当前位置:首页 > 黑客业务 > 正文内容

HEVD驱动软件运用之道,Part 2:栈跨站脚本攻击(四)

访客4年前 (2021-04-07)黑客业务523

(接好文)

在上一篇文章中,大家为阅读者详细介绍了完成提权全过程中必须掌握的重要算法设计,及其完成提权的有关shellcode;在文中中,大家将为阅读者详细介绍怎样维护保养驱动软件的一致性等层面的专业知识。

如今,大家早已了解了完成令牌窃取作用的payload的所执行的全过程(最后将得到NT AUTHORITY\\SYSTEM管理权限);下面,大家来调查一下该payload的最终一段编码。

最终一段编码的功效是修复驱动软件中的执行步骤。如果我们不执行这最后一步得话,将无期限地造成 崩溃。

这儿的念头是将一切修复到原先的途径上边。幸运的是,在这类进攻状况下,我们可以在执行完成令牌窃取作用的payload以前储存存储器的情况。随后,在这个payload进行后,我们可以修复存储器的情况。在x86构架上,能够根据PUSHAD/POPAD命令来完成这一点。一旦大家修复了存储器的情况,大家就可以将驱动软件偏向启用包括有关系统漏洞的汇编程序后的一组命令。

因此,能够在WinDBG中执行以下指令:u HEVD!StackOverflowIoctlHandler 10。

在这儿我们可以见到,从HEVD!TriggerStackOverflow回到后,紧接着的两根命令是POP EBP; RET 0x8;。因此,大家必须在完成令牌窃取作用的payload结尾引进这两根命令,另外还必须设定STATUS_SUCCESS编码,以修复驱动软件的一致性。

如今,大家早已掌握完成令牌窃取作用的payload所执行的实际操作,以后,我们可以用Nasm解决编码,并应用Hexdump来查找payload的內容。

下边是我们要在exploit中完成的令牌窃取shellcode:

数据信息执行维护(DEP)最开始是在Windows XP SP2和Windows Server 2003 SP1公布时引进的一种安全性维护体制,用以阻拦从不能执行的运行内存地区中执行编码。

DEP有二种工作中模式:

1. 硬件配置强制性模式:适用适用将运行内存页标识为不能执行的CPU。

2. 手机软件强制性模式:适用沒有有关硬件配置适用的CPU(没有文中详细介绍范畴以内)。

硬件配置强制性模式的DEP开启了非可执行性(NX)位,它能够区别运行内存中的数据信息和编码地区。该位告知CPU是接纳還是回绝执行运行内存地区内的编码。

在全局性方面上,电脑操作系统能够被配备为在以下所显示的模式下运作:

1. OptIn模式--只在过程中和自定应用软件上开启DEP。

2. OptOut模式--除确立免除的运用外,全部运用都开启DEP。

3. AlwaysOn模式--DEP永久性开启

4. AlwaysOff模式--永久性禁止使用DEP

从Windows XP SP3/Windows Vista SP1及高些版本逐渐,微软公司完成了一种安全性体制,以避免在运作时禁止使用DEP。这类体制被称作“永久DEP”。使我们简易地介绍一下DEP,及其它在HEVD驱动软件的漏洞检测全过程中是怎样充分发挥的。

在debuggee设备上,使我们打开cmd.exe并查验硬件配置强制性模式的DEP是不是能用。假如硬件配置强制性模式的DEP能用,使我们进一步检查一下,看一下适用哪一种模式。这种查验能够应用下列指令进行:wmic OS Get DataExecutionPrevention_Available与wmic OS Get DataExecutionPrevention_SupportPolicy。

在上面的屏幕截屏中,我们可以见到硬件配置强制性模式的DEP是能用的(輸出为TRUE),而且电脑操作系统适用的对策等级是OptIn(輸出为2)。

如今大家早已了解:硬件配置强制性模式的DEP早已开启并设定为OptIn模式,下边,使我们细心科学研究一下cmd.exe过程,看一下DEP是怎样在该过程中起功效的。因此,我们可以在WinDBG中根据查验cmd.exe过程的_KPROCESS算法设计中的Flags组员来进行该每日任务,实际以下所显示:

要递归地查询KPROCESS算法设计,请应用下列指令:dt nt!_KPROCESS[process address]-r,指令运作結果以下所显示:

在前面的WinDBG编码精彩片段中,突显的四个标示都和DEP有关。但是,大家只关注在其中的三个。假如开启了DEP作用,则设定ExecuteDisable标示。第二个标示ExecuteEnable是在DEP被禁止使用时设定的。大家很感兴趣的最后一个标示是Permanent标示。假如设定了该标示,则不允许在运作时变更执行选择项。

运行DEP作用后,如果我们完好无损的引进完成令牌窃取作用的shellcode,系统软件会将其标识为不能执行,这将最后造成 崩溃。请看下面的屏幕截屏,它展现了未妥善处理DEP的状况下,完成令牌窃取作用的shellcode的运作結果。

如您所闻,完成令牌窃取的shellcode所属的运行内存地区被标识为不能执行。因而,如果我们容许再次执行,一旦大家自动跳转到完成令牌窃取的shellcode并试着执行第一条命令(PUSHAD),大家便会开启浏览违反规定不正确。

依据大家搜集到的信息内容,能够得到以下结果:大家务必完成一种绕开DEP维护体制的方式,才可以让这一exploit充分发挥。自然,大家有很多方式都能够保证这一点;就这儿而言,大家将应用VirtualAlloc()和RtlMoveMemory() API函数来完成该每日任务。

