本篇文章給大家分享的是有關(guān)如何進(jìn)行Windows提權(quán)工具兼容性BUG定位及修復(fù),小編覺(jué)得挺實(shí)用的,因此分享給大家學(xué)習(xí),希望大家閱讀完這篇文章后可以有所收獲,話不多說(shuō),跟著小編一起來(lái)看看吧。
創(chuàng)新互聯(lián)專注于日照企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站建設(shè),商城開(kāi)發(fā)。日照網(wǎng)站建設(shè)公司,為日照等地區(qū)提供建站服務(wù)。全流程按需網(wǎng)站開(kāi)發(fā),專業(yè)設(shè)計(jì),全程項(xiàng)目跟蹤,創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)
2018年5月微軟發(fā)布了針對(duì)Windows操作系統(tǒng)內(nèi)核組件漏洞(CVE-2018-8210)的補(bǔ)丁,該漏洞影響多個(gè)版本的操作系統(tǒng),成功利用漏洞可使得普通應(yīng)用程序以內(nèi)核權(quán)限執(zhí)行任意代碼。
筆者在6月對(duì)該漏洞進(jìn)行分析并發(fā)布了漏洞分析和漏洞利用文章(地址),文中同時(shí)附帶了一份提權(quán)工具,支持WinXP、Win2003、Win7、Win2008等系統(tǒng)。后有網(wǎng)友回帖表示在Win7 x86系統(tǒng)下該利用工具無(wú)效,經(jīng)調(diào)試確認(rèn)提權(quán)工具確實(shí)存在部分兼容性問(wèn)題。本文將針對(duì)該問(wèn)題進(jìn)行補(bǔ)充說(shuō)明,解決存在的兼容性問(wèn)題。
CVE-2018-8120為緩沖區(qū)溢出漏洞,可造成內(nèi)核任意地址寫(xiě)入。 前文中漏洞利用工具通過(guò)觸發(fā)漏洞,對(duì)內(nèi)核服務(wù)函數(shù)指針表進(jìn)行修改,替換為一段修改當(dāng)前進(jìn)程Token的ShellCode地址。
經(jīng)測(cè)試在Win7 x86確實(shí)無(wú)法實(shí)現(xiàn)提權(quán),現(xiàn)進(jìn)行問(wèn)題定位。設(shè)置雙機(jī)調(diào)試內(nèi)核環(huán)境,在關(guān)鍵的位置設(shè)置斷點(diǎn),進(jìn)行調(diào)試確認(rèn)問(wèn)題的原因。
首先設(shè)置雙機(jī)調(diào)試環(huán)境,虛擬機(jī)安裝Win7 x86,真機(jī)安裝WinDbg進(jìn)行內(nèi)核調(diào)試,在win32k! SetImeInfoEx ()設(shè)置斷點(diǎn),查看提權(quán)工具是否可以成功調(diào)用漏洞函數(shù)。
確認(rèn)是可以成功調(diào)用SetImeInfoEx()的,通過(guò)IDA反匯編查看該版本的SetImeInfoEx()函數(shù)確認(rèn)漏洞存在。
在SetImeInfoEx()函數(shù)進(jìn)行單步跟蹤,確認(rèn)是否可以觸發(fā)漏洞
經(jīng)過(guò)單步跟蹤,發(fā)現(xiàn)可以觸發(fā)SetImeInfoEx()函數(shù)存在的緩沖區(qū)溢出漏洞,成功修改了指定的內(nèi)存數(shù)據(jù)。
漏洞利用工具通過(guò)覆蓋GDI內(nèi)核對(duì)象關(guān)鍵字段,實(shí)現(xiàn)任意內(nèi)核地址讀寫(xiě)。繼續(xù)執(zhí)行漏洞利用工具,檢查是否成功修改內(nèi)核服務(wù)函數(shù)指針表HalDispatchTable。
進(jìn)一步進(jìn)行查看發(fā)現(xiàn),漏洞利用程序計(jì)算的HalDispatchTable內(nèi)存地址并不正確,導(dǎo)致漏洞利用程序沒(méi)有成功修改函數(shù)指針,提權(quán)ShellCode也就沒(méi)有得以執(zhí)行。
NtQueryIntervalProfile()和HalDispatchTable
