【2021.03.19】调用门:上

最新推荐文章于 2023-01-01 23:04:04 发布
最新推荐文章于 2023-01-01 23:04:04 发布
阅读量442 收藏 2
点赞数
分类专栏: Windows内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18120361/article/details/115015523
版权

要点回顾

前文提到 CALL FAR 指令,该指令的格式如下:

CALL CS:EIP(EIP是废弃的)

调用门

指令格式:CALL CS:EIP(EIP是废弃的)

执行步骤

  1. 根据CS段寄存器中储存的段选择子查询GDT表,找到对应的段描述符,这个段描述符是一个调用门(也就是说是一个系统段描述符)。
  2. 在调用门描述符中储存了另一个代码段的段选择子。
  3. 段选择子指向的段:段.BASE + 偏移地址,就是真正要执行的地址。

调用门描述符

如果是一个门描述符,它的结构如下:

  • 首先S位,必须为0。只有S位为0的时候,才是系统段描述符。门描述符是系统段描述符中的类。
  • 当S位为0,说明是一个系统段描述符,当它的TYPE位为1100的时候,说明这个描述符是一个门描述符。
  • 可以看到图中的S位与TYPE位是写死的。

构造调用门(无参且提权)

由于Windows中并没有使用调用门,所以需要手动构造一个调用门。

构造调用门的时候,从高位往低位写。

如门描述符高4字节的31-16位,是要跳转的偏移地址的高4位,当前并不确定要去的位置在哪,所以先用4个0代替。

0000

P位表示当前段描述符是否有效,所以必须置1。

门描述符的DPL位在做实验的时候一定要置为3,也就是11。因为测试代码是在3环写的,CPL是3,如果DPL设置为0,那么段权限检查是无法通过的。

二进制:1 11 0,也就是高4字节的15-12位。1110转换为16进制是E。

0000E

如果是调用门,那么TYPE位的值是确定的,也就是1100,转换为16进制是C。

0000EC

门描述符高4字节的7-5位默认是0,是保留的。

调用门是可以传递参数的,但是在本次实验中不需要传递参数,所以门描述符高4字节的4-0位也写成0。

0000EC00

以上,高32位的值就构造出来了,然后开始构造门描述符的低32位。

门描述符低4字节的31-16位,需要写的是一个段选择子,它真正指向了要执行的代码段。

前文提到过:使用长调用可以有提权和不提权,比如要调用的代码权限和当前的权限(CPL:3)是一样的,就可以指向一个DPL为3的代码段。

比如当前的CPL为3,不想提权就可以写成001B。001B就是一个段选择子,它对应的代码段是一个3环的代码段。

0000EC00`001B

如果希望提权,把当前的CPL:3,提权到0环,那么就可以写成0008。0008对应的代码段是一个0环的代码段。

0000EC00`0008

紧接着在门描述符中又是一个偏移(低4字节的第15-0位),高4字节的16-31位和第4字节的0-15位组成的偏移才是一个完整的32位偏移。

现在并不知道要往哪里跳,还是一样,用0代替。

0000EC00`00080000

以上就构造了一个调用门的段描述符,这个段描述符如果想要使用就需要加入到GDT表中。

加入GDT表

将构造好的调用门的段描述符加入到GDT表中。

写入GDT表中以后,就可以做实验并使用调用门了。

代码

#include "stdafx.h"
#include <windows.h>

void __declspec(naked) GetRegister()
{
    __asm
    {
        int 3       //下断看地址:004010D0, 啥也没做,一个INT3中断
        retf        //注意返回, 不能是ret!
    }
}

int main()
{
    char buff[6];

    *(DWORD*)&buff[0] = 0x12345678; //可以随便写, 这个就是EIP, EIP是废弃的
    *(WORD*)&buff[4] = 0x48;        //不能随便写, 对应CS段寄存器. 段选择子, 通过它寻找门描述符.

    __asm
    {
        call fword ptr[buff]        //长调用
    }

    getchar();

    return 0;
}

构造后的门描述符:0000EC00`00080000,修改为:0040EC00`000810D0

当以上代码执行后,虽然 GetRegister() 中的代码写在了低2G空间内,但是当其一旦执行后,就已经不是3环的权限了,而是0环的权限。

执行后并不会中断至IDE,因为开着0环调试器Windbg,而0环调试器具有优先权。

寄存器的变化

在执行之前CS:001B,SS:0023,ESP:0012FF28。

代码执行后,可以看到Windbg中产生了一个中断:

还是那段代码,只不过提权了。提权以后观察寄存器变化:

