温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

如何进行Windows提权工具兼容性BUG定位及修复

发布时间:2021-12-22 21:40:57 来源:亿速云 阅读:239 作者:柒染 栏目:安全技术

本篇文章给大家分享的是有关如何进行Windows提权工具兼容性BUG定位及修复,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。

一、背景介绍:

2018年5月微软发布了针对Windows操作系统内核组件漏洞(CVE-2018-8210)的补丁,该漏洞影响多个版本的操作系统,成功利用漏洞可使得普通应用程序以内核权限执行任意代码。

笔者在6月对该漏洞进行分析并发布了漏洞分析和漏洞利用文章(地址),文中同时附带了一份提权工具,支持WinXP、Win2003、Win7、Win2008等系统。后有网友回帖表示在Win7 x86系统下该利用工具无效,经调试确认提权工具确实存在部分兼容性问题。本文将针对该问题进行补充说明,解决存在的兼容性问题。

CVE-2018-8120为缓冲区溢出漏洞,可造成内核任意地址写入。 前文中漏洞利用工具通过触发漏洞,对内核服务函数指针表进行修改,替换为一段修改当前进程Token的ShellCode地址。

二、 问题定位:

经测试在Win7 x86确实无法实现提权,现进行问题定位。设置双机调试内核环境,在关键的位置设置断点,进行调试确认问题的原因。

漏洞利用工具调试

首先设置双机调试环境,虚拟机安装Win7 x86,真机安装WinDbg进行内核调试,在win32k! SetImeInfoEx ()设置断点,查看提权工具是否可以成功调用漏洞函数。

如何进行Windows提权工具兼容性BUG定位及修复如何进行Windows提权工具兼容性BUG定位及修复

确认是可以成功调用SetImeInfoEx()的,通过IDA反汇编查看该版本的SetImeInfoEx()函数确认漏洞存在。

如何进行Windows提权工具兼容性BUG定位及修复

在SetImeInfoEx()函数进行单步跟踪,确认是否可以触发漏洞

如何进行Windows提权工具兼容性BUG定位及修复

经过单步跟踪,发现可以触发SetImeInfoEx()函数存在的缓冲区溢出漏洞,成功修改了指定的内存数据。

漏洞利用工具通过覆盖GDI内核对象关键字段,实现任意内核地址读写。继续执行漏洞利用工具,检查是否成功修改内核服务函数指针表HalDispatchTable。

如何进行Windows提权工具兼容性BUG定位及修复

进一步进行查看发现,漏洞利用程序计算的HalDispatchTable内存地址并不正确,导致漏洞利用程序没有成功修改函数指针,提权ShellCode也就没有得以执行。

 NtQueryIntervalProfile()和HalDispatchTable

我们说明一下为什么修改HalDispatchTable后,可以执行ShellCode。NtQueryIntervalProfile()是Ntdll.dll中导出的未公开的系统调用.它调用内核可执行程序ntosknl.exe导出的KeQueryIntervalProfile()函数.如果我们反汇编这个函数,可看到如下:

如何进行Windows提权工具兼容性BUG定位及修复

位于nt!HalDispatchTable+0x4地址上的函数会被KeQueryIntervalProfile()调用(看红色方框).所以如果我们覆盖那个地址上的指针-也就是说HalDispatchTable中的第二个指针-带有我们ShellCode地址;然后我们调用函数NtQueryIntervalProfile(),将执行我们的ShellCode。

三、解决问题:

前面已经定位到问题,由于没有正确的修改系统服务表的函数指针,导致提权的ShellCode没有执行。现在的问题是找出原先计算过程中为什么会出错,导致没有计算出正确的地址。

如何计算HalDispatchTable表地址

HalDispatchTable由NT内核文件导出,获取该表地址只需要通过GetProcAddress()搜索NT内核文件导出表即可,不过该函数在用户态下,无法对内核模块进行搜索。

在我们的漏洞利用工具中,计算HalDispatchTable表主要是函数leakHal()函数完成的,下面看看该函数的流程:

如何进行Windows提权工具兼容性BUG定位及修复

该函数首先通过EnumDeviceDrivers()获取到ntoskrnl.exe模块的运行时基址,之后在用户态加载ntoskrnl.exe并搜索HalDispatchTable表的导出地址,程序使用真实导出地址减去模块基地址,获得了该表相对于模块基地址的偏移值。最后使用第一步获取的ntoskrnl.exe的运行时基地址加上上面计算的偏移值,得出内核中HalDispatchTable表的内存地址。

NT内核文件之ntoskrnl.exe

NT内核文件是Windows的内核关键组件,通常是指可执行文件ntoskrnl.exe。但是微软根据当前CPU的核心数量以及PAE开启状态,加载不同的内核可执行文件。

如何进行Windows提权工具兼容性BUG定位及修复

如上图所示,系统根据当前处理器的工作模式,加载不同的内核文件。

解决方案

由于原先的代码在计算HalDispatchTable表的时候,没有考虑到微软针对CPU设置加载不同版本内核组件的问题,导致在部分系统上无法成功修改函数指针。

在代码中加入检测CPU设置的代码,根据具体的设置,判断内核所加载的NT内核组件,并计算HalDispatchTable的真实内存地址即可。下面是补充的代码:

如何进行Windows提权工具兼容性BUG定位及修复如何进行Windows提权工具兼容性BUG定位及修复

在原先的leakHal()代码加入了DeteckKernel()函数, 该函数检测CPU数量和PAE开启状况,返回系统可能加载的内核组件名称。后续程序按原定的流程,加载该内核组件,获取HalDispatchTable表的内存地址并修改。

最后调用NtQueryIntervalProfile()函数,我们的ShellCode将以内核权限执行,以替换Token的方式进行提权。

如何进行Windows提权工具兼容性BUG定位及修复

以上就是如何进行Windows提权工具兼容性BUG定位及修复,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注亿速云行业资讯频道。

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI