（接好文）

在上一篇文章中，大家为阅读者详细介绍了完成提权全过程中必须掌握的重要算法设计，及其完成提权的有关shellcode；在文中中，大家将为阅读者详细介绍怎样维护保养驱动软件的一致性等层面的专业知识。

如今，大家早已了解了完成令牌窃取作用的payload的所执行的全过程（最后将得到NT AUTHORITY\\SYSTEM管理权限）；下面，大家来调查一下该payload的最终一段编码。

最终一段编码的功效是修复驱动软件中的执行步骤。如果我们不执行这最后一步得话，将无期限地造成 崩溃。

这儿的念头是将一切修复到原先的途径上边。幸运的是，在这类进攻状况下，我们可以在执行完成令牌窃取作用的payload以前储存存储器的情况。随后，在这个payload进行后，我们可以修复存储器的情况。在x86构架上，能够根据PUSHAD/POPAD命令来完成这一点。一旦大家修复了存储器的情况，大家就可以将驱动软件偏向启用包括有关系统漏洞的汇编程序后的一组命令。

因此，能够在WinDBG中执行以下指令：u HEVD!StackOverflowIoctlHandler 10。

在这儿我们可以见到，从HEVD!TriggerStackOverflow回到后，紧接着的两根命令是POP EBP; RET 0x8;。因此，大家必须在完成令牌窃取作用的payload结尾引进这两根命令，另外还必须设定STATUS_SUCCESS编码，以修复驱动软件的一致性。

如今，大家早已掌握完成令牌窃取作用的payload所执行的实际操作，以后，我们可以用Na *** 解决编码，并应用Hexdump来查找payload的內容。

下边是我们要在exploit中完成的令牌窃取shellcode：

数据信息执行维护（DEP）最开始是在Windows XP SP2和Windows Server 2003 SP1公布时引进的一种安全性维护体制，用以阻拦从不能执行的运行内存地区中执行编码。

DEP有二种工作中模式：

1. 硬件配置强制性模式：适用适用将运行内存页标识为不能执行的CPU。

2. 手机软件强制性模式：适用沒有有关硬件配置适用的CPU（没有文中详细介绍范畴以内）。

硬件配置强制性模式的DEP开启了非可执行性（NX）位，它能够区别运行内存中的数据信息和编码地区。该位告知CPU是接纳還是回绝执行运行内存地区内的编码。

在全局性方面上，电脑操作系统能够被配备为在以下所显示的模式下运作：

1. OptIn模式--只在过程中和自定应用软件上开启DEP。

2. OptOut模式--除确立免除的运用外，全部运用都开启DEP。

3. AlwaysOn模式--DEP永久性开启

4. AlwaysOff模式--永久性禁止使用DEP

从Windows XP SP3/Windows Vista SP1及高些版本逐渐，微软公司完成了一种安全性体制，以避免在运作时禁止使用DEP。这类体制被称作“永久DEP”。使我们简易地介绍一下DEP，及其它在HEVD驱动软件的漏洞检测全过程中是怎样充分发挥的。

在debuggee设备上，使我们打开cmd.exe并查验硬件配置强制性模式的DEP是不是能用。假如硬件配置强制性模式的DEP能用，使我们进一步检查一下，看一下适用哪一种模式。这种查验能够应用下列指令进行：wmic OS Get DataExecutionPrevention_Available与wmic OS Get DataExecutionPrevention_SupportPolicy。

在上面的屏幕截屏中，我们可以见到硬件配置强制性模式的DEP是能用的（輸出为TRUE），而且电脑操作系统适用的对策等级是OptIn（輸出为2）。

如今大家早已了解：硬件配置强制性模式的DEP早已开启并设定为OptIn模式，下边，使我们细心科学研究一下cmd.exe过程，看一下DEP是怎样在该过程中起功效的。因此，我们可以在WinDBG中根据查验cmd.exe过程的_KPROCESS算法设计中的Flags组员来进行该每日任务，实际以下所显示：

要递归地查询KPROCESS算法设计，请应用下列指令：dt nt!_KPROCESS[process address]-r，指令运作結果以下所显示：

在前面的WinDBG编码精彩片段中，突显的四个标示都和DEP有关。但是，大家只关注在其中的三个。假如开启了DEP作用，则设定ExecuteDisable标示。第二个标示ExecuteEnable是在DEP被禁止使用时设定的。大家很感兴趣的最后一个标示是Permanent标示。假如设定了该标示，则不允许在运作时变更执行选择项。

运行DEP作用后，如果我们完好无损的引进完成令牌窃取作用的shellcode，系统软件会将其标识为不能执行，这将最后造成 崩溃。请看下面的屏幕截屏，它展现了未妥善处理DEP的状况下，完成令牌窃取作用的shellcode的运作結果。

如您所闻，完成令牌窃取的shellcode所属的运行内存地区被标识为不能执行。因而，如果我们容许再次执行，一旦大家自动跳转到完成令牌窃取的shellcode并试着执行之一条命令（PUSHAD），大家便会开启浏览违反规定不正确。

依据大家搜集到的信息内容，能够得到以下结果：大家务必完成一种绕开DEP维护体制的方式，才可以让这一exploit充分发挥。自然，大家有很多方式都能够保证这一点；就这儿而言，大家将应用VirtualAlloc()和RtlMoveMemory() API函数来完成该每日任务。

根据VirtualAlloc()，我们可以建立一个新的可执行运行内存地区来储放完成令牌窃取作用的shellcode。在根据VirtualAlloc()涵数建立可执行运行内存地区以后，大家将应用RtlMoveMemory()涵数将完成令牌窃取作用的shellcode拷贝到该运行内存地区中。

在exploit编码中加上了完成令牌窃取作用的shellcode、VirtualAlloc()和RtlMoveMemory()涵数以后，最后的编码以下所显示：

C语言版本：

Python语言表达版本：

如今，使我们在Windows 7 SP1（x86）设备上运作最后版本的exploit编码。我们可以在TriggerStackOverflow中启用memcpy后立刻终断，并查验shellcode所属的运行内存地区，看一下它是不是被标识为可执行的。

C语言版本：

Python语言表达版本：

大家早已取得成功得到了一个具备NT Authority/System管理权限的shell！

小结一下系统漏洞的运用全过程：

l 开启奔溃，遮盖EIP。

l 操纵EIP和执行步骤

l 将执行步骤跳转到包括LPE payload的、由客户转化成的可执行运行内存地区中。

在本文中，大家为阅读者出示了十分详细的信息内容，因此，文中尤其合适之一次触碰到核心漏洞检测的阅读者。

在这个系列产品的将来文章内容中，我方案包含大量的系统漏洞种类、权利提高技术性和大量的当代安全性体制（ *** EP、CFG等）。除此之外，我都方案将有关编码转移到x64构架。

最终，向HackSys Team献给，谢谢她们让文中变成很有可能。

假如您有一切难题/评价，别再犹豫，请在线留言。

未完待续……

全文详细地址：