扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
1.漏洞原因
z0mbie文章里提到在Win2k下进程可以自己添加LDT项,这可能是由于历史原因才留在系统代码中,因为Win2k本身并不会用到LDT.这个漏洞的核心是LDT项中Expand-Down位的设置.例子,一个LDT的Base为100,Limit为7FFFFFFF.当Expand-Down位为0时.LDT的有效范围是: 100 ~ 7FFFFFFF.
但当Expand-Down位为1时,有效范围是: 80000000 ~ FFFFFFFF 和 0 ~ FF,及刚好相反.在Win2k添加LDT项的检测过程没有考虑这一情况,导致用户可以建立包含内核空间在内的LDT项(这其实只是一方面,GDT[23]本来就是0-FFFFFFFF,关键是我们可以控制LDT的基址,而内核有时假设基址为0,这样能使其在处理内存时发生计算误差).
2.利用原理
因为Win2k是基于页的内存保护机制,而我们又运行在ring3态下这一事实,所以需要借助内核本身来进行越权操作.eEye的文中提到int 2e中的rep movsd指令.int 2e的使用方法:
mov eax, service_id
lea edx, service_param
int 2e
当运行rep movsd指令时:
edi为内核堆栈指针(KSP, 我机子上一般是FDxxxxxx)
esi指向service_param
ecx为参数的个数(in 32bit)
相当于memcpy (es.base+edi, ds.base+esi, ecx*4);
这里service_param的内容,es寄存器都是可控的.唯一不确定的是edi及内核堆栈指针.获得KSP一种方法是,先假设一个大约值,比如FD000000,再分配一较大内存空间(16MB)buf,利用这个漏洞将一特征码写入buf,最后找出特征码在buf中的偏移量offset,计算出:
KSP精确值 = 假设值(FD000000) + offset.
至于提升权限的部分,还没找到比较通用的方法.eEye说加LDT,但LDT的地址在KSP下方,没理解.IDT, GDT也在KSP下方.我能想到就是改Driver Dispatch Routies,通过I/O API调用.因为不是很通用这里就不列了.如果有什么好的方法,请告诉我.谢谢.
3.具体步骤
见代码.另外Win2k的代码也有了,可以和eEye的公告对照着看.
/***********************************************************
* 计算出Kernel Stack Pointer后,就能精确控制写入的地址了.
* 要注意的是只能覆写到KSP以上的内核空间.
***********************************************************/
/******************************************************************
* Windows Expand-Down Data Segment Local Privilege Escalation
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。