空指针解引用(nullpointer dereference)_空指针解引用分析

最新推荐文章于 2024-02-18 19:31:32 发布
最新推荐文章于 2024-02-18 19:31:32 发布
阅读量1.4w 收藏 11
点赞数 2
文章标签: 空指针解引用(nullpointer dereference)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42508313/article/details/113365398
版权

一、 概述

1.CVE-2018-8120 是通过一个空指针解引用达到任意读写的漏洞。其实个人感觉单凭空指针 解引用的危害就是 BSOD,但是利用方面还是要配合任意读写漏洞,如果单纯的只是 BSOD 那可能充其量算一个 BUG,但是如果能配合任意读写(全称:Write What Where)那么才算 是漏洞。通过思考得出的结论就是漏洞 = BUG+利用。

二、 初识空指针解引用 

1.空指针解引用的伪代码 (1)解引用,顾名思义,其实就是对一个指针进行访问其中的值,那么空指针解引用就代 表了这个指针是 NULL,所以伪代码如下:

99d65fd17a6b26e3be5f99209096c34f.png

(2)用户层 如果这段代码身处在用户层环境,那么就是访问异常,0xC0000005 错误,这是因为操 作系统的顶层异常替我们处理了,所以只会弹出来错误对话框显示出错误码。

(3)内核层 如果这段代码身处在内核层环境,那么就会直接 BSOD,因为操作系统在派发两次异常 后发现没有人能处理,那么直接蓝屏。这也体现了操作系统对于内核层的容错性很低。

(4)0xC0000005 或 BSOD 原因 这是因为 NULL 处的地址并没有进行挂 PTE,只是单纯了挂了 PDE(如下图),简而言 之就是没有对应的物理页。此处让我想起了操作系统划分地址空间的时候,都是将虚拟地址 当做是空头支票,实际干活的时候还是得靠物理地址。

b87b0799ab57cbd19d70440098130880.png

2.空指针解引用到任意读写

(1)空指针解引用到任意读写的这一步,就是锦上添花扩大战果的一步。如果从空指针解引用这一句代码为分界线,那么此前的很多代码就是造成空指针的原因,此后的代码就是是 否能够任意读写的关键(这里有点不严谨,因为还要看是否有可控的元素)。

de8f4910236b9814ffaab1f53c332bb1.png

三、 通过 HEVD 看空指针解引用

因为不太懂得漏洞什么,所以先挑选一个比较简单的漏洞环境来进行探一探究竟。这 有点初时不识君难免有些羞涩的味道。

1. 源码角度分析

(1) 漏洞的成因 漏洞原因就是没有对申请的结构体 NullPointerDereference 判断是否为 NULL,直接调用 了其中的函数。

4c67af913fa5b490e47ae8355a9d018a.png

(2) 利用分析 

我们已经知道了漏洞的原因是直接对一空指针进行解引用,并且利用了空指针进行了一 个函数的调用。那么我们让此处的空指针变成不是名义上空的指针,并且在该指针调用的函 数偏移处进行放置我们的 shellcode,那么达到漏洞利用的效果。

1. 申请 0 地址页面内存 调用 NTDLL.NtAllocateVirtualMemory 函数进行为地址为 1 的位置申请内存,为什么不直接写 0 呢?这是如果写 0 的话就由系统确定你的内存从哪里开始申请。如果写 别的值,那么这个函数内部会自动向下取整一个页面大小。

4e8889314bdb6d7679cca178a2e9679f.png

这也就说明了我们写 0x1-0xFFF,都会帮我们分配到 0-0xFFF 这个虚拟地址空间的 内存。其次要想这个函数真正内部做了什么东西(以后详细分析,这里简述)。其实这个函数并没有直接帮我们申请到物理页面,我们通过可以分析后可知,这个函数调用完之后,并没有帮我们挂上PTE,那么它到底做了什么呢?其实它只是帮我们申请了虚拟地 址,也在虚拟内存中申请一个 VAD 来保留一段空间。当我们真正使用的时候操作系统 才会帮我们挂上物理页面。

