返回
灰帽 Python之旅10

灰帽 Python之旅10

ID:37478439

大小:78.50 KB

页数:7页

时间:2019-05-24

灰帽 Python之旅10_第1页
灰帽 Python之旅10_第2页
灰帽 Python之旅10_第3页
灰帽 Python之旅10_第4页
灰帽 Python之旅10_第5页
资源描述:

《灰帽 Python之旅10》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、10FuzzingWindows驱动对于hacker来说,攻击Windows驱动程序已经不再神秘。从前,驱动程序常被远程溢出,而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动,我们在远程溢出它之后,就会获得一个受限的权限,这个权限一般是很小的,如果似乎,很多信息都无法获取,很多服务都访问不了。如果这时候我们拥有一个本地驱动的exploit,那就能够将权限提升到系统级别,youaregodnow!驱动在内核模式下运行,而我们的程序在用户模式下运行,为了在两种模式之间进行交互,就要使用IOCTLs

2、(input/outputcontrols)。当IOCTLs处理代码有问题的时候,我们就能利用它获取系统权限。接下来,我们首先要介绍下如何通过实现IOCTLs来和本地的设备进行联系,并且尝试使用Immunity变形IOCTLs数据。然后,学会使用Immunity提供的driverlib库获取驱动信息,以及从一个编译好的驱动文件中解码出重要的控制流程,设备名,和IOCTL代码。最后用从drivelib获得的数据构建测试数据,使用ioctlizer(我写的一个驱动fuzzer)进行一次driverfuzz。10.1驱动通信几乎每个在Windows上注册了的驱动程序都有一个设备名和一个符号链接

3、。用户模式的程序能够通过符号链接获得驱动的句柄,然后使用这个句柄和驱动进行联系。具体函数如下:HANDLEWINAPICreateFileW(LPCTSTRlpFileName,DWORDdwDesiredAccess,DWORDdwShareMode,LPSECURITY_ATTRIBUTESlpSecurityAttributeDWORDdwCreationDisposition,DWORDdwFlagsAndAttributes,HANDLEhTemplateFile);第一个参数,填写文件名或者设备名,这里填写目标驱动的符号连接。dwDesiredAccess表示访问方式,读或者

4、写(可以既读又写,也可以不读不写),GENERIC_READ(0x80000000)读,GENERIC_WRITE(0x40000000)写。dwShareMode这里设置成0,表示在CreateFileW返回并且安全关闭了句柄之后,才能访问设备。lpSecurityAttributes设置成NULL,表示使用默认的安全描述符,并且不能被子进程继承。dwCreationDisposition参数设置成OPEN_EXISTING(0x3),表示如果设备存在就打开,其余情况返回错误。最后两个参数简单的设置成NULL。当CreateFileW成功返回一个有效的句柄之后,我们就能使用Device

5、IoControl(由kernel32.dll导出)传递一个IOCTL给设备。BOOLWINAPIDeviceIoControl(HANDLEhDevice,DWORDdwIoControlCode,LPVOIDlpInBuffer,DWORDnInBufferSize,LPVOIDlpOutBuffer,DWORDnOutBufferSize,LPDWORDlpBytesReturned,LPOVERLAPPEDlpOverlapped);第一个参数由CreateFileW返回的句柄。dwIoControlCode是要传递给设备启动的IOCTL代码。这个代码决定了调用驱动中的什么功能。

6、参数lpInBuffer指向一个缓冲区,包含了将要传递给驱动的数据。这个缓冲区是我们后面要重点操作的地方,fuzz数据将存在这。nInBufferSize为传递给驱动的缓冲区的大小。lpOutBuffer和lpOutBufferSize,和前两个参数一样,不过是用于接收驱动返回的数据。lpBytesReturned为驱动实际返回的数据的长度。最后一个参数简单的设置成NULL。现在对于驱动的交互,大家应该不陌生了,接下来就祭出我们的Immunity,用它Hook住DeviceIoControl然后变形输入缓冲区内的数据,最后fuzzingeverydriver。10.2用Immunityf

7、uzzing驱动我们需要使用Immunity强大的调试功能,挂钩住DeviceIoControl函数,在数据到达目标驱动之前,截获它们,这就是我们DriverFuzzing的基础。如果一切顺利,最后可以将一些列工作写出自动化的PyCommand,我们只要喝着茶看着Immunity完成一切工作:截获DeviceIoControl,变形缓冲区数据,记录相关信息,将控制权交还给目标程序。之所以要对数据进行记录,是因为每次成功的fuzzin

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。