根据VirtualAlloc(),我们可以建立一个新的可执行运行内存地区来储放完成令牌窃取作用的shellcode。在根据VirtualAlloc()涵数建立可执行运行内存地区以后,大家将应用RtlMoveMemory()涵数将完成令牌窃取作用的shellcode拷贝到该运行内存地区中。

在exploit编码中加上了完成令牌窃取作用的shellcode、VirtualAlloc()和RtlMoveMemory()涵数以后,最后的编码以下所显示:

C语言版本:

Python语言表达版本:

如今,使我们在Windows 7 SP1(x86)设备上运作最后版本的exploit编码。我们可以在TriggerStackOverflow中启用memcpy后立刻终断,并查验shellcode所属的运行内存地区,看一下它是不是被标识为可执行的。

C语言版本:

Python语言表达版本:

大家早已取得成功得到了一个具备NT Authority/System管理权限的shell!

小结一下系统漏洞的运用全过程:

l 开启奔溃,遮盖EIP。

l 操纵EIP和执行步骤

l 将执行步骤跳转到包括LPE payload的、由客户转化成的可执行运行内存地区中。

在本文中,大家为阅读者出示了十分详细的信息内容,因此,文中尤其合适第一次触碰到核心漏洞检测的阅读者。

在这个系列产品的将来文章内容中,我方案包含大量的系统漏洞种类、权利提高技术性和大量的当代安全性体制(SMEP、CFG等)。除此之外,我都方案将有关编码转移到x64构架。

最终,向HackSys Team献给,谢谢她们让文中变成很有可能。

假如您有一切难题/评价,别再犹豫,请在线留言。

未完待续……

全文详细地址:

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/105912.html

分享给朋友:

“HEVD驱动软件运用之道,Part 2:栈跨站脚本攻击(四)” 的相关文章

华流芒种是几月几号农历

芒种是二十四节气之一,大家对于二十四节气也已经非常熟悉了,但是芒种是哪一天还不是很清楚,今年的芒种是阳历6月5日,那么2020年芒种是农历几月几号呢?接下来我们就一起了解一下吧。     2020年芒种是农历几月几号...

猪肉怎么选?颜色有区别吗?今天做饭的时候发现上次买的猪肉颜色跟这

猪肉怎么选?颜色有区别吗?今天做饭的时候发现上次买的猪肉颜色跟这 买猪肉时,根据肉的颜色、外观、气味等可以判断出肉的质量是好还是坏。优质的猪肉,脂肪白而硬,且带有香味。肉的外面往往有一层稍带干燥的膜,肉质紧密,富有弹性,手指压后凹陷处立即复原。 次鲜肉肉色较鲜肉暗,缺乏光泽,脂肪呈灰白色;表面带...

宜家自助餐多少钱一位 「天津宜家自助餐多少钱」

食材的流转等息息相关的,白堤路店,就不用付钱了。吃完了,不像别的自助沙拉酱都兑了N多的水!其他」的也是10多块20块一份。鞍山西道,你绝对吃不腻。 举荐菜:当然是面啦!海鲜、你去尝尝吧。 举荐蔡:特色鸡串,金汉斯南美多少烤肉,腌好的肉和没腌的肉都有,200元一位,宜家家居,宜家2楼那个不是自助餐厅,...

棕榈价格生意社(棕榈油价格最新报价)

DCE,但是今年金融危机的关系,而且各大港口库存量很大,棕榈油氧化稳定性比较好,它的价格是多少呀.短期上涨还是有的。一级一吨2200元,盘面来看。最新 50斤一代。目前市场24度棕榈油,一般以熔点来分,港口出货量维持在100-200吨。天津港报价4940元/吨。 你就按6762一吨吧。6798元,棕...

intense靶场-获取User权限

出品|MS08067实验室(www.ms08067.com) 本文作者:jokelove(Ms08067内网安全小组成员) Intense是HTB中一个难度中上的靶场,需要参与者具备下述能力: 1. Python源码审计 2. SQL注入原理 3. SNMP远程命令执行 4. 栈溢出...

西湖论剑 Flagshop 分析复现

本文首发于“合天智汇”公众号 作者:xiaoleung title: 西湖论剑 Flagshop 分析复现 date: 2020-10-13 13:12:04 tags: CTF 本文推荐实验 PWN综合练习(三) 实验:PWN综合练习(三)(合天网安实验室) CTF PWN进阶训练实...

评论列表

酒奴棕眸
3年前 (2022-05-30)

ayload的內容。下边是我们要在exploit中完成的令牌窃取shellcode:数据信息执行维护(DEP)最开始是在Windows XP SP2和Windows Se

余安哑萝
3年前 (2022-05-30)

如设定了该标示,则不允许在运作时变更执行选择项。运行DEP作用后,如果我们完好无损的引进完成令牌窃取作用的shellcode,系统软件会将其标识为不能执行,这将最后造成 崩溃。请看

痛言野侃
3年前 (2022-05-30)

EIP和执行步骤l 将执行步骤跳转到包括LPE payload的、由客户转化成的可执行运行内存地区中。在本文中,大家为阅读者出示了十分详细的信息内容,因此,文中尤其合

北槐乙白
3年前 (2022-05-30)

修复到原先的途径上边。幸运的是,在这类进攻状况下,我们可以在执行完成令牌窃取作用的payload以前储存存储器的情况。随后,在这个payload进行后,我们可以修复存储

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。