2. 在特定位置放置 shellcode 这一步,其实就是挂上了 PTE,并在调用的函数偏移处写上我们 shellcode 的地址。

2685b8469b03e148c1dfc553434a97a5.png

3. 提权代码 

提权代码,其实就是将 system 系统进程的 token 令牌替换到我们进程中的 token 结构体中,这种就间接的提升了权限。(这里是操作系统的安全机制,目前不是很了解)

ac342d8e80e672539e5f3afc05454e0b.png

现在对空指针解引用有了初步的了解,当时觉得算是理解了,分析了CVE 后,发现自己以为的真的是自己以为的,这大概就是理想与现实吧!接下来看看 CVE 的分析。

四、 CVE-2018-8120 分析 

1. 定位漏洞位置通过对比补丁前后,查看漏洞所在位置。

(可以使用工具BinDiff 或者Diaphora 来对比分析),这里就直接查看漏洞函数 win32k!SetImeInfoEx。打补丁前:

a1502586e6c73a03baaf5bbdfa587947.png

打补丁后:

728ad0627fd435f5558b9802d699a761.png

2. 漏洞的原因分析 接下来从如下几个角度进行审视,进而确定它为漏洞而不是 Bug。

(1) 漏洞位置是否可控?这个自我感觉是很重要的,因为之前有点和 rootkit 混淆,漏洞是利用系统留给用 户的接口来进行攻击,有点像用正当的手法做最不正当的事情,而 rootkit 这种就是大 肆的破坏。通过使用 IDA 对 SetImeInfoEx 函数进行交叉引用后,会发现第一个参数是来自于 NtUserSetImeInfoEx 函数中的 GetProcessWindowStation 函数的返回值,因此这个值是可控的。

df6b63191b6bb017b9db1be413367a97.png

(2) 是否可以扩大影响?对于扩大影响,我们则需要查看 SetImeInfoEx 这个函数的漏洞点以下的部分。通过查看,我们发现了此处有个 qmemcpy 函数,并且目的参数与漏洞点的指针有些间接的关系,如果可以控制这个位置,那么就可以达到任意读写从而使其 bug 变为漏洞。

(3) 为什么会存在这样的问题?站在代码编写的角度来想,编写者可以潜意识的认为这个地址不可能为 NULL,所以没 有进行更深层次的检验。这可能是因为是结构与代码组合时,没有想到过多个 WindowStation 的问题,因为我查看了当前桌面的 WindowStation,发现它并不是为 NULL,但是如果是新建 一个,默认是为 NULL 的。 

3. 漏洞的 POC 编写 

(1) 分析用户层到漏洞点的路径 通过 IDA 一路交叉引用,找到最终的 Nt 开头的函数,它的执行路径如下:Ntdll!NtUserSetImeInfoEx --> Win32k!NtUserSetImeInfoEx --> Win32k!SetImeInfoEx

(2) 代码编写

1. 创建自己的 WindowStation,并且查看(tagWINDOWSTATION*)pwinsta->spklList 是否为 NULL。通过调用 CreateWindowStationA 创建的 WindowStation,pwinsta->spklList 默认是为 NULL。

2. 调用 Ntdll!NtUserSetImeInfoEx,这一步,我们可以模仿 NTDLL 中的残根函数写法,自己调用。完整代码如下:

25e649e674885e2535b1a0fd66cd2a86.png

4. 漏洞的利用编写 POC 的编写是研究如何走到漏洞点,exploit 的编写是从漏洞点如何走下去。

(1) 分析当前可利用的区域

18056a44883806eb077d8e10414b6600.png

通过查看 qmemcpy 第一个参数的来源,我们发现它来自于 v3 的一个指针,由此可知 ,我们可控的区域就是 4 个字节,控制了这 4 个字节,就可以进行任意的读写。

