Windows2000LDT漏洞初探(1)

　　1.漏洞原因

        z0mbie文章里提到在Win2k下进程可以自己添加LDT项,这可能是由于历史原因才留在系统代码中,因为Win2k本身并不会用到LDT.这个漏洞的核心是LDT项中Expand-Down位的设置.例子,一个LDT的Base为100,Limit为7FFFFFFF.当Expand-Down位为0时.LDT的有效范围是: 100 ~ 7FFFFFFF.

　　但当Expand-Down位为1时,有效范围是: 80000000 ~ FFFFFFFF 和 0 ~ FF,及刚好相反.在Win2k添加LDT项的检测过程没有考虑这一情况,导致用户可以建立包含内核空间在内的LDT项(这其实只是一方面,GDT[23]本来就是0-FFFFFFFF,关键是我们可以控制LDT的基址,而内核有时假设基址为0,这样能使其在处理内存时发生计算误差).

　　2.利用原理

　　因为Win2k是基于页的内存保护机制,而我们又运行在ring3态下这一事实,所以需要借助内核本身来进行越权操作.eEye的文中提到int 2e中的rep movsd指令.int 2e的使用方法:

　　mov eax, service_id

　　lea edx, service_param

　　int 2e

　　当运行rep movsd指令时:

　　edi为内核堆栈指针(KSP, 我机子上一般是FDxxxxxx)

　　esi指向service_param

　　ecx为参数的个数(in 32bit)

　　相当于memcpy (es.base+edi, ds.base+esi, ecx*4);

　　这里service_param的内容,es寄存器都是可控的.唯一不确定的是edi及内核堆栈指针.获得KSP一种方法是,先假设一个大约值,比如FD000000,再分配一较大内存空间(16MB)buf,利用这个漏洞将一特征码写入buf,最后找出特征码在buf中的偏移量offset,计算出:

　　KSP精确值 = 假设值(FD000000) + offset.

　　至于提升权限的部分,还没找到比较通用的方法.eEye说加LDT,但LDT的地址在KSP下方,没理解.IDT, GDT也在KSP下方.我能想到就是改Driver Dispatch Routies,通过I/O API调用.因为不是很通用这里就不列了.如果有什么好的方法,请告诉我.谢谢.

　　3.具体步骤

　　见代码.另外Win2k的代码也有了,可以和eEye的公告对照着看.

　　/***********************************************************

　　* 计算出Kernel Stack Pointer后,就能精确控制写入的地址了.

　　* 要注意的是只能覆写到KSP以上的内核空间.

　　***********************************************************/

　　/******************************************************************

　　* Windows Expand-Down Data Segment Local Privilege Escalation