- 1、本文档共7页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
灰帽 Python之旅10
10
Fuzzing Windows 驱动
对于hacker来说,攻击Windows驱动程序已经不再神秘。从前,驱动程序常被远程溢出,而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动,我们在远程溢出它之后,就会获得一个受限的权限,这个权限一般是很小的,如果似乎,很多信息都无法获取,很多服务都访问不了。如果这时候我们拥有一个本地驱动的exploit,那就能够将权限提升到系统级别,you are god now!
驱动在内核模式下运行,而我们的程序在用户模式下运行,为了在两种模式之间进行交互,就要使用IOCTLs(input/output controls )。当IOCTLs处理代码有问题的时候,我们就能利用它获取系统权限。
接下来,我们首先要介绍下如何通过实现IOCTLs来和本地的设备进行联系,并且尝试使用Immunity变形IOCTLs数据。然后,学会使用Immunity提供的driverlib库获取驱动信息,以及从一个编译好的驱动文件中解码出重要的控制流程,设备名,和IOCTL代码。最后用从drivelib获得的数据构建测试数据,使用ioctlizer(我写的一个驱动fuzzer)进行一次driver fuzz。
10.1 驱动通信
几乎每个在Windows上注册了的驱动程序都有一个设备名和一个符号链接。用户模式的程序能够通过符号链接获得驱动的句柄,然后使用这个句柄和驱动进行联系。具体函数如下:
HANDLE WINAPI CreateFileW(
LPCTSTR lpFileName,
DWORD dwDesiredAccess,
DWORD dwShareMode,
LPSECURITY_ATTRIBUTES lpSecurityAttribute
DWORD dwCreationDisposition,
DWORD dwFlagsAndAttributes,
HANDLE hTemplateFile
);
第一个参数,填写文件名或者设备名,这里填写目标驱动的符号连接。 dwDesiredAccess表示访问方式,读或者写(可以既读又写,也可以不读不写),GENERIC_READ (0读,GENERIC_WRITE (0写。dwShareMode这里设置成0,表示在 CreateFileW返回并且安全关闭了句柄之后,才能访问设备。lpSecurityAttributes设置成NULL,表示使用默认的安全描述符,并且不能被子进程继承。dwCreationDisposition参数设置成 OPEN_EXISTING (0x3),表示如果设备存在就打开,其余情况返回错误。最后两个参数简单的设置成NULL。
当CreateFileW 成功返回一个有效的句柄之后,我们就能使用DeviceIoControl(由 kernel32.dll 导出)传递一个IOCTL给设备。
BOOL WINAPI DeviceIoControl(
HANDLE hDevice,
DWORD dwIoControlCode,
LPVOID lpInBuffer,
DWORD nInBufferSize,
LPVOID lpOutBuffer,
DWORD nOutBufferSize,
LPDWORD lpBytesReturned,
LPOVERLAPPED lpOverlapped
);
第一个参数由 CreateFileW返回的句柄。dwIoControlCode 是要传递给设备启动的IOCTL代码。这个代码决定了调用驱动中的什么功能。参数lpInBuffer指向一个缓冲区,包含了将要传递给驱动的数据。这个缓冲区是我们后面要重点操作的地方,fuzz数据将存在这。nInBufferSize为传递给驱动的缓冲区的大小。lpOutBuffer 和lpOutBufferSize,和前两个参数一样,不过是用于接收驱动返回的数据。lpBytesReturned为驱动实际返回的数据的长度。最后一个参数简单的设置成NULL。
现在对于驱动的交互,大家应该不陌生了,接下来就祭出我们的Immunity,用它Hook住DeviceIoControl然后变形输入缓冲区内的数据,最后fuzzing every driver。
10.2 用Immunity fuzzing驱动
我们需要使用Immunity强大的调试功能,挂钩住Devic
您可能关注的文档
- 清朝帝后徽号.doc
- 清晰有力表达技术(学员).ppt
- 清末庙产兴学.doc
- 清河区第二人民医院(钵池山社区卫生服务中心)修改版.doc
- 渔政局访谈纲要.doc
- 渗透实验的改良装置.doc
- 渗透时事教育.ppt
- 渝北区基层工会成立程序.doc
- 渤海商品交易所开户入市流程.doc
- 温州中学2011学年第一学期高三物理月考.doc
- 场地脚手架工程施工方案(3篇).docx
- 2024年浙江省丽水市松阳县玉岩镇招聘社区工作者真题及参考答案详解一套.docx
- 2024年河南省郑州市惠济区古荥镇招聘社区工作者真题及答案详解一套.docx
- 2024年浙江省杭州市淳安县文昌镇招聘社区工作者真题及完整答案详解1套.docx
- 2024年浙江省台州市三门县小雄镇招聘社区工作者真题带答案详解.docx
- 2024年浙江省宁波市余姚市河姆渡镇招聘社区工作者真题及完整答案详解1套.docx
- 2024年浙江省丽水市景宁畲族自治县雁溪乡招聘社区工作者真题及答案详解一套.docx
- 2024年浙江省杭州市临安市板桥乡招聘社区工作者真题及答案详解一套.docx
- 2024年湖北省宜昌市点军区土城乡招聘社区工作者真题及答案详解一套.docx
- 2024年浙江省台州市路桥区桐屿街道招聘社区工作者真题附答案详解.docx
最近下载
- 新人教版高中物理必修第一册学案:2.2匀变速直线运动的速度与时间的关系.doc VIP
- 新生儿低氧血症的常规管理PPT课件.pptx VIP
- 高考英语句子成分及句子基本结构(共32张PPT).pptx VIP
- 药物成瘾教案.ppt VIP
- 广东省广州市五校2022-2023学年高一下学期期末联考物理试卷及参考答案.pdf VIP
- 海砂混凝土工程施工方案(3篇).docx VIP
- 2024年湖北省执业药师继续教育处方审核—中西药联合用药(3)答案.docx VIP
- 冷热疗法的效应.ppt VIP
- 卫生院优质服务基层行创建资料(4.8.1 信息公开).docx VIP
- 呼吸衰竭病人护理查房.pptx VIP
文档评论(0)