(2) 如何利用这个区域 1 池喷(Pool Spraying)的可行性。查看 qmemcpy 的第一个参数,可以发现该地址是位于内存池的,因此,我们可以通过池喷射的技术来利用漏洞。

c43b969caa800a6d6e49c4643ddf0495.png

可以发现这个地址来自于池里面,所以我们利用池喷进行内存句柄,进而控制住指针。

2. 池喷射

先研究一下池喷射,这个就根据 HEVD 的池溢出漏洞来进行研究。

1) 漏洞点构造

4dd05f410fd49a585d9823a7c171c0d4.png

2) 临界值观察 a. 首先我们将利用的代码中 Size 修改为和缓冲区刚刚好的大小。查看 一下池的布局。这里设置为 0x1F8 个字节。

0ed41057285baf44049e7171ad7efa90.png

bca132c8487facce24c667ece78f459c.png

为什么上面的设定是 0x1F8 个字节呢?而不是别的。这是因为_POOL_HEAD 占 8 个 字节,所以总共加起来刚好 0x200 个字节,够一个 Lookaside 中的大小。 

接下来,查看一下 pool 的布局,通过查看会发现如果用户输入的大小超过 0x1f8, 那么就会覆盖掉下一个池头。

9b1f8c595781d3f36e2a0edf0ba123e6.png

269e886d8287b0c2ee1601d7738bfc64.png

3) 寻找利用点 a. 由上面可知,可以控制溢出到池头,那么必然我们的利用点得利用池 头中的某些成员来进行控制EIP。

f0e42eb96c3e18906fef33708fe410c6.png

通过查看,池头部和池配额结构体,都没有发现可以利用地方,但是考虑到这是非分页池,那么里面就存放了很多内核对象结构体。(这里思考的比较久,已经看很多网上的文章都是一路 dt 下去,找到了内核对象,都没有说这块内存是用来干嘛的。那是 不是如果是非分页池了,就不能这么使用了。)

于是我们可以尝试探索一下,查看里面是不是存放的是内核对象,由于某一个内核 对象都会有一个头部(_OBJECT_HEADER),所以可以试探性的搜寻是否可以找到对应的 BODY。

f6f1b463b421f36423c067bf111a61ff.png

这也就是为什么国外的文章,直接使用 dt _OBJECT_HEADER 这个地址。

78805317ff011eceb47d62bdcd952ed4.png

是不是内核对象,还得在通过其中的 TypeIndex 来进行验证。操作系统将所有的内核对 象定义成了一个全局数组 nt!ObTypeIndexTable,而 TypeIndex 就是数组的索引。这个数组的类型是 OBJECT_TYPE 类型,如果这个索引可以到这个数组中寻找到,那么必然是内核对象。

fa913aef5cc71ce12df53b1a7b2e665d.png

查看对象模板中的 _OBJECT_TYPE_INITIALIZER,会发现很多回调函数,都可以进行利用, 但是最好利用应该就是 CloseProcedure 了,只需要通过调用 closeHandle 函数来触发。

fcb1cc67ac32ea3f27163b4be251a9de.png

4) 内存布局 内存布局的话,可以通过申请大量的内核对象,这里选择的 Event 对象,这个 和这个对象的大小刚好为 0x40 个字节(释放 8 个就是 0x200),申请大量的 Event 对象将 Lookaside 和 ListHeads 占用了,然后通过申请新页来分配内存, 进而释放内存的时候可以进行合并成想要的大小。(因为分配 Pool 内存的时 候循序为,lookaside-->ListHeads -->申请新页)

这个漏洞可以利用的关键点还在于 Win7 系统可以申请 NULL 页面。所以将 TypeIndex 修改为 0(溢出的位置),然后将 NULL 页面 +0x60 偏移处修改为 shellcode 的位置,就可以在 CloseHandle 的时候触发 shellcode 代码。5) 攻击过程综述 a. 进行内存布局,制造出 0x200 的空隙,控制位置