在执行之前CS:001B,SS:0023,ESP:0012FF28。

在执行之后CS:0008,SS:0010,ESP:ED7B2DD0。

CS为什么是8?因为指定了要去的段是8,如果指定的是001B,那这里就不是8了。

这个段是一个0环的代码段,涉及到了权限切换。

CS是无论是否有权限切换都会变化,如果涉及到了权限切换,还有另外两个寄存器的值也会发生变化:ESP、SS。

堆栈的变化

小结

执行完成以后,当 GetRegister() 中的代码执行的时候,它的权限和寄存器都发生了变化。

通过调用门来进行提权,是成功的。

如果在 GetRegister() 中做内核才能做的事情,会不会崩溃蓝屏呢?答案是不会。

因为有了调用门以后,现在在 GetRegister() 中写代码是和驱动中写代码是完全一样的。

使用调用门提权后读取GDT表

#include "stdafx.h"
#include <windows.h>

BYTE GDT[6] = {0};
DWORD dwH2GValue;

void __declspec(naked) GetRegister()
{
    __asm
    {
        pushad
        pushfd

        mov eax,0x8003f00c    //读取高2G内存
        mov ebx,[eax]
        mov dwH2GValue,ebx
        sgdt GDT;             //读取GDT

        popfd
        popad

        retf                  //注意返回, 不能是ret
    }
}

void PrintRegister()
{
    DWORD GDT_ADDR = *(PDWORD)(&GDT[2]);
    WORD GDT_LIMIT = *(PWORD)(&GDT[0]);

    printf("%x %x %x\n", dwH2GValue,GDT_ADDR,GDT_LIMIT);
}

int main()
{
    __asm
    {
        mov ebx,ebx
        mov ebx,ebx
    }

    char buff[6];

    *(DWORD*)&buff[0] = 0x12345678;
    *(WORD*)&buff[4] = 0x48;

    __asm
    {
        call fword ptr[buff]
    }

    PrintRegister();

    getchar();

