堆栈缓冲区溢出

在第一部分中，我们会从HackSysExtremeVulnerableDriver中的普通堆栈缓冲区溢出开始。

当堆栈上存在的缓冲区获取的数据超出其存储容量时(例如，在一个16字节缓冲区中复制20个字节，就可以是字符数组或类似对象)，其余数据将写入附近位置，从而有效覆盖或破坏堆栈。

其核心思想是控制此溢出，这样我们可以覆盖堆栈上保存的返回地址，并且在执行当前(易受攻击的)函数后，它将返回我们的覆盖值，其中包含我们的shellcode。

注意：执行完shellcode后，代码执行必须返回到应用程序，在本例中是内核，否则将破坏应用程序。通常，应用程序崩溃了，我们可以重新启动它，但是如果内核内存损坏，内核会发出内核恐慌，并且将显示“蓝屏死机”，这是我们最不希望发生的事情。

为了解决这个问题，我们需要恢复执行路径，以便在执行完shellcode之后，它返回到执行易受攻击的函数后应该返回的函数。

易受攻击性

现在我们已经清除了它，让我们看一下易受攻击的代码(位于StackOverflow.c中的函数TriggerStackOverflow)。最初，该函数创建可容纳512个成员元素的ULONG数组(在common.h头文件中，BufferSize设置为512)。

易受攻击性的函数

然后，内核检查缓冲区是否驻留在用户区域中，然后在非页面缓冲池中为其分配内存。

一旦完成，内核便将数据从用户模式缓冲区复制到内核模式KernelBuffer，该模式实质上是一个ULONGs数组。

溢出

注意RtlCopyMemory的第三个参数，它本质上是memcpy，Size参数是用户模式缓冲区的大小，而不是内核模式缓冲区的大小，这正是缓冲区溢出发生的地方。

漏洞验证

现在，要验证错误是否真正存在，我们将编写一个函数，该函数调用函数StackOverflowIoctlHandler的IOCTL。IOCTL代码在Exploit / common.h文件中给出。

注意：我们可以从编译的驱动程序本身获取IOCTL代码，既然我们有自己的优势，所以为什么不使用它？

什么是IOCTL代码？

I/O控制代码(IOCTL)用于用户模式应用程序和驱动程序之间的通信，或用于堆栈中驱动程序内部的通信，I/O控制代码是使用IRP发送的。

基本上，如果驱动程序具有与之关联的IOCTL代码，则可以直接在该驱动程序中调用内核函数。要使用IOCTL代码，我们使用DeviceIoControl函数，函数可在此处找到。

DeviceIoControl函数的原型为：

DeviceIoControl的原型

我用C++编写了一个函数，该函数调用DeviceIoControl来调用StackOverflowIoctlHandler，后者依次调用TriggerStackOverflow，这是易受攻击的函数。

