科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Windows2000LDT漏洞初探(1)

Windows2000LDT漏洞初探(1)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

z0mbie文章里提到在Win2k下进程可以自己添加LDT项,这可能是由于历史原因才留在系统代码中,因为Win2k本身并不会用到LDT.这个漏洞的核心是LDT项中Expand-Down位的设置.
  • 评论
  • 分享微博
  • 分享邮件

  1.漏洞原因

        z0mbie文章里提到在Win2k下进程可以自己添加LDT项,这可能是由于历史原因才留在系统代码中,因为Win2k本身并不会用到LDT.这个漏洞的核心是LDT项中Expand-Down位的设置.例子,一个LDT的Base为100,Limit为7FFFFFFF.当Expand-Down位为0时.LDT的有效范围是: 100 ~ 7FFFFFFF.

  但当Expand-Down位为1时,有效范围是: 80000000 ~ FFFFFFFF 和 0 ~ FF,及刚好相反.在Win2k添加LDT项的检测过程没有考虑这一情况,导致用户可以建立包含内核空间在内的LDT项(这其实只是一方面,GDT[23]本来就是0-FFFFFFFF,关键是我们可以控制LDT的基址,而内核有时假设基址为0,这样能使其在处理内存时发生计算误差).

  2.利用原理

  因为Win2k是基于页的内存保护机制,而我们又运行在ring3态下这一事实,所以需要借助内核本身来进行越权操作.eEye的文中提到int 2e中的rep movsd指令.int 2e的使用方法:

  mov eax, service_id

  lea edx, service_param

  int 2e

  

  当运行rep movsd指令时:

  edi为内核堆栈指针(KSP, 我机子上一般是FDxxxxxx)

  esi指向service_param

  ecx为参数的个数(in 32bit)

  相当于memcpy (es.base+edi, ds.base+esi, ecx*4);

  这里service_param的内容,es寄存器都是可控的.唯一不确定的是edi及内核堆栈指针.获得KSP一种方法是,先假设一个大约值,比如FD000000,再分配一较大内存空间(16MB)buf,利用这个漏洞将一特征码写入buf,最后找出特征码在buf中的偏移量offset,计算出:

  KSP精确值 = 假设值(FD000000) + offset.

  至于提升权限的部分,还没找到比较通用的方法.eEye说加LDT,但LDT的地址在KSP下方,没理解.IDT, GDT也在KSP下方.我能想到就是改Driver Dispatch Routies,通过I/O API调用.因为不是很通用这里就不列了.如果有什么好的方法,请告诉我.谢谢.

  3.具体步骤

  见代码.另外Win2k的代码也有了,可以和eEye的公告对照着看.

   

  /***********************************************************

  * 计算出Kernel Stack Pointer后,就能精确控制写入的地址了.

  * 要注意的是只能覆写到KSP以上的内核空间.

  ***********************************************************/

  

  /******************************************************************

  * Windows Expand-Down Data Segment Local Privilege Escalation

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章