调用门提权操作

最新推荐文章于 2022-10-11 01:31:29 发布
最新推荐文章于 2022-10-11 01:31:29 发布
阅读量242 收藏 1
点赞数
原文链接:http://blog.51cto.com/haidragon/2131252
版权

1。调用门在gdt表中 在dgt表中注册一个回调函数 然后调用 提权
与中断相同
操作

nt!DbgBreakPointWithStatus+0x4:
83eb2110 cc              int     3
kd> r gdtr
gdtr=80b95000

kd> dq 80b95000 L30
80b95000  00000000`00000000 00cf9b00`0000ffff
80b95010  00cf9300`0000ffff 00cffb00`0000ffff
80b95020  00cff300`0000ffff 80008b1e`400020ab
80b95030  834093f6`2c003748 0040f300`00000fff
80b95040  0000f200`0400ffff 00000000`00000000
80b95050  830089f6`00000068 830089f6`00680068
80b95060  00000000`00000000 00000000`00000000
80b95070  800092b9`500003ff 00000000`00000000
80b95080  00000000`00000000 00000000`00000000
80b95090  00000000`00000000 00000000`00000000
80b950a0  86008961`71c00068 00000000`00000000
80b950b0  00000000`00000000 00000000`00000000
80b950c0  00000000`00000000 00000000`00000000
80b950d0  00000000`00000000 00000000`00000000
80b950e0  00000000`80b95100 00009200`0000ffff
80b950f0  830098e6`f97003b2 00009200`0000ffff
80b95100  00000000`80b95108 00000000`80b95110
80b95110  00000000`80b95118 00000000`80b95120
80b95120  00000000`80b95128 00000000`80b95130
80b95130  00000000`80b95138 00000000`80b95140
80b95140  00000000`80b95148 00000000`80b95150
80b95150  00000000`80b95158 00000000`80b95160
80b95160  00000000`80b95168 00000000`80b95170
80b95170  00000000`80b95178 00000000`80b95180

修改
eq 80b95060 0045ec00`00080850 

kd> dq 80b95000 L30
80b95000  00000000`00000000 00cf9b00`0000ffff
80b95010  00cf9300`0000ffff 00cffb00`0000ffff
80b95020  00cff300`0000ffff 80008b1e`400020ab
80b95030  834093f6`2c003748 0040f300`00000fff
80b95040  0000f200`0400ffff 00000000`00000000
80b95050  830089f6`00000068 830089f6`00680068
80b95060  0045ec00`00080850 00000000`00000000
80b95070  800092b9`500003ff 00000000`00000000
80b95080  00000000`00000000 00000000`00000000
80b95090  00000000`00000000 00000000`00000000
80b950a0  86008961`71c00068 00000000`00000000
80b950b0  00000000`00000000 00000000`00000000
80b950c0  00000000`00000000 00000000`00000000
80b950d0  00000000`00000000 00000000`00000000
80b950e0  00000000`80b95100 00009200`0000ffff
80b950f0  830098e6`f97003b2 00009200`0000ffff
80b95100  00000000`80b95108 00000000`80b95110
80b95110  00000000`80b95118 00000000`80b95120
80b95120  00000000`80b95128 00000000`80b95130
80b95130  00000000`80b95138 00000000`80b95140
80b95140  00000000`80b95148 00000000`80b95150
80b95150  00000000`80b95158 00000000`80b95160
80b95160  00000000`80b95168 00000000`80b95170
80b95170  00000000`80b95178 00000000`80b95180

源码

#include <stdio.h>
#include <windows.h>
int g_Gdt2 = 0;
_declspec(naked) void fun()   //450850
{
    __asm
    {
        push eax;
        mov eax, dword ptr ds : [0x80b95060]; //注册的回调地址
        mov g_Gdt2, eax;
        pop eax;
        retf;
    }
}
//  eq xxxx ec00 0008xxxx
int main()
{
                                        //0x63( 0110 0011)      01100   0   11
                                                                 //1100 第12个
    char buf[6] = { 0x00,0x00,0x00,0x00,0x63,0x00 }; //反着看 

    __asm
    {
        call fword ptr ds : [buf];//相当于 call cs:0xXXXX   目的就是切换段选择子
    }
    printf("%x\n", g_Gdt2);
    system("pause");
}

调用门提权操作

转载于:https://blog.51cto.com/haidragon/2131252

weixin_34313182
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
27-通过调用实现提权
网络安全
06-27 1327
参考资料:9-调用(无参) 1. 什么是调用 在之前的学习中,JMP FAR指令实现代码跨段的本质是修改CS段寄存器,并不会改变程序的特权级别(即修改CPL的值),如果我们即想要实现代码跨段和提权的话,就需要用到调用调用是CPU提供的一个功能,它允许一个3环(CPL=3)的程序通过这扇“”来修改CS段寄存器并实现提权到0环(CPL=0),实际上调用是一个系统段描述...
windows x32调用/中断实现 ring3提权
最新发布
不会写代码的丝丽
01-01 1125
调用是Intel提供的一个机制,用于控制不同权限级(ring0-ring3)的程序函数调用。简单点就是提供了一个ring3 调用ring0 函数的机制。在intel手册描述如下详细可参阅实现调用需要构造一个调用描述符放入GDT或者LDT中。指向代码段的段选择子,P表示是否有效,如果栈转化那么指示要从调用方栈拷贝到目标栈的word(16位)数。type固定为1100.如果调用的代码段是ring3权限(CPL),而目标调用是ring0(RPL)权限,栈区是不共享的因此需要将栈区的参数拷贝到目标栈中。
对双机调试的探索
kingswb的博客
04-19 2985
标 题: 对双机调试的探索 作 者: farmtest 时 间: 2014-01-21,12:26:15 链 接: http://bbs.pediy.com/showthread.php?t=183925 最近学习游戏保护,发现VM+WINDBG双机调试不能使用,以游戏保护*P为例,经过论坛搜索,发现有以下几点动了手脚: 1.  kdDebuggerEnabled变量不停的清零,清零
Windows保护模式(三)长调用与短调用&调用
sky123博客
10-11 994
跨段调用时,一旦有权限切换,就会切换堆栈CS的权限一旦改变,SS的权限也要随着改变,CS与SS的等级必须一样如果不是一致代码段或者利用 TSS ,JMP FAR 只能同级跳转,但CALL FAR可以通过调用提权,提升CPL的权限RETF,IRETD 只能在同级跳转,或者只能降低权限SS 与 ESP 的值来自与 TSS 段RETF 指令根据 CS 指向的段描述符是否为们以及是否提权来确定调用时是压入的 4 个值还是 2 个值。
10-调用(有参)实验
进击的小学生
09-14 2508
编写R0函数int g_a, g_b, g_c; __declspec(naked) void getParam(int a, int b, int c) { __asm { // int 3 // 取消注释可以在WinDbg中看R0栈数据 pushad // 0x20 B pushfd // 0x04 B //
详细结构操作libxml.doc
10-28
获取了各节点值、属性值、元素值,3级节点。网上很难找到这样到位的代码,公司项目做的。linux,c。
中断、陷阱调用、任务
weixin_34348174的博客
09-01 355
在nt平台下,普通应用程序运行在ring3下,操作系统运行于ring0。如果在程序中需要执行一些特权指令的话,程序必须转入到ring0。由于用户程序执行特权指令可能会破坏系统资源,故出于保护和稳定的目的,操作系统通过“”机制向用户态程序提供必要的服务。在x86种有四种:中断、陷阱调用、任务,这些是cpu从硬件层提供的支持。这四个就是让CPU找到到哪里去执行异常或中断的处理代码,是中...
8-跨段提权调用
进击的小学生
10-03 3140
上一篇文章使用 jmp far 指令实现代码跨段,本质上就是改变 cs 段寄存器。但是我们发现,无论如何,jmp far 也无法更改 CPL。即使你的 RPL = 0,也是徒劳。 有没有办法更改 cs 段寄存器,同时也更改 CPL?答案是肯定的。本篇提到了调用只是其中的一种方法,还有其它方法,后文会陆续介绍。 1. 在 3 环能读取高 2G 内存吗? 回答这个问题最笨的方法就是做一个实...
Windows内核调试器原理浅析
峥嵘岁月
02-04 3611
文摘出处:http://www.xfocus.net/articles/200412/765.html创建时间:2004-12-23文章属性:原创文章提交:SoBeIt (kinsephi_at_hotmail.com)Windows内核调试器原理浅析                                                                    
9-调用(无参)
进击的小学生
09-14 3696