6970bedda80a52ebab19d4bee3928a3c.png

54a211f11918d6a71b7d0bdbdc1a741b.png

b. 申请 0 页面,构造shellcode

4fb7929fd6db05f8c6198a00e9cb80e8.png

c. 触发

f6114e0d9c37037afce0a81f58ea93a4.png

3 研究 Bitmap 布局的可行性。

尽管努力
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java代码检查工具 findBugs eclipse插件1.39最新
04-23
FindBugs 是一个静态分析工具,它检查类或者 JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的问题。有了静态分析工具,就可以在不实际运行程序的情况对软件进行分析。不是通过分析类文件的形式或结构来确定程序的意图,而是通常使用 Visitor 模式(请参阅 参考资料)。图 1 显示了分析一个匿名项目的结果(为防止可怕的犯罪,这里不给出它的名字):   在FindBugs的GUI中,需要先选择待扫描的.class文件(FindBugs其实就是对编译后的class进行扫描,藉以发现一些隐藏的bug。)。如果你拥有这些.class档对应的源文件,可把这些.java文件再选上,这样便可以从稍后得出的报告中快捷的定位到出问题的代码上面。此外,还可以选上工程所使用的library,这样似乎可以帮助FindBugs做一些高阶的检查,藉以发现一些更深层的bug。   选定了以上各项后,便可以开始检测了。检测的过程可能会花好几分钟,具体视工程的规模而定。检测完毕可生成一份详细的报告,藉由这份报告,可以发现许多代码中间潜在的bug。比较典型的,如引用了空指针(null pointer dereference), 特定的资源(db connection)未关闭,等等。如果用人工检查的方式,这些bug可能很难才会被发现,或许永远也无法发现,直到运行时发作…当除掉了这些典型的(classic) bug后,可以确信的是,我们的系统稳定度将会上一个新的台阶。
【博客大赛】《C和指针》摘抄整理型笔记五
08-26
对指针进行解引用操作之前,检查一下它是否有效是非常重要的。(所谓“解引用”,即“*”操作,英文为dereference,其实意思就是取指针指向的地址的内容。)
对内核中“二次获取”漏洞的精确以及大范围检测.pdf
08-08
什么是“二次获取”(What is Double-Fetch?) 地址空间分离(Address Space Separation) 单次获取(HowTo Do A Single Fetch?) XXXXXX(No Dereference on Userspace Pointers) 指定的用户层内存访问函数(Transfer Functions) 用户层指针多线程共享(Shared Userspace Pointer Across Threads) 为什么要“二次获取”(Why Double-Fetch?) “二次获取”过程中潜藏的问题(What Can Go Wrong in This Process?) 第一次获取之后的状态(Right After the First Fetch) 用户层内存访问冲突(Race Condition in The Userspace) 第二次获取之后的状态(Right After the Second Fetch) 之后对‘size’的调用会导致内存泄漏(When Exploits Happen) 二次获取”漏洞的根本原因(RootCauseof Double-Fetch Bugs) 常见的“二次获取”情境(Double-Fetch is Prevalent in Kernels) “二次获取”案例 “二次获取”相关的研究(Prior Works) “二次获取”漏洞的定义(Double-Fetch Bugs: A Formal Definition) 如何根据定义来寻找漏洞?(How to Find Double-Fetch Bugs?) 寻找“获取”对(Fetch Pair Collection) 符号执行(Symbolic Checking) 找到的漏洞(Findings) “二次获取”漏洞的补丁模式(Patching Double-Fetch Bugs) “二次获取”漏洞的一般性补丁(Generic Patch for Double-Fetch Bugs) 结语(Conclusion)
C++野指针 空指针 危险指针
m0_74036006的博客
02-18 274
C++危险指针概述
LongerAutoLock:更多自动锁定选项
06-21
