Windows ALPC漏洞复现

已于 2022-06-15 10:37:11 修改
阅读量2k 收藏 2
点赞数 3
文章标签: 安全
于 2022-06-10 15:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43045569/article/details/125004088
版权

说明

如题所示,为了加深理解ALPC机制以及该类错误模式所以我决定复现一下历史上关于ALPC的漏洞,并在这里留下我的笔记

关于ALPC的知识:

https://csandker.io/2022/05/24/Offensive-Windows-IPC-3-ALPC.html

http://publications.alex-ionescu.com/SyScan/SyScan%202014%20-%20All%20about%20the%20ALPC,%20RPC,%20LPC,%20LRPC%20in%20your%20PC.pdf

错误类型

利用WinObjEx64可以查看所有的ALPC端口名称,这些名称有相当多是RPC服务器创建的,只有一小部分是通过NtAlpcCreatePort创建,并且它们大部分是在用户进程下创建的
在这里插入图片描述
虽然有几个用户模式下的system进程创建的ALPC端口名可以连接,历史上也有通过此模式触发的漏洞,比如错误报告服务漏洞,由于个人原因,我想专注于内核,操作系统默认情况运行下只有pdc.sys创建了\PdcPort提供连接,但是该端口具有ALPC_PORTFLG_SYSTEM_PROCESS属性,这不是一个EOP的条件
在这里插入图片描述
不仅可以从ALPC客户端和ALPC服务端通信下手,还可以关注ALPC API本身的错误,因为它们是在ntoskrnl.exe实现的NT API

CVE-2021-34514

该CVE在2021年7月发布,下图为ntoskrnl.exe补丁情况
在这里插入图片描述

我们知道只需要关注AlpcpCompleteDispatchMessage,其中RtlpCreateServerAcl修补的是整数溢出问题,且调用链处于SeSetSecurityDescriptorInfo,这里不做深入分析,只关注AlpcpCompleteDispatchMessage

AlpcpCompleteDispatchMessage补丁前从直接从用户态映射到内核内存地址也就是v47里读取长度理论知识参考:

Windows驱动中通过MDL实现用户态与核心态共享内存
https://www.cnblogs.com/kuangke/p/9397676.html
mdl
https://blog.csdn.net/weixin_43742894/article/details/104870641

为什么我知道这v47是用户态映射,其实这个漏洞已经有一些细节公开,虽然只有理论知识,但是这对于探索该漏洞非常有用

演讲视频

https://www.youtube.com/watch?v=1CjQ1_QWssI

pdf

conference.hitb.org/hitbsecconf2014kul/materials/D2T1%20-%20Ben%20Nagy%20-%20ALPC%20Fuzzing%20Toolkit.pdf

在这里插入图片描述

在这里插入图片描述
补丁后虽然还是会读取共享内存中的长度,但是在读到长度后立刻保存到局部变量v25中而不是直接从共享内存中读取长度,这样做是为了消除红框内中的可以用来竞争时间的代码端

在这里插入图片描述

附上调试验证共享内存过程

0: kd> !process 0n9632 0      //查看服务端DirBase
Searching for Process with Cid == 25a0
PROCESS ffff8e8637f0d080
    SessionId: 1  Cid: 25a0    Peb: 862f445000  ParentCid: 1a58
    DirBase: 10234e000  ObjectTable: ffffdb0aa2eb1680  HandleCount:  40.
    Image: test3.exe