编写 r0 函数 getData 查看函数 getData 地址 构造调用描述符 运行结果 编写 r0 函数 getData 该函数将运行在ring 0下,因为其中读取了高2G内存数据。 在 main 函数执行长调用,注意VC6.0 不能直接写 call 0x48:0,编译不通过 #include <windows.h> #include <stdio.h>WORD g_cs0, g_ss0, g
Windbg中查看计算机名
热门推荐
张佩的技术库
08-23 3万+
使用Windbg调试目标对象的时候,用户发现到它的一个缺陷,就是不能自动识别目标设备的机器名。实际上Windbg总是标出了Machine Name的关键字,但却从来都没有显示。可以认为Windbg在这个地方有点小缺陷。见下面的例子: //示例见原文 在调试一些很困难问题的时候,比如目标系统boot失败、桌面不能正常显示、dump分析,这些情况下,我们没法通过登录到目标机器上去查看机器名,只能借助Windbg来实现。虽然Windbg没有自动显示功能,但仍然可以通过两种方法来实现手动实现。我们分两种情况来讲
调用实战(4)----特权级转移实践
金俊小筑
11-21 918
本次实践从ring0进入ring3然后又回到ring0
[转载]基于pspCidTable的进程检测技术
yaneng的专栏
06-18 4313
基于pspCidTable的进程检测技术文章作者:gz1x信息来源:邪恶八进制信息安全团队(www.eviloctal.com)一.     pspCidTable概念及内核调试二.     获取pspCidTable的方法三.     几种进程检测方法的对比四.     anti-pspCidTable技术及其他一.     pspCidTable概念及内核调试-----------------
80x86保护模式系列教程(5)任务状态段和控制
Liang Tang's 专栏
03-10 2689
五.任务状态段和控制每个任务有一个任务状态段TSS,用于保存任务的有关信息,在任务内变换特权级和任务切换时,要用到这些信息。为了控制任务内发生特权级变换的转移,为了控制任务切换,一般要通过控制进行这些转移。本文将介绍任务状态段和控制。 系统段描述符系统段是为了实现存储管理机制所使用的一种特别的段。在80386中,有两种系统段:任务状态段TSS和局部描述符表LDT段。用于描述系
调用实战(1)----调用跳转
金俊小筑
11-18 1841
"",英文原名Gate,是一种描述符,该描述符的结构如下图:直观来看,一个描述了由一个选择子和一个偏移所指定的线性地址,程序正是通过这个地址进行转移的。描述符分为4种:调用(Call gates)中断(Interrupt gates)陷阱(Trap gates)任务(Task gates)这个例子中,我们用到调用。简单起见,不涉及任何特权级转变。代码pm.inc添加了描述符,如下:; usage: Descriptor Base, Limit, Attr ; Base
windows程序员进阶系列:《软件调试》之四:断点和单步调试
tianyu的专栏 - Linux site:blog.csdn.net/wishfly
03-19 2968
windows程序员进阶系列:《软件调试》之四:断点和单步调试 断点和单步调试是两个经常使用的调试功能,也是调试器的核心功能。在第一篇文章中曾简单介绍了下,本文我们将会对它们进行更详细的介绍。 软件断点 INT3断点指令是专用来支持调试的指令。它的目的就是是cpu中断到调试器,以供调试者对执行现场进行各种分析。当我们在调试软件时,可以在某出插入INT3指令,当cpu执行到此断点
QNX---- 第5章 多核处理
u011996698的博客
09-20 2394
QNX--- 第5章 多核处理 俗话说“三个臭皮匠,顶个诸葛亮”,计算机系统也是如此。在计算机系统中,两个或两个以上的处理器可以大大提高性能。多处理系统可以采用以下形式: 离散或传统:一种系统,它有独立的物理处理器,以多处理模式连接到一个板级总线上。 多核:一种具有一个物理处理器和多个互连cpu的芯片,在芯片级总线上。多核处理器通过并发提供更大的计算能力,提供更大的系统密度,并以低于单处理器...
[保护模式]中断
鬼手的博客
12-01 1320
文章目录要点回顾中断IDT中断描述符中断实验示例代码构造中断描述符修改IDT表中断现场中断返回为什么会PUSH EFLAGS寄存器调用和中断的区别 要点回顾 执行调用的指令:call cs:eip。其中cs是段选择子,包含了查找GDT表的索引。但当CPU遇到了如下指令:int [index],查询的却是另外一张表,这张表叫IDT 中断 IDT IDT表全称为中断描述符表,包含三种描...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值