更长的自动锁定 更多自动锁定选项。 支持所有 iOS 7-8 设备, 。 LongerAutoLock: More Auto Lock options. Copyright (C) 2014-2015 Julian (insanj) Weiss This program is free software: you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation, either version 3 of the License, or (at your option) any later version. This program is distributed in the h
Apache FtpServer 1.0.6
04-13
Apache FtpServer是一个100%纯Java的、基于现有开放式协议基础上、完整、小巧的FTP服务器。此外,FtpServer还可以作为Windows服务器、Unix / Linux后台程序或是被嵌入在Java应用程序而独立运行。有了MINA(Multipurpose Infrastructure for Network Applications)支持,FtpServer可以轻而易举满足大量的并发用户的需求。 修复的Bug: 设置一个大范围的passive端口,将花费1分钟和100%的CPU占用率; Possible null pointer dereference of passivePorts in PassivePorts::<init>; OPTS MLST不能正确处理字符的大小写; 在distribution/res/ftp-db.sql文件的开始有多余的文字; Server certificate shipped in ftpserver.jks has expired。 OPTS MLST不能正确处理未知factnames; STAT命令返回错误200状态; STAT/creates 无效的目录清单; FtpServer的核心不再需要ORO;
Android开发中如何定位crash问题
weixin_42077820的博客
04-01 5355
使用addr2line、ndk-stack定位crash问题
CWE-476: NULL Pointer Dereference(空指针间接引用)
热门推荐
plstudio1的博客
05-03 1万+
ID: 476 类型:基础 结构:简单 状态:草稿 描述 空指针间接引用发生在应用程序间接引用其预期有效但实际为空的指针时,通常会导致崩溃或退出。 扩展描述 空指针间接引用可能在多个弱点发生后发生,如竞争条件和简单程序省略等。 相关视图 与“研究层面”视图(CWE-1000)相关 与“开发层面”视图(CWE-699)相关 引入...
NULL空指针解引用
weixin_44261839的博客
02-22 4812
NULL指针解引用 首先问大家一个问题就是,大家最开始使用函数(包含指针的函数),例如 size_t fwrite(const void *ptr, size_t size, size_t nmemb, FILE *stream),是否有做过一些处理判断?如果有就别往下看了,没有呢可以往下看看_ 我个人是没有的。 但是我最近在上班的时候处理一些事情的时候发现,使用这类函数是需要对指针进行null检查的,叫检查null指针解引用 为什么? 什么是空指针解引用 C语言空指针的值为null,一般null指针指向进
ncnn报null pointer dereference异常
修炼之路
05-19 4015
错误描述 基于c++使用ncnn封装了深度学习模型,并将c++项目打包成为了一个so库给Android调用,在打包成为so库之前,在Windows系统以及Ubuntu系统利用电脑的camera测试过都能正常运行没有任何异常,打包成so库之后给Android的开发人员调用时,直接报了一个null pointer dereference错误,并且APP直接奔溃 错误定位 对于打包的so库不好定位错误的位置,能够提供的信息都是内存地址相关信息,所以我们需要先通过这些错误信息提供的内存地址来定位so库报错的位
reference与dereference--由空指针引出
seiyaaa的专栏
08-18 739
【摘要】 最近遇到一个空指针问题,根据这个问题了解到reference与dereference所表示的具体含义 空指针问题报错的堆栈如下: pid: 2433, tid: 2948, name: CamSensor >>> /vendor/bin/hw/android.hardware.camera.provider@2.4-service <<< signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 0..
android libusbcamera jni 动态库 修复拔下camera崩溃问题
04-02
在android libusbcamear module中,默认JNI库存在bug,在预览过程中拔下usb摄像头,会出现signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 0x0 的空指针异常,此so已修改源码重新打包,替换可修复该异常