由于我们知道缓冲区有512个ULONG，因此可以肯定的是，此后，我们将添加Metasploit框架中pattern_create.rb生成的100字节模式。

最后，将此缓冲区发送到HEVD，看看会发生什么？

注意：此函数在标头文件StackOverflow.h中，主函数调用它，你可以在我的代码库中找到整个代码。

利用堆栈溢出的POC

利用堆栈溢出的POC

在Win7设备上编译并执行二进制文件后，我们可以在WinDbg中获得它：

在WinDbg中崩溃

我们可以看到有一个访问冲突，EIP指向31624130。

在此模式上使用Metasploit的pattern_offset.rb之后，我们找到它的偏移量32，让我们继续进行开发。

利用溢出

现在剩下的就是使用HEVD中提供的TokenStealingPayloadWin7 shellcode覆盖保存的返回地址，然后完成。

注意：你可能需要稍微修改shellcode，以免崩溃。

获取Shell

首先验证我们是否是普通用户：

普通用户

可以看出，我只是一个普通的用户。运行漏洞利用程序后，我成为了NT权限/系统。

NT Authority/SYSTEM Shell

类型混淆

在第二部分中，我们将绕过常见的内存损坏漏洞(在我们正在利用的驱动程序中，内存损坏漏洞占大多数)。因为利用起来很容易，我还要使其成为本文的第一部分。

什么是类型混淆？

类型混淆是一个漏洞，其中应用程序不验证对象的类型(函数，数据类型等)，然后按预期方式对其进行处理，但传递的对象是其他对象。

漏洞

现在我们已经清除它，让我们看一下易受攻击的代码(位于TypeConfusion.c中的函数TriggerTypeConfusion)。

内核首先检查缓冲区是否驻留在用户域中，然后在非页面缓冲池中为其分配内存。完成此操作后，内核将用户模式缓冲区中的ObjectID分配给内核模式缓冲区，并对对象类型执行相同的操作。

分配ObjectID和ObjectType

完成之后，内核在对象(内核模式而不是用户模式)上调用TypeConfusionInitializer函数。

在对象上调用TypeConfusionInitializer

让我们来看看这个函数：

函数类型ConfusionObjectInitializer

该函数接收对象并调用对象内部存在的函数指针，下面，让我们看一下TypeConfusion.h标头文件中存在的KERNEL_TYPE_CONFUSION_OBJECT的结构(本质上是一个结构)。该标头文件包含用户模式对象以及内核模式对象的定义，这使得利用这个漏洞比利用堆栈溢出更容易。

对象原型

首先，让我们看看用户模式对象包含什么。用户模式对象是一个包含2个成员的结构：

1.对象ID；

2.对象类型。

对于内核模式对象，它也是一个包含2个成员的结构：

1.对象ID；

2.第二个成员是UNION，它本身包含：

2.1对象类型；

2.2回调(函数指针)；

现在，如果你还记得，一个UNION一次可以容纳一个成员，在这里它可以是Object Type或指向由TypeConfusionInitializer函数调用的函数的指针。

当函数TriggerTypeConfusion函数无法验证第二个成员是ObjectType还是Callback时，就会发生混淆。

利用混淆情况

要利用混淆情况，我们所要做的就是发送一个结构，该结构的第二个成员是我们要从内核领域调用的函数的地址。

在漏洞已经被利用的情况下，它将成为我们的令牌窃取Shellcode的地址，并替换我们进程的令牌，因此当创建一个新进程时，将使用该令牌创建它。

但是有一个问题，HEVD附带的shellcode(TokenStealingPayloadWin7无法正常工作并导致设备崩溃)。

修改shellcode

由于函数TypeConfusionInitializer会像调用函数一样调用回调指针，因此我们需要设置函数序言和结尾，并将ret 8更改为ret。

注意：我会将shellcode函数编译为裸函数，但如果你不这样做，则可以直接使用提供的shellcode。我只是不希望编译器将额外的代码添加到我的shellcode中。

你可以点此，找到漏洞利用代码。

获得Shell

首先验证我们是否是一个普通用户。

普通用户

可以看出，我只是一个普通用户。运行漏洞利用程序后，我会拥有NT权限/系统

通过利用Type Confusion开发SYSTEM Shell

整数溢出

在这一部分中，我们将利用HackSysExtremeVulnerableDriver中的整数溢出。

什么是整数溢出？

对于那些不知道整数溢出的人，他们可能会想到整数如何溢出？实际的整数不会溢出。CPU会将整数存储在固定大小的内存分配中。如果你熟悉C / C++编程语言或类似语言，则可能会想起数据类型以及每种数据类型具有特定的固定大小。

在大多数设备和操作系统上，char是1个字节，int是4个字节长。这意味着char数据类型可以容纳8位大小的值，范围从0到255，或者在有符号值的情况下从-128到127。整数也是如此，在int大小为4字节的设备上，它可以保存0到232 – 1之间的值(无符号值)。

