
return 0;
}
注意:如果 GetRegister() 的地址发生了改变,需要修改GDT表中的门描述符。