调用门学习

最新推荐文章于 2022-07-07 15:30:14 发布
最新推荐文章于 2022-07-07 15:30:14 发布
阅读量329 收藏 1
点赞数
分类专栏: windows内核学习 文章标签: windows 内核 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011642058/article/details/104616311
版权

构造调用门

调用门描述符
根据上图我们可以看到调用门段描述符的结构,没有base和limit,变成了偏移地址和代码段的段选择子,根据代码段的段选择子可以查GDT表得到代码段的base,加上偏移就得到了需要被调用的地址。此时type的值为c表示32位的调用门,
param Count为参数个数,
P位是存在位,为1时有效。
DPL表示调用门的特权级,用于指定通过调用门访问特定过程所要求的特权级

接下来编写测试代码,

void test()
{

	printf("this is test's space\n");

}

int main(int argc, char* argv[])
{
	char buffer[]={0,0,0,0,0x4B,0};
    *(int *)buffer=(int)test;
	printf("%x\n",test);
	_asm{

		call fword ptr[buffer];
	}
	printf("success");
	return 0;
}

test地址
得到test函数地址为0x00401005,然后用windbg在空白地址构造响应的调用门构造调用门
调用1
测试调用成功。

提权测试

测试代码

int result=0;
__declspec (naked)void test1()
{
	_asm
	{
		pushad
		pushfd
		mov eax, dword ptr ds:[0x8003f008]
		mov result,eax
		popfd
		popad
		retf
	}
}

int main(int argc, char* argv[])
{
	char buffer[]={0,0,0,0,0x4B,0};
    *(int *)buffer=(int)test1;
	printf("%x\n",test);
	_asm{

		call fword ptr[buffer];
	}
	printf(%x”,result);
	printf("success");
	getchar();
	return 0;
}

对GDT表保持以上修改,则无法取出地址0x8003f008的值,报0xc0000005异常,说明我们权限不够,
用windbg将目标代码段描述符的DPL改为0,进行如下操作
提权操作
再次调试代码
测试
成功读取该地址的值。证明提权成功。

如果在代码中改用jmp 调用,则报0xc0000005异常,原因如下:
调用门权限检查规则
jmp在非一致代码段的权限检查规则为DPL=CPL,说明jmp只能在同权限下进行,无法进行提权操作。

含参调用门

上面提到在调用门段描述符中param Count存放参数个数,下面尝试构造含参调用门,

测试代码
测试2

int result=0;
__declspec (naked)void test2()
{
	_asm
	{
		int 3;
		retf 0x4;
		pushad
		pushfd
		mov eax, dword ptr ss:[esp+0x8+9*4];
		mov result,eax
		popfd
		popad
		retf 0x4
	}
}
int main(int argc, char* argv[])
{
	char buffer[]={0,0,0,0,0x48,0};
    *(int *)buffer=(int)test2;
	printf("%x\n",test2);
	_asm{
        push 0x12345678;
		call fword ptr[buffer];
	}
	printf("%x",result);
	printf("success");
	getchar();
	return 0;
}