现在，让我们考虑使用一个无符号整数，其最大值可以是232 – 1或0xFFFFFFFF。如果加1时会发生什么？由于所有的32位都设置为1，因此加1将使它成为33位的值，但是由于存储区只能容纳32位，因此将这32位设置为0。

在执行操作时，CPU通常将数字加载到32位寄存器中(这里说的是x86)，添加1将设置Carry标志，寄存器保存值0，因为所有32位现在都是0。

现在，如果进行大小检查，则该值是否大于(例如10)，则检查将失败，但是如果没有大小限制，则比较操作将返回true。

为了更详细地了解它，让我们看一下该漏洞，看看如何利用HEVD中的整数溢出漏洞来获得在Windows内核中的执行代码。

易受攻击性

现在我们已经清除了它，让我们看一下易受攻击的代码(函数IntegerOverflow.c中的TriggerIntegerOverflow)。

最初，该函数创建可容纳512个成员元素的ULONG数组(在common.h头文件中，BufferSize设置为512)。

IntegerOverflow.c中的漏洞函数

然后，内核检查缓冲区是否驻留在用户区域中，然后为我们打印一些信息，这对整数溢出很有帮助。

完成此操作后，内核将检查数据大小(以及终止符的大小，终止符为4字节)是否大于KernelBuffer的大小。如果是这，则它退出时不会在kernel-land缓冲区中复制user-land缓冲区。

大小检查

但是，如果不是这种情况，那么它将继续进行，然后将数据复制到内核缓冲区。

这里要注意的另一件事是，如果它在用户区域缓冲区中遇到BufferTerminator，它将停止复制并继续前进。因此，我们需要将BufferTerminator放在用户模式缓冲区的末尾。

将用户模式数据复制到内核模式函数堆栈

溢出

IntegerOverflow.c的第100行中的问题在于，如果我们将size参数设置为0xFFFFFFFC，然后添加BufferTerminator的大小(为4个字节)，则有效大小为– 0xFFFFFFFC + 4 = 0x00000000，小于KernelBuffer的大小。因此，我们通过了数据大小检查，然后将缓冲区复制到内核模式。

漏洞验证

现在，为了验证这一点，我们将缓冲区发送到HEVD，但是要传递0xFFFFFFFC作为缓冲区的大小。现在，我们将不会放置巨大的缓冲区并使内核崩溃，而只是发送一个小缓冲区并进行确认。

触发整数溢出的PoC

因为我们知道缓冲区有512个ULONG，所以我们将发送此数据，并查看内核会做什么？

注意：这里的重点是DeviceIoControl的第4个参数，而不是实际的数据。

最后，将此缓冲区发送到HEVD，看看会发生什么。

成功触发整数溢出漏洞

如你在图片中看到的，UserBuffer Size显示为0xFFFFFFFC，但我们仍然设法绕过了大小有效性检查并触发了整数溢出。

我们确认了通过放置0xFFFFFFFC，可以绕过检查大小，现在剩下的就是在UserBuffer之后放置一个模式(唯一的模式)，然后在其后放置终止符以查找保存的返回指针覆盖。

如果你不知道如何执行此操作，请阅读本文的第1部分。

利用溢出漏洞

剩下的就是使用HEVD中提供的TokenStealingPayloadWin7 shellcode覆盖保存的返回地址，然后完成就可以了。

注意：你可能需要稍微修改shellcode，以免崩溃。

获取shell

首先验证我们是否是普通用户：

普通用户

可以看出，我只是普通用户。

运行漏洞利用程序后，我成为了NT权限/系统。

成功利用整数溢出漏洞

你可以在我的代码库中，找到整个代码。

本文翻译自：https://pwnrip.com/windows-kernel-exploitation-part-1-stack-buffer-overflows/ https://pwnrip.com/windows-kernel-exploitation-part-2-type-confusion/ https://pwnrip.com/windows-kernel-exploitation-part-3-integer-overflow/