0: kd> !vtop 10234e000 304000  
//WINDBG 命令 虚拟地址转换物理地址https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/converting-virtual-addresses-to-physical-addresses
//x64分页查找手动物理内存  https://bbs.pediy.com/thread-203391.htm
//10234e000 为服务端进程DirBase  0x304000 为消息缓冲区部分 这块内存属于手动申请的
Amd64VtoP: Virt 0000000000304000, pagedir 000000010234e000
Amd64VtoP: PML4E 000000010234e000
Amd64VtoP: PDPE 000000002e048000
Amd64VtoP: PDE 0000000062bae008
Amd64VtoP: PTE 000000008b6af820
Amd64VtoP: Mapped phys 000000010afbb000
Virtual address 304000 translates to physical address 10afbb000.   //虚拟地址转换后的物理地址
0: kd> !dq 10afbb000  //此时没有接受消息 所以为空  记住10afbb000这个物理地址
#10afbb000 00000000`00000000 00000000`00000000
#10afbb010 00000000`00000000 00000000`00000000
#10afbb020 00000000`00000000 00000000`00000000
#10afbb030 00000000`00000000 00000000`00000000
#10afbb040 00000000`00000000 00000000`00000000
#10afbb050 00000000`00000000 00000000`00000000
#10afbb060 00000000`00000000 00000000`00000000
#10afbb070 00000000`00000000 00000000`00000000
0: kd> bp nt!AlpcpCompleteDispatchMessage+0x155d0c  //对漏洞代码段下断点
0: kd> g
Breakpoint 0 hit
nt!AlpcpCompleteDispatchMessage+0x155d0c:
fffff801`df8448bc 410fb74602      movzx   eax,word ptr [r14+2]
windbg> q r14
Too many arguments specified.
1: kd> dq r14   //查看消息内存映射内容
ffffb801`c510d000  00002001`040003d8 00000000`00002408
ffffb801`c510d010  00000000`000025c4 00000000`00151e38
ffffb801`c510d020  00000000`0042a490 43434343`43434343
ffffb801`c510d030  43434343`43434343 43434343`43434343
ffffb801`c510d040  43434343`43434343 43434343`43434343
ffffb801`c510d050  43434343`43434343 43434343`43434343
ffffb801`c510d060  43434343`43434343 43434343`43434343
ffffb801`c510d070  43434343`43434343 43434343`43434343
1: kd> !pte ffffb801`c510d000   //查看消息内存映射内容的物理地址
                                           VA ffffb801c510d000
PXE at FFFFFB7DBEDF6B80    PPE at FFFFFB7DBED70038    PDE at FFFFFB7DAE007140    PTE at FFFFFB5C00E28868
contains 0A00000002D44863  contains 0A00000002D43863  contains 0A0000010DCEE863  contains 8A0000010AFBB963
pfn 2d44      ---DA--KWEV  pfn 2d43      ---DA--KWEV  pfn 10dcee    ---DA--KWEV  pfn 10afbb    -G-DA--KW-V

1: kd> !dq 10afbb000  //10afbb000  这个物理地址与之前查看服务端申请的那块用户地址所在的物理地址相同
#10afbb000 00002001`040003d8 00000000`00002408
#10afbb010 00000000`000025c4 00000000`00151e38
#10afbb020 00000000`0042a490 43434343`43434343
#10afbb030 43434343`43434343 43434343`43434343
#10afbb040 43434343`43434343 43434343`43434343
#10afbb050 43434343`43434343 43434343`43434343
#10afbb060 43434343`43434343 43434343`43434343
#10afbb070 43434343`43434343 43434343`43434343

AlpcpCompleteDispatchMessage被NtAlpcSendWaitReceivePort调用,如果对它打下断点,几乎每时每刻都会被命中,ALPC真的无处不在

该漏洞与ALPC通信机制中的完成列表机制有关,如果要使用这种方式通信,服务端需要在创建端口之后通过调用NtAlpcSetInformation传入AlpcRegisterCompletionListInformation参数可设置通信机制为ALPC完成列表,该函数的参数还有一个PALPC_COMPLETION_LIST_HEADER结构体,该结构中的AttributeFlags表示消息alpc通信过程中的消息属性,而该结构中的PALPC_COMPLETION_LIST_HEADER结构几乎包含了完成列表的所有信息,但是这些字段是系统分配的,对NtAlpcSetInformation稍微逆向分析即可知道如何成功设置完成列表机制

在这里插入图片描述

这些ALPC结构声明可以通过下面找到,你也可以在上面搜索任何NT API声明

https://sourcegraph.com/search?q=context:global+_ALPC_COMPLETION_LIST_HEADER&patternType=literal

在这里插入图片描述

由于演讲视频中公开细节的人讲的已经足够好,如果观看他的演讲视频并不放过任何可能有用的话去理解,那么就能理解这个漏洞,嗯…为了验证我对这个漏洞的理解正确,我做出了poc:

https://github.com/tianlinlintian/test/blob/main/alpc%20completion%20list

一旦使用完成列表进行通信,那么服务端接受客户端消息时,消息类型以及消息内容等信息不会保存在ReceiveBuffer->u2.s2.Type,而是第一时间保存在完成列表设置的PALPC_COMPLETION_LIST_HEADER+Buffer->DataOffset偏移,最后小小吐槽一下ALPC异步处理消息也就是默认处理消息,这种方式就必须得配上一个类似事件类的机制来控制消息接受和处理,否则相当容易造成混乱

CVE-2022-23283

注意:此漏洞只能在32位操作系统触发,而此文是在64位上实验的

该CVE在2022年3月发布,下图为ntoskrnl.exe x32位补丁前中的AlpcAddHandleTableEntry函数存在整数溢出漏洞

在这里插入图片描述

AlpcAddHandleTableEntry补丁后会判断v4字段的值,防止过大造成整数溢出

AlpcAddHandleTableEntry可以被客户端调用时NtAlpcCreatePortSection被调用,那么这个溢出点变量是什么字段?该字段来源于结构_ALPC_PORT中的CommunicationInfo 中的TotalHandles字段

