科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Windows远程内核漏洞注入(2)

Windows远程内核漏洞注入(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

I386体系支持4种访问权限,也就是通常所说的特权级别。Windows NT 使用了其中的两个权限,使得NT操作系统可以在不完全支持这四种特权级别的体系中运行。
  • 评论
  • 分享微博
  • 分享邮件

  蓝屏的本质

  当你找到一个漏洞,当你把数据包发送到远程系统时面临着出现蓝屏的问题。要想成功注入一个内核级漏洞,首先要理解“蓝屏死机(Blue Screen Of Death)”的原理。

  当你见到BSOD,这就意味着native函数KeBugCheckEx被调用,有两种情况可以引发这种错误:

  1、由内核异常调用

  2、直接由错误检测机制调用KeBugCheckEx

  内核的异常链处理机制如下:

  当一个异常产生时,内核通过IDT(中断描述符表)的函数入口(KiTrapXX)取得控制权。这些函数组成了1级的的陷阱处理程序(Trap Handler),这个中断处理体可能会独自处理这个异常,也可能把该异常传递给下一个异常处理体,或者如果这个异常是无法处理的,那么就直接调用KeBugCheckEx。

  无论是哪种情况,为了掌握产生异常的原因和地点,我们需要得到陷阱桢(Trap Frame)。陷阱桢是一个与CONTEXT相似的结构,利用这个结构,可以得到所有寄存器的状态和指令寄存器所指向的产生异常的地址。我倾向于使用Compuware/Numega的SoftICE调试器来完成所有工作,但当调试陷阱桢时,WinDbg提供了更好的结构识别能力。如果只使用SoftICE,我必须手动定位先前的堆栈参数。

  假如你的电脑设置了蓝屏时的内存转储功能,那么这个文件的默认存储路径为%SystemRoot%/MEMORY.DMP。加载WinDbg并且选择“打开崩溃转储(Open Crash Dump)”加载所保存的文件。下面是由陷阱处理程序直接调用KeBugCheckEx的例子。

  在加载内存转储文件后,WinDbg显示如下:

  

  

  

  

  

  

  WinDbg显示了KeBugCheckEx是由自陷程序KiTrapOE调用的以及而且陷阱桢的地址是0x8054199C .现在就用“trap address”命令来显示陷阱桢的内容。

  

  

  现在我们可以看到异常抛出时所有寄存器的状态,同时也能显示一部分的内存区域。看到指令寄存器的值为0x41414141,表明是在用户区域。现在我们可以按照自己的意愿任意改变执行流程。

  这种情况下,数据是由ESP寄存器来定位的:

  

  

  现在我们就可以利用JMP ESP,CALL ESP, PUSH ESP/RET等偏移值替换0x41414141来实现执行流程重定向,可以采用任何标准溢出技术重现漏洞溢出。

  如果KeBugCheckEx是由异常处理机制引发的,陷阱桢是作为第三参数传递给KiDispatchException。在这种情况下,你需要将第三参数的地址传递给自陷命令。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章