怎么绕过短息验证_Windows 10 x64上令牌窃取有效载荷问题,并绕过SMEP(下)

最新推荐文章于 2022-03-16 18:00:00 发布
最新推荐文章于 2022-03-16 18:00:00 发布
阅读量311 收藏
点赞数
文章标签: 怎么绕过短息验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32491317/article/details/112515474
版权
本文深入探讨了Windows 10 x64系统中如何绕过SMEP保护,通过枚举内核模式ROP小工具来修改CR4寄存器,从而在不关闭SMEP的情况下执行用户模式shellcode。文章详细解释了SMEP的原理,以及如何使用Read/Write原语通过改变页表条目(PTE)实现SMEP绕过。此外,还展示了如何利用EnumDeviceDrivers泄露内核基址,以及创建一个利用链来执行内核模式shellcode,最终达到权限提升的目的。
摘要由CSDN通过智能技术生成

9cee588ce0e615dabc5c27caa3fa99cb.gif

Windows 10 x64上令牌窃取有效载荷问题,并绕过SMEP(上)

19ae029d4f6e1f62f6db3a03070d01c1.pngSMEP

23ed3e89411536739249665394296c11.png

什么是SMEP? SMEP或Supervisor模式执行保护是最早在Windows 8(在Windows上下文中)中实现的保护。当我们谈论为内核漏洞利用执行代码时,最常见的技术是在用户模式下分配shellcode并从内核调用它。这意味着将在内核上下文中调用用户模式代码,从而为我们提供获得系统特权的适用权限。

SMEP是一种预防措施,不允许我们从环0开始执行存储在环3页面中的代码,通常从更高的环执行代码。这意味着我们无法从内核模式执行用户模式代码。为了绕过SMEP,让我们了解其实现方式。

SMEP策略通过CR4寄存器执行,根据英特尔的说法,CR4寄存器是控制寄存器。该寄存器中的每一位负责在系统上启用的各种功能。 CR4寄存器的第20位负责启用SMEP,如果CR4寄存器的第20位被设置为1,那么就启用了SMEP。当位被设置为0时,SMEP被禁用。让我们来看看Windows上的CR4寄存器,其中SMEP以正常的十六进制格式和二进制格式启用,因此我们可以真正看到第20位的位置。

r cr4

895fb62791ab826ce75f881e0cf3d616.png

CR4寄存器的十六进制值为0x00000000001506f8,让我们以二进制形式查看它,以便我们可以看到第20位在哪里。

.formats cr4

93a086950c6fdf507c6cef9a06ff7ade.png

如你所见,第20位在上图中(从右数起) 。让我们再次使用.formats命令来查看CR4寄存器中的值是什么,以便绕过SMEP。

c66ded351b9c141825519b9fe2a0388c.png

从上面的图中可以看出,当CR4寄存器的第20位被翻转时,十六进制的值是0x00000000000506f8。

在介绍如何使用上述信息通过ROP绕过SMEP之前,让我们进一步讨论一下SMEP实现和其他潜在绕过的问题。

SMEP还可以通过内存页的页表条目(PTE)以“标志”的形式实现,回想一下,页表包含有关物理内存映射到虚拟内存的信息。内存页的PTE具有与之关联的各种标志,其中两个标志是U,表示用户模式,或者S,表示管理模式(内核模式)。当所述内存被内存管理单元(MMU)访问时,将检查此标志。在继续之前,让我们先讨论一下CPU模式。环3负责用户模式的应用程序代码,环0负责操作系统级代码(内核模式)。CPU可以根据执行的内容转换当前的特权级别(CPL)。不过,我不会深入讨论在CPU更改CPL时发生的syscalls、sysrets或其他各种例程的底层细节。另外这也不是一篇关于分页如何工作的内容,如果你有兴趣了解更多信息,我强烈建议你阅读Enrico Martignetti的《What Makes It Page: the Windows 7 (x64) Virtual Memory Manager》一书。虽然这是有关Windows 7环境的,但我相信这些概念在今天仍然适用。我给出这个背景信息,因为SMEP绕过可能会滥用这个功能。

为什么提起这个?尽管我们将介绍如何通过ROP进行SMEP绕过,但还有另一种情况需要考虑。假设我们有一个任意的读写原语。撇开PTE暂时随机的事实。如果你有一个读取原语来了解Shellcode内存页的PTE在哪里,该怎么办?绕过SMEP的另一种潜在的方法是不禁用SMEP。我们可能会使用读取原语来定位用户模式的shellcode页面,然后使用写入原语来覆盖我们的shellcode的PTE,并将U(用户模式)标志翻转为S(主管模式)标志!这样,尽管该特定地址是“用户模式地址”,但在执行该特定地址时,由于该页面的权限现在是内核模式页面的权限,因此它仍被执行。

虽然页面表条目现在是随机的,但是来自进攻性安全组织的Morten Schenk在这篇文章中谈到了对页表项进行非随机化处理。

简单来说,其步骤如下:

1. 获得读/写原始;

2. 泄漏ntoskrnl.exe(内核基);

3. 定位MiGetPteAddress()(可以动态完成,而不是静态偏移);

4. 使用PTE base获取任何内存页的PTE;

5. 更改位(是否正在将shellcode复制到页面并翻转NX位或翻转用户模式页面的U/S位)。

同样,在我对Windows中的内存分页做了更多的研究之前,我不会讨论这种绕过SMEP的方法。有关我对今后其他SMEP绕过技术的想法,请参阅此文的结尾。

19ae029d4f6e1f62f6db3a03070d01c1.png绕过SMEP

让我们使用一个溢出来介绍如何用ROP绕过SMEP,ROP假设我们可以控制堆栈(当每个ROP小工具返回到堆栈时)。由于启用了SMEP,我们的ROP小工具将需要来自内核模式页面。因为我们在这里假设了中等完整性,所以我们可以调用EnumDeviceDrivers()来获得内核基,它可以绕过KASLR。

基本上,以下就是ROP链是工作的整个过程。

a36325e256deb944bee6b7721aab7945.png

让我们去寻找这些ROP小工具吧,注意,ROP小工具的所有偏移量将根据操作系统、补丁级别等而变化。请记住,这些ROP小工具需要是内核模式地址。我们将使用rp++枚举ntoskrnl.exe中的rop小工具。如果你看一下我关于ROP的文章,你就会知道如何使用这个工具。

