友好简单的Windows内核漏洞分析
0x1 前置知识
UAF:即Use After Free,CTF pwn手对这一概念再熟悉不过了。作为科普,内存块被释放之后使用会发生以下几种情况:
Background | Condition1 | Condition2 | Result |
---|---|---|---|
free | 对应指针置0 | 使用 | 崩溃 |
free | 对应指针没有被置0 | 使用前无代码对该片内存进行修改 | 很有可能正常运行 |
free | 对应指针没有被置0 | 使用前有代码对该片内存进行修改 | 神秘现象 |
了解Windows内存管理机制的朋友会知道ExAllocatePoolWithTag函数并不是乱申请内存的,操作系统会选择大小最合适的堆来存放它,而被free的指针被称为悬挂指针,仍是一个有效的指针。而通过逆向分析我们可以发现在驱动中有一个函数调用了全局指针(以下用***漏洞指针***代替)的回调函数:
![4f8fe569a6352b822251bd2fed8fdb1e.png](https://img-blog.csdnimg.cn/img_convert/4f8fe569a6352b822251bd2fed8fdb1e.png)
而且,通过调试,我们可以知道该结构体指针的定义如下:
typedef struct _VulnerablePointer {
FunctionPointer Callback;
CHAR Buffer[0x54];
} VulnerablePointer, *VulnerablePointer;
那么,综上条件,一个漏洞利用链就浮现出来了:
漏洞指针被分配内存且被释放之后没有进行其他操作
准备提权shellcode
模仿漏洞指针的结构定义构造fake chunk payload大量申请空间,目的是覆盖到漏洞指针的Callback函数(专业术语:堆喷射)
当Callback函数被调用的时候,我们在R3提权成功
*如果读者对此篇文章感兴趣但没有内核调试相关经验,请移步0x5
0x2 一点点API
- 申请内存