我們說(shuō)明一下為什么修改HalDispatchTable后,可以執(zhí)行ShellCode。NtQueryIntervalProfile()是Ntdll.dll中導(dǎo)出的未公開(kāi)的系統(tǒng)調(diào)用.它調(diào)用內(nèi)核可執(zhí)行程序ntosknl.exe導(dǎo)出的KeQueryIntervalProfile()函數(shù).如果我們反匯編這個(gè)函數(shù),可看到如下:
位于nt!HalDispatchTable+0x4地址上的函數(shù)會(huì)被KeQueryIntervalProfile()調(diào)用(看紅色方框).所以如果我們覆蓋那個(gè)地址上的指針-也就是說(shuō)HalDispatchTable中的第二個(gè)指針-帶有我們ShellCode地址;然后我們調(diào)用函數(shù)NtQueryIntervalProfile(),將執(zhí)行我們的ShellCode。
前面已經(jīng)定位到問(wèn)題,由于沒(méi)有正確的修改系統(tǒng)服務(wù)表的函數(shù)指針,導(dǎo)致提權(quán)的ShellCode沒(méi)有執(zhí)行。現(xiàn)在的問(wèn)題是找出原先計(jì)算過(guò)程中為什么會(huì)出錯(cuò),導(dǎo)致沒(méi)有計(jì)算出正確的地址。
HalDispatchTable由NT內(nèi)核文件導(dǎo)出,獲取該表地址只需要通過(guò)GetProcAddress()搜索NT內(nèi)核文件導(dǎo)出表即可,不過(guò)該函數(shù)在用戶態(tài)下,無(wú)法對(duì)內(nèi)核模塊進(jìn)行搜索。
在我們的漏洞利用工具中,計(jì)算HalDispatchTable表主要是函數(shù)leakHal()函數(shù)完成的,下面看看該函數(shù)的流程:
該函數(shù)首先通過(guò)EnumDeviceDrivers()獲取到ntoskrnl.exe模塊的運(yùn)行時(shí)基址,之后在用戶態(tài)加載ntoskrnl.exe并搜索HalDispatchTable表的導(dǎo)出地址,程序使用真實(shí)導(dǎo)出地址減去模塊基地址,獲得了該表相對(duì)于模塊基地址的偏移值。最后使用第一步獲取的ntoskrnl.exe的運(yùn)行時(shí)基地址加上上面計(jì)算的偏移值,得出內(nèi)核中HalDispatchTable表的內(nèi)存地址。
NT內(nèi)核文件是Windows的內(nèi)核關(guān)鍵組件,通常是指可執(zhí)行文件ntoskrnl.exe。但是微軟根據(jù)當(dāng)前CPU的核心數(shù)量以及PAE開(kāi)啟狀態(tài),加載不同的內(nèi)核可執(zhí)行文件。
如上圖所示,系統(tǒng)根據(jù)當(dāng)前處理器的工作模式,加載不同的內(nèi)核文件。
由于原先的代碼在計(jì)算HalDispatchTable表的時(shí)候,沒(méi)有考慮到微軟針對(duì)CPU設(shè)置加載不同版本內(nèi)核組件的問(wèn)題,導(dǎo)致在部分系統(tǒng)上無(wú)法成功修改函數(shù)指針。
在代碼中加入檢測(cè)CPU設(shè)置的代碼,根據(jù)具體的設(shè)置,判斷內(nèi)核所加載的NT內(nèi)核組件,并計(jì)算HalDispatchTable的真實(shí)內(nèi)存地址即可。下面是補(bǔ)充的代碼:
在原先的leakHal()代碼加入了DeteckKernel()函數(shù), 該函數(shù)檢測(cè)CPU數(shù)量和PAE開(kāi)啟狀況,返回系統(tǒng)可能加載的內(nèi)核組件名稱。后續(xù)程序按原定的流程,加載該內(nèi)核組件,獲取HalDispatchTable表的內(nèi)存地址并修改。
最后調(diào)用NtQueryIntervalProfile()函數(shù),我們的ShellCode將以內(nèi)核權(quán)限執(zhí)行,以替換Token的方式進(jìn)行提權(quán)。
以上就是如何進(jìn)行Windows提權(quán)工具兼容性BUG定位及修復(fù),小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘9ぷ鲿?huì)見(jiàn)到或用到的。希望你能通過(guò)這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。