在这里插入图片描述
在这里插入图片描述

相应声明:

typedef struct _ALPC_HANDLE_TABLE {
	_ALPC_HANDLE_ENTRY Handles;
	UINT TotalHandles;
	UINT Flags;
	_EX_PUSH_LOCK Lock;
} ALPC_HANDLE_TABLE, * PALPC_HANDLE_TABLE;



typedef struct _KALPC_SECURITY_DATA
{
	PALPC_HANDLE_TABLE HandleTable;
	LPVOID ContextHandle;
	LPVOID OwningProcess;
	LPVOID OwnerPort;
	_SECURITY_CLIENT_CONTEXT DynamicSecurity;
} KALPC_SECURITY_DATA, * PKALPC_SECURITY_DATA;

该TotalHandles字段在服务端调用NtAlpcCreatePort时会进而调用AlpcInitializeHandleTable然后将该字段值初始化为0x10

在这里插入图片描述
设置TotalHandles字段可以调用NtAlpcCreateResourceReserve,该字段以0x10>>0x20>>0x40>>0x80>>0x100>>…相乘二的规律依次类记,所以只需要调用足够多次数的NtAlpcCreateResourceReserve就能造成溢出

在运行Poc(https://github.com/tianlinlintian/test/blob/main/NtAlpcCreateResourceReserve)放置了一晚后我放弃了,因为poc只跑到了0x1000000,但在x32上触发此漏洞只是时间问题