观察堆栈堆栈
如果多个参数,则堆栈排布为
多参数堆栈排布
去掉 int 3;
retf 0x4;
后查看测试效果
测试3
成功调用。

结尾

萌新学习记录,如有错误,恳请指正。

非著名不专业Re选手
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
调用描述符
For Geek
04-22 1475
描述符跟段描述符的结构不同。 1. 它指定要访问的代码段(选择子)。 2. 它定义了在指定代码段例程的入口点(偏移)。 3. 它指定了调用者尝试去访问例程所需要的特权级(DPL 这里是访问者所要具备的特权级)。 4. 如果发生了栈切换,它指定了拷贝到新栈的可选参数的数量(5位最多32个)。 5. 它定义了push到目标栈的值的大小:16位强制16位push,32位强制32位p...
深度学习模型部署,c++调用python模块的Tensorflow推理过程
WK785456510的博客
05-25 1918
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数..
通过调用进行控制转移 ——《x86汇编语言:从实模式到保护模式》读书笔记29
车子(chezi)
05-10 2890
通过调用进行控制转移 1.关于堆栈切换 2.通过调用进行控制转移和返回的具体过程
调用
guocaigao的专栏
01-11 2477
,顾名思义它是一扇通向令一个地方,看一下的结构里面有一个描述符和一个偏移值,中定义了这扇通向的目的地,当我们调用一个的时候会到达这个地方: 中的选择子:中的偏移值,也即下图的selector:offset 这是我们代码中国定义的的数据结构: #define Gate(Selector,Offset,PCount,Attr)\ .2byte (Offset&0xff
使用调用
weixin_34268843的博客
03-05 169
要注意gdt的第一项是0,不能使用。然后看gdt中那一项的p位没有置位,再添加一个调用描述符。描述符的offset指向需要被ring3程序调用的ring0函数地址。DPL为3。当然selector权限也需要是3。描述符中的selector应是0x8,说明是ring0下code段。驱动通过DeviceIoControl传递给ring3程序调用的selector,当然也可以通过文件注册表之类的。不...
调用介绍
weixin_45678798的博客
07-07 873
调用为不同特权级间的进程控制提供了便利,他们一般只用在操作系统中或使用特权级保护机制的程序里;
NT环境下调用中断运行特权指令.rar_中断
09-19
操作系统设计中,中断是实现...总的来说,理解中断及其在NT环境中的应用对于深入学习操作系统原理、驱动开发和系统级编程至关重要。通过这种方式,操作系统能够确保用户程序的安全性,同时提供丰富的服务功能。
形考任务八 HTML 调用js实现多项滑动选项卡特效.zip
11-24
在本形考任务中,我们关注的是如何通过HTML调用JavaScript来实现一项特定的交互式特效——滑动选项卡。这种特效通常用于创建一种动态的用户界面,允许用户在多个内容区域之间轻松切换,而无需刷新整个页面。 滑动...
MATLAB实现GRU(控循环单元)多输入单输出(不调用工具箱函数)(完整源码和数据)
最新发布
08-22
2.GRU(控循环单元); 3.不调用工具箱函数; 4.运行环境matlab2020及以上。 5.评价指标包括,R2、MAE、MBE等,代码质量极高,方便学习和替换数据。(Matlab完整源码和数据) -------------------------------------...
6.调用
My classmates
10-11 718
1、调用执行流程指令格式: CALL CS:EIP(EIP是废弃的)cs:真正执行的代码下面解释 执行步骤:. 1)根据CS的值查GDT表,找到对应的段描述符,这个描述符是一个调用 2)在调用描述符中存储另一个代码段段的选择子 3)选择子指向的段 ,段.Base +偏移地址就是真正要执行的地址. 当s位为0的时候说明是系统描述符了, type域为1100这时后就是一个描述符。 它的低16...
8.调用
qq_35129925的博客
03-04 247
调用提权,在R3实现R0的权限。 一、调用的执行流程 满足以下条件的描述符才是调用 1. S=0 必须是系统段 2.TYPE 是1100的样式 调用的选择子是低四字节的16-31位 调用的(高16-31位)+(低0-15位)+(调用的选择子的BASE)=真正执行的地址 ...
特权级3(调用
wswupeng的专栏
05-11 2686
特权级3——调用  http://blog.chinaunix.net/u/15262/showart_294956.html调用的作用gate简单来说可以想象成政府为人民提供的一个政府诉求中心,它可以集中收集人民对政府的要求和投诉,然后把这些诉求发给相关的政府部来处理。
什么是调用
、moddemod
09-07 803
调用 通过GDT表查询 任务 中断 陷阱 通过IDT表查询 其实就是一种转换机构,这里谈到的各种概念都是针对CPU的,人家intel工程师就是这样设计的一套理念,你只需要理解即可。保护模式之所以称之为保护模式,重在保护二字,因为在保护模式的前一个版本实模式下,所有的不管是系统的数据还是用户的数据都是混在一块的,如果你一个不小心改写了某块系统部分的数据,结果就是系统直接崩溃! 这显示是很不可取的,所以intel后来设计了保护模式,所谓保护可以理解为保护操作系统不受用户轻易破坏! 本质还是一样的,所
[保护模式]调用
鬼手的博客
12-01 1099
文章目录调用调用执行流程调用描述符调用实验无参调用示例代码构造调用修改GDT表执行流程中断现场有参调用示例代码构造调用修改GDT表中断现场总结 调用 调用执行流程 CALL FAR的指令格式:CALL CS:EIP(EIP是废弃的) 执行步骤: 根据CS的值 查GDT表,找到对应的段描述符,这个描述符是一个调用调用描述符中存储另一个代码段的段选择子 选择子指向的段 段...
10-调用
啊哈的博客
11-28 380
本节内容 调用(无参) 1、调用执行流程 指令格式:CALL CS:EIP(EIP是废弃的) 执行步骤: 根据CS的值 查GDT表,找到对应的段描述符 这个描述符是一个调用. 在调用描述符中存储另一个代码段段的选择子. 选择子指向的段 段.Base + 偏移地址 就是真正要执行的地址. 2、描述符 3、构造一个调用(无参 提权) 0040EC00 000810D0 4、代码测试 步骤一:代码测试,并观察堆栈与寄存器的变化. 记录执行前的寄存器值: CS SS E
调用详解
H888001的博客
09-25 898
1. 调用描述符的格式 调用用于在不同特权级之间实现受控的程序控制转移,通常仅用于使用特权级保护机制的操作系统中。本质上,它只是一个描述符,一个不同于代码段和数据段的描述符,可以安装在GDT或者LGT中,但是不能安装在IDT(中断描述符表)中。 注意:Linux Kernel 0.12 中并没有用到调用。 上图就是调用描述符的格式(图片来自赵炯的《Linux内核完全剖析》)。 调用描...
(4) [保护模式]调用
qq_50332504的博客
02-25 973
不一样的call ==> call far call far 使用 调用 进行提权,观察寄存器和堆栈的变化 使用带参数的调用,并观察堆栈变化 关键字: 调用 带参数的调用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值