让我们找出一种方法来控制CR4寄存器的内容,虽然我们可能无法直接操作寄存器

最低0.47元/天 解锁文章
勃恩泽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wrk笔记:申请内存的大致流程(x64
死胖子的博客
03-12 1232
NtAllocateVirtualMemory - allocvm.c 1.检查各参数的有效性,如果当前进程不是参数制定的进程,那么附加到目标进程。 2.调整需要申请的大小,使之增加到页面的整数倍。计算需要申请的页面数。 CapturedRegionSize = ROUND_TO_PAGES (CapturedRegionSize); NumberOfPages = BYTES_TO_PA
nosmep:用于禁用 SMEP 的 linux 内核模块
06-15
诺斯梅普 用于禁用/启用 SMEP 的 linux 内核模块
kernel bypass smep
qq_46441427的博客
11-09 403
和之前的babydriver一样,用这个来解 semp开启以后,ret2usr就不能用了,因为semp让在ring0权的时候执行用户空间的代码直接crash掉 而系统开启semp的方法是设置cr4寄存器的第20位为1,第20位为0时关闭 gdb 如果不能看 cr4 寄存器的值,可以通过 报错查看。为了关闭 smep 保护,常用一个固定值 0x6f0,即 mov cr4, 0x6f0 #include <stdio.h> #include <stdlib.h> #include &l
Linux Kernel Exploit 内核漏洞学习(3)-Bypass-Smep
热门推荐
钞sir的博客
08-09 1万+
简介 smep的全称是Supervisor Mode Execution Protection,它是内核的一种保护机制,作用是当CPU处于ring0模式的时候,如果执行了用户空间的代码就会触发页错误,很明现这个保护机制就是为了防止ret2usr攻击的… 这里为了演示如何绕过这个保护机制,我仍然使用的是CISCN2017 babydriver,这道题基本分析和利用UAF的方法原理我已经在kernel...
Kernel pwn 基础教程之 ret2usr 与 bypass_smep
蚁景网安学院
03-16 466
一、前言 在我们的pwn学习过程中,能够很明显的感觉到开发人员们为了阻止某些利用手段而增加的保护机制,往往这些保护机制又会引发出新的bypass技巧,像是我们非常熟悉的Shellcode与...
穷举系统加载的驱动
08-25 162
终于的我回来了,之前因为某某DOTA比赛缠身啊~所以长时间没更新 看写出来的,貌似用NtQuerySystemInformation之类的函数也可以实现. #include #include #pragma comment(lib, "psapi")
内核入口地址在哪修改_Windows 10 内核漏洞利用防护及其绕过方法
weixin_39771301的博客
11-22 534
0x00 引⾔本⽂介绍了 Windows 10 1607 和 1703 版本中引⼊的针对内核漏洞利⽤的防护措施,在此基础上将给出相应的绕过⽅案,从⽽使我们能够重新获得内核态下的 RW primitives,并进⼀步实现 KASLR 绕过以及内核中 shellcode 的执⾏。尽管微软对于 Windows 10 内核的保护在不断提升,我们还是有可能找到办法来进⾏绕过,不过这对安全研究者的技术要求来说...
《Undocumented Windows 2000 Secrets》翻译 --- 第一章(3)
Kendiv's Box
01-17 2439
第一章  Windows 2000对调试技术的支持翻译:Kendiv(fcczj@263.net)更新:Monday, January 17, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。枚举系统模块和驱动(Drivers)psapi.dll可以返回当前内存中的内核模块。这本是非常简单的工作。psapi.dll的EnumDeviceDrive
Enum Device
03-08
枚举设备管理器中的device 并存储到txt中
APEX-EACBypass:APEX-EACBypass(用户模式)
03-17
APEX-EAC绕过 用法: 编译出来重命名为“ EasyAntiCheat_launcher.exe”替换到游戏目录下,用橘子平台启动游戏 关于心跳 写个空的dll命名为“ EasyAntiCheat_x64.dll”替换到游戏目录下用你自己的方式加载到游戏里如果以后加强了怎么办?下,应该是断在检测到EAC未运行那个画面,执行到用户代码,发现是“ binkawin64.dll”这个模块的线程,然后,看是程序哪里起的这个线程,一层回溯上去。办法:柿子挑软的捏,那些同时使用UE和EAC的游戏,大部分裤子都被扒干净了,找到他们的SDK,其中引用EAC SDK的部分,看一看EAC的SDK整体的结构是怎么样的,大概有什么函数,dump下进程来看看反汇编的样子,然后可以在APEX里面找找看。不过这个游戏是起源改,不久后难逃被扒光的命运,毕竟起源引擎“约等于巧”办法2:游戏没加壳,拿起他的EAC键就跑
获取SSDT,SSSDT原始函数地址
zhuhuibeishadiao
05-02 4536
SSDT 当前函数地址 = KiSeviceTable + *(KiServiceTalbe + index * 4); TableRVA = KiSeviceTable - 内核真实加载地址 ; ImageBase = 0x140000000;(理想加载地址) ImageKiSeviceTable = ImageBase + TableRVA; LoadDLLBase = LoadLi
列举驱动列表
08-25 137
/*++  Module Name:   ListDrvCon.cpp Enviroment:   All Windows NT Platfrom;Console Abstract:   List all the driver's name & baseaddr & file
Enumerating All Device Drivers in the System
zgl7903的专栏
05-16 736
#include #pragma comment(lib, "psapi.lib") void EnumAllDeviceDrivers() { do { LPVOID aDrivers[1024]; memset(aDrivers, 0, sizeof(aDrivers)); DWORD cbNeeded = 0; if ( !EnumDeviceDr
win c++ 枚举设备驱动状态
d2262272d的博客
05-27 1874
#include   #include #pragma comment(lib,"Setupapi.lib") bool IsDeviceDisabled(DWORD dwDevID, HDEVINFO hDevInfo, DWORD &dwStatus) { SP_DEVINFO_DATA DevInfoData = {sizeof(SP_DEVINFO_DATA)};
遍历Windows系统的内核模块(源码)
liujiayu2的专栏
05-31 1734
原文链接: http://blog.csdn.net/baggiowangyu/article/details/7094946 自己做了一个工具需要遍历Windows系统加载的内核模块信息,网上查了一些都是用Zwxxx内核函数来做。后来发现完全没必要...     直接上代码: [cpp] view plain copy
MmGetPhysicalAddress分析
weixin_34362790的博客
06-29 1064
代码如下: PHYSICAL_ADDRESSMmGetPhysicalAddress ( IN PVOID BaseAddress ){ PMMPTE PointerPte; PHYSICAL_ADDRESS PhysicalAddress; //判断是否在[0x80000000,0xA0000000)中,如果是,这段内存被映射到物理内存中[0,2000000...
Windows x64内核学习笔记(三)—— SMEP & SMAP
qq_41988448的博客
02-28 2871
Windows x64内核学习笔记(三)—— SMAP & SMEP参考资料 参考资料 bilibili周壑:x64内核研究系列教程
操作系统——进程状态图解(两状态进程模型,五状态进程模型,含挂起态的进程模型)
weixin_43914272的博客
08-26 6591
操作系统——进程状态图解 两状态进程模型,进程被分为运行态和非运行态,这两个状态就是字面意思很好理解。 当一个处于运行态的进程终止后,我们就要选一个处于非运行态的进程进入运行态,按照道理,我们应该选非运行态队列中第一个进程,但是,如果队列第一个进程正在进行I/0操作,那么它就要等待I/O操作完成,这时我们就不能单纯地按照队列顺序选择,还要考虑进程是否等待I/O操作 于是我们引入了就绪态和阻塞态 就绪态:无需等待其他操作,可以直接进入运行态 阻塞态:需等待其他操作完成,如I/O操作 那么我们的五状态进
Windows下完美绕过iPhone ID锁教程
"本教程详述了如何使用特定软件在Windows环境下为iPhone 6s Plus进行ID锁的解锁,特别是针对iOS 12.5.1到iOS 14.5版本的系统。该方法适用于iPhone 5S到iPhone X以及部分iPad型号,并且在越狱后能支持电话、短信和4G...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值