论文研究-一种针对非控制数据攻击的改进防御方法.pdf
07-22
非控制数据攻击(non-control-data attack)是一种有别于传统攻击模式的新方式, 通过窜改系统中的安全关键数据, 实现不改变程序控制流程进行攻击。针对已有的防御措施中静态分析方法依赖源代码, 而动态分析方法存在严重的误报漏报, 提出了一种指针污点分析方法。该方法基于动态污点分析技术, 标记内存数据的污染属性、指针属性, 跟踪标记信息在程序执行时的传播, 监控是否存在指针的非法解引用(dereference)。设计实现了原型系统DPTA, 通过实验证明本方法可以有效地防御控制数据攻击和大部分非控制数据攻击, 并减少误报漏报。
reftools:用于处理Javascript对象中的引用的工具。 现在是oas-kit的一部分
05-15
reftools 常数 TopoSort函数为LICENSE:MIT,其余均为BSD-3-Clause 职能 ⇒ 一个无操作占位符,它在不传递给定对象但无需克隆的情况下返回给定对象的原样 ⇒ 使用JSON.parse和JSON.stringify克隆给定的对象 ⇒ 浅克隆给定对象的属性,忽略原型中的属性 ⇒ 深入克隆给定对象的属性,忽略原型中的属性 ⇒ 使用Object.assign浅浅地克隆给定对象的属性 资料来源:stackoverflow ⇒ 解引用给定的对象 ⇒ 将对象展平为属性数组 使用〜0表示〜和〜1表示/来转义JSON指针 使用〜0表示〜和〜1表示/来取消JSON指针的转义 jptr(obj,prop,newValue) ⇒ 从obj返回带有JSON指针道具的属性,可以选择将其设置为newValue 递归(对象,状态,回调) 遍历对
编译安装ntp-4.2.8p17修复高危漏洞手册-含X86和ARM架构二进制包
01-16
升级最新版NTP版本修复高危漏洞,版本ntp-4.2.8p17修复漏洞 NTP 身份验证绕过漏洞(CVE-2015-7871) NTP Kiss-o'-Death拒绝服务漏洞(CVE-2015-7705) NTP ntpd缓冲区溢出漏洞(CVE-2015-7853) NTP本地缓冲区溢出漏洞(CVE-2017-6462) NTP 安全漏洞(CVE-2015-7974) NTPD PRNG弱加密漏洞(CVE-2014-9294) NTPD PRNG无效熵漏洞(CVE-2014-9293) NTPD 栈缓冲区溢出漏洞(CVE-2014-9295) NTP CRYPTO_ASSOC 内存泄漏导致拒绝服务漏洞(CVE-2015-7701) NTP 安全漏洞(CVE-2016-2516) ntpd 拒绝服务漏洞(CVE-2016-2516) NTP NULL Pointer Dereference 拒绝服务漏洞(CVE-2016-9311)
Detecting Null-dereference Bugs via a Backward Analysis
02-10
Detecting Null-dereference Bugs via a Backward Analysis
谨慎使用PHP的引用原因分析
01-21
例如C++的引用,可以让不同变量指向同一个对象,同时又保有直接使用dot来获取对象成员,不用繁琐的使用dereference运算符(*)和Pointer to Member运算符(->)。Java和C#中就直接以引用为主要类型,尽量让开发人员避免...
起点小说解锁.js
最新发布
04-27
起点小说解锁.js
299-煤炭大数据智能分析解决方案.pptx
04-27
299-煤炭大数据智能分析解决方案.pptx
仿真报错NULL pointer dereference,是啥意思
07-13
"NULL pointer dereference"(空指针解引用)是指在程序中使用了一个空指针(指向空地址的指针),而没有对其进行有效的检查或处理,导致程序在解引用空指针时发生错误。 当程序尝试通过访问或操作一个空指针时,由于空指针不指向任何有效的内存地址,因此无法获取或修改该地址中的数据。这将导致程序发生错误,通常会触发异常或导致程序崩溃。 以下是一个C语言的示例,展示了一个可能导致空指针解引用错误的情况: ```c #include <stdio.h> int main() { int* ptr = NULL; // 定义一个空指针 *ptr = 5; // 尝试解引用空指针 return 0; } ``` 在上面的示例中,`ptr`被赋值为`NULL`,然后尝试通过`*ptr`来解引用它。由于`ptr`是空指针,无法访问有效的内存地址,因此会发生空指针解引用错误。 空指针解引用错误是常见的编程错误,并且可能导致严重的后果,如程序崩溃或数据损坏。要避免这种错误,需要在使用指针之前进行有效的检查,确保它不为空。可以使用条件语句或断言来进行检查,并在需要时采取适当的处理措施,如返回错误码或引发异常。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值