扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
蓝屏的本质
当你找到一个漏洞,当你把数据包发送到远程系统时面临着出现蓝屏的问题。要想成功注入一个内核级漏洞,首先要理解“蓝屏死机(Blue Screen Of Death)”的原理。
当你见到BSOD,这就意味着native函数KeBugCheckEx被调用,有两种情况可以引发这种错误:
1、由内核异常调用
2、直接由错误检测机制调用KeBugCheckEx
内核的异常链处理机制如下:
当一个异常产生时,内核通过IDT(中断描述符表)的函数入口(KiTrapXX)取得控制权。这些函数组成了1级的的陷阱处理程序(Trap Handler),这个中断处理体可能会独自处理这个异常,也可能把该异常传递给下一个异常处理体,或者如果这个异常是无法处理的,那么就直接调用KeBugCheckEx。
无论是哪种情况,为了掌握产生异常的原因和地点,我们需要得到陷阱桢(Trap Frame)。陷阱桢是一个与CONTEXT相似的结构,利用这个结构,可以得到所有寄存器的状态和指令寄存器所指向的产生异常的地址。我倾向于使用Compuware/Numega的SoftICE调试器来完成所有工作,但当调试陷阱桢时,WinDbg提供了更好的结构识别能力。如果只使用SoftICE,我必须手动定位先前的堆栈参数。
假如你的电脑设置了蓝屏时的内存转储功能,那么这个文件的默认存储路径为%SystemRoot%/MEMORY.DMP。加载WinDbg并且选择“打开崩溃转储(Open Crash Dump)”加载所保存的文件。下面是由陷阱处理程序直接调用KeBugCheckEx的例子。
在加载内存转储文件后,WinDbg显示如下:
WinDbg显示了KeBugCheckEx是由自陷程序KiTrapOE调用的以及而且陷阱桢的地址是0x8054199C .现在就用“trap address”命令来显示陷阱桢的内容。
现在我们可以看到异常抛出时所有寄存器的状态,同时也能显示一部分的内存区域。看到指令寄存器的值为0x41414141,表明是在用户区域。现在我们可以按照自己的意愿任意改变执行流程。
这种情况下,数据是由ESP寄存器来定位的:
现在我们就可以利用JMP ESP,CALL ESP, PUSH ESP/RET等偏移值替换0x41414141来实现执行流程重定向,可以采用任何标准溢出技术重现漏洞溢出。
如果KeBugCheckEx是由异常处理机制引发的,陷阱桢是作为第三参数传递给KiDispatchException。在这种情况下,你需要将第三参数的地址传递给自陷命令。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。