永恒之蓝漏洞刚出来时,我可以顺利搞定Windows 7,但在攻击Windows XP时我一直没有成功。我尝试了各种补丁和Service Pack的组合,但利用程序要么无法成功,要么会导致系统蓝屏。当时我没有深入研究,因为FuzzBunch(NSA泄露工具集)还有待探索许多点。直到有一天,我在互联网上找到了一个Windows XP节点,我想尝试一下FuzzBunch。令人惊讶的是,在之一次尝试时,漏洞利用竟然成功了。那么问题来了,为什么在我的“实验”环境中,漏洞利用无法成功,而实际环境中却可以?这里先揭晓答案:在单核/多核/PAE CPU上NT/HAL的实现有所区别,因此导致FuzzBunch的XP系统攻击载荷无法在单核环境中使用。 0x01 多条利用链大家需要知道一点,EternalBlue(永恒之蓝)有多个版本。网上已经有人详细分析了Windows 7内核的利用原理,我和JennaMagius以及sleepya_也研究过如何将其移植到Windows 10系统上。然而对于Windows XP而言,FuzzBunch包含一个完全不同的利用链,不能使用完全相同的基本原语(比如该系统中并不存在 *** B2以及SrvNet.sys)。我在DerbyCon 8.0演讲中深入讨论过这方面内容(参考演示文稿及演讲视频)。在Windows XP上,KPCR(Kernel Processor Control Region)启动处理器为静态结构,为了执行shellcode,我们需要覆盖KPRCB.PROCESSOR_POWER_STATE.IdleFunction的值。 0x02 载荷工作方式事实证明,漏洞利用在实验环境中没有问题,出现问题的是FuzzBunch的攻击载荷。ring 0 shellcode主要会执行如下几个步骤:1、使用现在已弃用的 KdVersionBlock技巧获得nt及hal地址;2、解析利用过程中需要用到的一些函数指针,如hal!HalInitializeProcessor;3、恢复在漏洞利用过程中被破坏的KPCR/KPRCB启动处理器结构体;4、运行DoublePulsar,利用 *** B服务安装后门;5、恢复正常状态执行流程(nt!PopProcessorIdle)。单核分支异常在IdleFunction分支以及+0x170进入shellcode处(经过XOR/Base64 shellcode解码器初始处理之后)设置硬件断点(hardware breakpoint)后,我们可以看到搭载多核处理器主机的执行分支与单核主机有所不同。kd> ba w 1 ffdffc50 "ba e 1 poi(ffdffc50)+0x170;g;"多核主机上能找到指向hal!HalInitializeProcessor的一个函数指针。该函数可能用来清理处于半损坏状态的KPRCB。单核主机上并没有找到hal!HalInitializeProcessor,sub_547返回的是NULL。攻击载荷无法继续运行,会尽可能将自身置零来清理现场,并且会设置ROP链来释放某些内存,恢复执行流程。注意:shellcode成功执行后,也会在首次安装DoublePulsar后执行此操作。 0x03 根源分析shellcode函数sub_547无法在单核CPU主机上正确找到hal!HalInitializeProcessor的地址,因此会强制终止整个载荷执行过程。我们需要逆向分析shellcode函数,找到攻击载荷失败的确切原因。这里内核shellcode中存在一个问题,没有考虑到Windows XP上所有可用的不同类型的NT内核可执行文件。更具体一点,多核处理器版的NT程序(比如ntkrnlamp.exe)可以正常工作,而单核版的(如ntoskrnl.exe)会出现问题。同样,halmacpi.dll与halacpi.dll之间也存在类似情况。NT迷局sub_547所执行的之一个操作是获取NT程序所使用的HAL导入函数。 攻击载荷首先会读取NT程序中0x1040偏移地址来查找HAL函数。在多核主机的Windows XP系统中,读取这个偏移地址能达到预期效果,shellcode能正确找到hal!HalQueryRealTimeClock函数:然而在单核主机上,程序中并没有HAL导入表,使用的是字符表:一开始我认为这应该是问题的根本原因,但实际上这只是一个幌子,因为这里存在修正码(correction code)的问题。shellcode会检查0x1040处的值是否是位于HAL范围内的一个地址。如果不满足条件,则会将该值减去0xc40,然后以0x40增量值在HAL范围内开始搜索相关地址,直到搜索地址再次到达0x1040为止。最终,单核版载荷会找到一个HAL函数,即hal!HalCalibratePerformanceCounter:目前一切操作都没有问题,可以看到Equation Group(方程式组织)在能够检测不同类型的XP NT程序。HAL可变字节表现在shellcode已经找到了HAL中的一个函数,会尝试定位hal!HalInitializeProcessor。shellcode内置了一张表(位于0x5e7偏移处),表中包含1字节的长度字段,随后为预期的字节序列。shellcode会递增最开始发现的HAL函数地址,将新函数的前0x20字节与表中字节进行对比。我们可以在多核版的HAL中找到待定位的5字节数据:
微信密码破解哪家靠谱,网上有没有价格参照。【黑客徽信:】专业盗取微信密码,开房查询,通话记录查询,查询微信聊天记录,非常靠谱!目前,微信的小程序已经被广泛使用,它给我们的生活带来了很大的便利。对于那些...
本文导读目录: 1、黑客帝国这部电影一直没看懂,谁有这方面的资料,介绍一下 2、黑客帝国大概讲的什么东东啊 3、黑客帝国里共出现几个新科技分别 是什原理 4、黑客帝国1,2,3讲的是什么?...
分镜头脚本是我们创作影片必不可少的前期准备。分镜头脚本的作用,就好比建筑大厦的蓝图,是摄影师进行拍摄,剪辑师进行后期制作的依据和蓝图,也是演员和所有创作人员领会导演意图,理解剧本内容,进行再创作的依据...
怎样制作ppt(新手制作ppt的详尽流程)仅有几类排版设计方法,如上下排版设计、左右排版设计和斜排。大家可以用双眼立即见到这种。假如非常复杂,那便是几类排版设计方式的融合。 即然仅有这几类排版设计方...
美人一笑也倾城.美人的美黑客的黑txt 使用百度网盘免费分享给你,链接是:提取码:xv5b 小说讲述了结果第二天上班,微微和肖奈刚到致一科技的门口,莫扎他就奔了出来:“老三,你要给我主持公道啊。《美人...
以系统软件iOS13.6.1的iphone11为例子,ios快捷指令不能加上门卡,iphone11有NFC处理芯片,可是沒有对外开放刷入门卡信息内容的作用端口号,因此 没法应用门卡。 iOS...