    return 0;
}

注意:如果 GetRegister() 的地址发生了改变,需要修改GDT表中的门描述符。

oalken
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
总结进入RING0的方法
01-24 1367
关于进入RING0层的方法,大家一定听说过不少,我在复习保护模式编程中将一些进RING0的方法;总结了一下,包括调用,任务,中断,陷阱等,这些方法都是直接利用IA32的方法,所以和操作系统应该没有多大关系,当然由于NT内核对GDT,IDT,的保护所以我们不能用这些方法,不过如果一旦突破了NT的保护,那么所有的方法就都可以使用了,其他的还有SEH等方法,我在前面的文章中也有介绍。 ---
操作系统篇-调用与特权级(CPL、DPL和RPL).docx
07-31
操作系统篇-调用与特权级(CPL、DPL和RPL).docx
总结:汇编语言(第3版)--第十章 CALL 和 RET 指令
TracyWorld
07-20 202
第十章  CALL 和 RET 指令 call 和 ret 指令都是转移指令,它们都修改 IP ,或同时修改 CS 和 IP 。它们经常被共同用来实现子程序的设计。 ret 和 retf :ret 指令用栈中的数据,修改 IP 的内容,从而实现近转移;retf 指令用栈中的数据,修改 CS 和 IP 的内容,从而实现远转移。 call 指令 :CPU 执行 call 指令是,进行两步操作,首...
调用
Misaka10046的博客
04-25 1036
调用 执行流程 指令格式:CALL CS:EIP 执行步骤:1.根据CS的值 查GDT表 找到对应的段描述符 S位必须为0 Type位为1100 2.根据段描述符中的 段大小和基地址找到执行的代码 1.当通过 权限不变时 只会PUSH两个值:CS 返回地址 新的CS由调用决定 2.当通过,权限改变的时候,会PUSH四个值:SS ESP CS 返回地址,新的CS由调用决定,新的SS和ESP由TSS提供。 3.通过调用是,要执行哪行代码由调用决定,但使用RETF返回时,由堆栈中压入的值决定,进入
什么是调用
、moddemod
09-07 708
调用 通过GDT表查询 任务 中断 陷阱 通过IDT表查询 其实就是一种转换机构,这里谈到的各种概念都是针对CPU的,人家intel工程师就是这样设计的一套理念,你只需要理解即可。保护模式之所以称之为保护模式,重在保护二字,因为在保护模式的前一个版本实模式下,所有的不管是系统的数据还是用户的数据都是混在一块的,如果你一个不小心改写了某块系统部分的数据,结果就是系统直接崩溃! 这显示是很不可取的,所以intel后来设计了保护模式,所谓保护可以理解为保护操作系统不受用户轻易破坏! 本质还是一样的,所
java.net.SocketException: Connection reset 解决方法
09-05
最近纠结致死的一个java报错java.net.SocketException: Connection reset 终于得到解决
vb.rar_VB 串口_site:www.pudn.com
09-20
在VB如何中调用串口控件并实时读取串口的数据。
Lua中使用.和:调用函数的区别
09-22
主要介绍了Lua中使用.和:调用函数的区别,本文总结了它的调用函数的时传入参数的区别,并给出了一个代码实例,需要的朋友可以参考下
Javascript.NodeJS:从C#调用NodeJS中的Javascript
02-05
Jering.Javascript.NodeJS目录总览Jering.Javascript.NodeJS使... 您可以使用基于依赖项注入(DI)的API或静态API,也可以调用内存中和磁盘上JavaScript。 静态API示例: string javascriptModule = @"module.exports
JAVA-VBA-in--Excel.zip_excel_site:www.pudn.com_vba调用java
09-23
使用JAVA语言编写的小型抽奖系统,使用时需要输入姓名和手机号
通过调用进行控制转移 ——《x86汇编语言:从实模式到保护模式》读书笔记29
车子(chezi)
05-10 2825
通过调用进行控制转移 1.关于堆栈切换 2.通过调用进行控制转移和返回的具体过程
windows x32调用/中断实现 ring3提权
不会写代码的丝丽
01-01 1057
调用是Intel提供的一个机制,用于控制不同权限级(ring0-ring3)的程序函数调用。简单点就是提供了一个ring3 调用ring0 函数的机制。在intel手册描述如下详细可参阅实现调用需要构造一个调用描述符放入GDT或者LDT中。指向代码段的段选择子,P表示是否有效,如果栈转化那么指示要从调用方栈拷贝到目标栈的word(16位)数。type固定为1100.如果调用的代码段是ring3权限(CPL),而目标调用是ring0(RPL)权限,栈区是不共享的因此需要将栈区的参数拷贝到目标栈中。
6.调用
My classmates
10-11 679
1、调用执行流程指令格式: CALL CS:EIP(EIP是废弃的)cs:真正执行的代码下面解释 执行步骤:. 1)根据CS的值查GDT表,找到对应的段描述符,这个描述符是一个调用 2)在调用描述符中存储另一个代码段段的选择子 3)选择子指向的段 ,段.Base +偏移地址就是真正要执行的地址. 当s位为0的时候说明是系统描述符了, type域为1100这时后就是一个描述符。 它的低16...
(4) [保护模式]调用
qq_50332504的博客
02-25 666
不一样的call ==> call far call far 使用 调用 进行提权,观察寄存器和堆栈的变化 使用带参数的调用,并观察堆栈变化 关键字: 调用 带参数的调用
call dword ptr xxx与call xxx的比较
04-16 5589
一:问题 call dword ptr xxx与call xxx 前者为什么比后者就效率了?还有一个问题 #include  using namespace std; int main() { cout __asm jmp main return 0; } 这个函数为啥不是死循环?怎么执行一会就结束? 如果加个计数器 #include  using
call gate
weixin_34150224的博客
02-25 201
2019独角兽企业重金招聘Python工程师标准>>> ...
str.format()用法
最新发布
05-01
`str.format()` 是一种 Python 中用于格式化字符串的方法。它允许你插入变量、表达式和其他字符串,并指定它们的格式。 下面是一些使用 `str.format()` 的示例: 1. 替换单个字符串 ```python name = "Alice" message = "Hello, {}!".format(name) print(message) ``` 输出:`Hello, Alice!` 在这个例子中,我们使用一个占位符 `{}` 来代表要被替换的值,然后使用 `format()` 方法将 `name` 变量的值传递给该占位符。 2. 替换多个字符串 ```python name = "Alice" age = 30 message = "My name is {}, and I am {} years old.".format(name, age) print(message) ``` 输出:`My name is Alice, and I am 30 years old.` 在这个例子中,我们使用两个占位符 `{}` 来代表要被替换的两个值,然后使用 `format()` 方法将 `name` 和 `age` 变量的值分别传递给这两个占位符。 3. 指定替换项的顺序 ```python name = "Alice" age = 30 message = "My name is {1}, and I am {0} years old.".format(age, name) print(message) ``` 输出:`My name is Alice, and I am 30 years old.` 在这个例子中,我们使用两个占位符 `{}` 来代表要被替换的两个值,但是我们在调用 `format()` 方法时指定了它们的顺序,因此 `age` 变量的值被分配给第一个占位符,`name` 变量的值被分配给第二个占位符。 4. 格式化数字 ```python num = 123.456 message = "The number is {:.2f}.".format(num) print(message) ``` 输出:`The number is 123.46.` 在这个例子中,我们使用一个占位符 `{:.2f}` 来代表要被替换的浮点数,并指定了显示小数点后两位。然后,我们使用 `format()` 方法将 `num` 变量的值传递给该占位符。 5. 格式化日期和时间 ```python from datetime import datetime now = datetime.now() message = "The current time is {}.".format(now.strftime("%Y-%m-%d %H:%M:%S")) print(message) ``` 输出:`The current time is 2021-11-03 19:15:00.` 在这个例子中,我们使用 `datetime` 模块获取当前日期和时间,然后使用 `strftime()` 方法将其转换为字符串格式。我们将格式化字符串 `"%Y-%m-%d %H:%M:%S"` 作为参数传递给 `strftime()` 方法,该字符串指定了输出的日期和时间的格式。最后,我们使用 `format()` 方法将格式化后的字符串插入到消息中。 这些是 `str.format()` 方法的一些基本用法,还有许多其他高级用法和选项,请查看 Python 文档以了解更多信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值