在这里插入图片描述

最近的几个月还有一些ALPC api竞争条件漏洞,但是我没有复现成功,因为alpc的不透明性以及它们的调用链比较长我也没有太多时间倒推

关于挖掘此类漏洞的看法:我认为这些漏洞都是通过fuzz出来的,事实证明它们也很适合被fuzz

超级大水怪啦啦啦
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
Windows Privilege Escalation Through LPC and ALPC Interfaces (June, 2008)-计算机科学
04-22
WINDOWS PRIVILEGE ESCALATION THROUGH LPCAND ALPC INTERFACESPrepared by: Thomas Garnier Research engineer Skyrecon.com Date: 2 June 2008SummaryINTRODUCTION .........................................
PythonForWindows:一个旨在简化与Windows交互和本机执行的代码库
02-06
适用于Windows的Python PythonForWindows(PFW)是旨在简化与Windows (在X86 / X64上)与Windows交互(对于32位和64位Python)的代码基础。 它的目标是以(希望)pythonic方式围绕某些操作系统功能提供抽象。 它还...
理解Windows内核模式与用户模式
softfox的专栏
02-28 513
理解Windows内核模式与用户模式 内核层次架构 windows程序运行分为内核模式和用户模式,内核模式可以访问所有的内存地址空间, 并且可以访问所有的CPU指令。一般程序运行在用户模式, 通过系统调用切换到内核模式执行系统功能,Windows系统通过这种方式来确保系统的安全和稳定。 下面是内核的层次划分: 硬件抽象层(Hardware Abstraction L
Native API 权威指南
weixin_34357962的博客
03-27 727
2019独角兽企业重金招聘Python工程师标准>>> ...
redistemplate注入为null_Windows不太常见的进程注入学习小记(二)
weixin_39875941的博客
11-25 386
0x00 前前言这个只是我学习的笔记,真正的代码实现都是网上有人已经公开了的,给了参考链接了,这不是我发现的也不是我研究的,这只是我学习的。利用ALPC来实现进程注入0x01前言本地过程调用(LPC,Local Procedure Call,通常也被称为轻量过程调用或者本地进程间通信是一种由Windows NT内核提供的内部进程间通信方式。通过这一方式,同一计算机上的进程可以进行轻量的通...
利用Volatility进行Windows内存取证分析(二):内核对象、内核池学习小记
Fly_鹏程万里
05-16 4448
简介windows下内存取证的内容概括起来讲就是检测系统中有没有恶意程序,有没有隐藏进程,有没有隐藏文件,有没有隐藏服务,有没有隐藏的驱动,有没有隐藏网络端口等等.而进程,文件,驱动等等部件在内存中是以内核对象的形式独立存在的。而通常形形色色的rootkit会尝试修改操作系统的内部数据结构来达到隐藏自身的目的.安全研究员要想在内存取证中做到游刃有余,就需要对windows各种内存对象相关概念进行深...
计算机"端口"详解
管子(zero)的杂乱空间
12-10 870
计算机"端口"是英文port的意译,可以认为是计算机与外界通讯交流的出口。 硬件端口   CPU通过接口寄存器或特定电路与外设进行数据传送,这些寄存器或特定电路称之为端口。    其中硬件领域的端口又称接口,如:并行端口、串行端口等。 软件端口   软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口,是一种抽象...
windows ALPC简单研究
weixin_43787608的博客
11-26 8830
0x00 本文是对ALPC的简单研究,由于时间有限,还有很多细节没有搞清楚,还有很多疏漏。希望能起到抛砖引玉的作用,能找到高手讨论学习。 ALPC(Advanced/Asynchronous Local Procedure Call),是微软发展出来替代LPC,用于本机RPC的一种C/S模型技术。但是对用户来说,能看到只有RPC概念,很少能看到ALPC。 我们看一个典型的ALPC同步调用堆栈: ...
systeminfo卡死一例分析
u010607621的博客
06-07 1205
Win7 64位OS。设备与打印机窗口的进度条持续不能走完,此时打开设备管理器也依然卡住,systeminfo.exe程序也会卡住。此故障现象偶现难以复现。鉴于另外两个进程的线程太多了,就优先从systeminfo进程入手研究。 给systeminfo进程下dmp,用windbg打开dmp,先查看每个线程的栈回溯: 姑且猜测是0号线程,在等待应答,进而整个进程卡住。0号线程最后调用的是NtAlpcSendWaitReceivePort。这个api类似于网络socket的send和recv一体。它的声明如下:
驱动开发笔记3—SSDT表详解
qq_42814021的博客
10-09 3052
SSDT表 SSDT的全称是"System Services Descriptor Table",即系统服务描述表,在内核中的实际名称是KeServiceDescriptorTable,这个表由ntoskrnl.exe导出(在x64里不导出)。 SSDT用于处理应用层通过Kernel32.dll下发的各个API操作请求。ntdll.dll中的API是一个简单的包装函数,当Kernel32.dll中的API通过Ntdll.dll时,会先完成对参数的检查,再调用一个中断(int 2Eh 或者 SysEnter指
一个DNS无法解析的问题
dizhifu3111的博客
09-30 399
某天遇到一个域名无法解析的问题 修改Host文件也没用 跟踪发现浏览器在使用DNSResolver这个ALPC Port端口进行RPC通信的时候阻塞了 结束掉NetWork Location Aware服务即可解决问题 转载于:https://www.cnblogs.com/Potato-Eater/p/7614753.html...
alpc-1.0.jar
10-09
该行显示生成的文档是一个版本为1.0的文件,在lpc中,摘要保存在lpc对象中,当文档关闭时已经写入lpc中了,因此,没有关于为什么不能修改库来满足任何时候添加或更改摘要的技术原因
深入解析windows 操作系统第6版第2-3章.中文版扫描
10-01
3.6 高级本地过程调用(ALPC) 206 连接模型 207 消息模型 208 异步操作 211 视图、区域和内存区 211 属性 212 BLOB、句柄和资源 213 安全性 214 性能 214 调试和跟踪 215 3.7 内核事件跟踪 217 3.8 WOW...
alpc48模板_ACM代码模板.pdf
09-17
alpc48模板_ACM代码模板.pdf
《Dive into Windbg系列》AudioSrv音频服务故障
hnzwx888的专栏
06-22 1042
转载自:https://www.anquanke.com/post/id/176343 作者:BlackINT3 联系:[email protected] 网站:https://github.com/BlackINT3 《Dive into Windbg》是一系列关于如何理解和使用Windbg的文章,主要涵盖三个方面: 1、Windbg实战运用,排查资源占用、死锁、崩溃、蓝屏等,以...
SATA学习之一 代码分析和学习心得
shipinsky的博客
06-14 8580
sata_fsl_init =>platform_driver_register(&fsl_sata_driver);//注册platform驱动 static struct platform_driver fsl_sata_driver = { .driver = { .name = "fsl-sata&qu
遍历系统的所有ObjectType和TypeIndex
weixin_33985679的博客
11-09 375
Windows内部有很多的对象类型,比如PROCESS类型,THREAD类型,FILE类型,LPC PORT类型,DEVICE类型等等,我们可以使用sysinternal提供的winobj工具来查看(win7 x86 sp1) 在编程的过程中我们有时候需要用到类型的索引(TypeIndex),由于在不同的操作系统版本中TypeIndex会发生改变,本文将教大家一种方法来遍历这些类型还有其相应...
【原创】从内核创建用户态线程
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-03 3350
http://bbs.pediy.com/showthread.php?p=1304480#post1304480
RPC、COM、ALPC
最新发布
04-16
这些都是不同的进程间通信技术。RPC(Remote Procedure Call)是一种用于分布式计算的通信协议,它允许在不同进程间的数据传输和函数调用。COM(Component Object Model)是一种用于Windows软件开发的技术,它提供了一种标准的、可重用的组件模型,以方便程序员进行开发。ALPC(Advanced Local Procedure Call)是Windows操作系统提供的一种高级进程间通信机制,它提供了更高级别的API,可以支持更丰富的交互方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值