当前位置:   article > 正文

win7 64位 内核安全_X64内核SMAP,SMEP浅析

win7内核代码

62b56ed2303a7afffa73dbb56e1bdb58.png

本文为看雪论坛优秀文章

看雪论坛作者ID:amzilun

前言

实验环境:Win10+VS2015+WDK10

SMAP(Supervisor Mode Access Prevention,管理模式访问保护)和SMEP(Supervisor Mode Execution Prevention,管理模式执行保护)的作用分别是禁止内核CPU访问用户空间的数据和执行用户空间的代码,并不会因为你权限高就能访问/执行低权限的资源,你的就是你的,我的就是我的,而之前零环权限就很牛逼了,你的就是我的,我的还是我的。

如何区分内核态和用户态虚拟空间呢,32位OS用00000000-ffffffff寻址整个4GB虚拟空间,其中0000000-7ffffffff是用户态的虚拟地址空间,80000000-ffffffff是内核态的虚拟地址空间。

到了X64,虽然CPU的寻址从32位变成64位,因为虚拟地址的高16位在用户模式下总是被设置为0000,而在内核模式下总是被置为FFFF。所以实际上只支持48位的虚拟地址空间供软件使用。

用户态的虚拟地址空间范围为0000 0000 00000000 ~ 0000 ffff ffffffff,内核模式的地址空间范围为ffff 0000 00000000 ~ ffff ffff ffffffff,所以用户态和内核态之间隔了非常远,对操作系统可见的内核虚拟地址空间的大小为256TB。

注意我没有提内核页表隔离(KPTI)等安全机制,所以这只是个大概的划分。

SMEP和SMAP导致我们不能像从前那样,利用恶意进程提权到0环权限后,扭头去执行布置在用户态的恶意shellcode,三环shellcode注入也不好使了(如果把shellcode布置在内核空间,又会遇到PatchGuard的强力阻击)。

本文将通过实验一步一步来感知SMEP,SMAP如何起作用,并找出如何在最新Win10安全防护体系中绕过他们的具体方法。

1. 构造X64下的IDT后门

首先新建一个 Visual C++ 空项目,选择Debug和X64后,还需要配置一下项目的工程属性,先把警告等级调成3:

30d2c5c92a96edfc41afcd09af81d1e6.png

把增量链接改成否:

a510147278b5bb88fc3dfb61dacb39e3.png

把随机基址改成否,把固定基址改成是:

2cf198b9d9097e62f16ae38bd249d3fb.png

下一步就是如何在VS2015里写汇编,64位VS编译器因为不再支持内联汇编,所以我们再也不能像32位的那样,首先写一个裸函数,在里面放置我们提权到0环后要执行的汇编代码,然后等着提权后执行了。也不知道微软为什么把如此优秀的机制取消了。

那怎么才能把汇编代编译进我们的代码呢,答案是把汇编函数写到一个汇编文件,然后和c文件一起编译。

汇编函数在主函数里作为外部符号去使用,我每次都参照这个帖子操作:https://www.cnblogs.com/talenth/p/9135626.html

如果您使用的是其他版本的VS步骤和方法可能会有所不同。文件如下,下面的汇编文件包含了三个函数IntEntry,go和int3,如下所示:

semap : noneEXTERN x : qword.data; ttt qword ?.codeIntEntry    Proc    iretqIntEntry    Endpgo Proc    int 21h    retgo Endpint3 Proc    int 3h    retint3 EndpEND

main函数如下所示:

#include #include #include extern "C" void IntEntry();extern "C" void go();extern "C" void int3();extern "C" ULONG64 x;ULONG64 x;void main(){    if ((ULONG64)IntEntry != 0x0000000140001000)    {        printf("wrong IntEntery at %p", IntEntry);        system("pause");        exit(-1);    }    go();    printf("%p\n", x);    system("pause");}

编译出来后在1903运行。然后我们在操作系统中人为构造一个IDT后门,我构造自定义的中断int21,之所以用int 21h 因为系统没占用21号中断。

并把中断处理函数的地址设为0x0000000140001000,由于之前指定了工程属性为“随机基址否,固定基址是”使得IntEntery函数的入口地址始终是0x0000000140001000而不是随机数。

008b23e44d8592a2d7864d26f30dd7b3.png

由于64位中断门已经从8字节变成16字节,1号中断门描述符正在fffff80545a5b010,2号在这基础上+10h变成fffff80545a5b020,以此类推21号在fffff80545a5b210。用Windbg构造21号中断如下:

eq fffff8010845b210 4000ee0000101000

eq fffff801 0845b218 1

我们用!idt指令来查看一下,发现21号的中断处理函数的确已经改成了我们自己的0x0000000140001000函数,即IntEntry的基址。

eea525e1275654260120692c8770d134.png

2. 触发SMEP

编译并运行这个程序,虚拟机立即崩溃,一个典型的三重错误。

58161318a7ab5310f05e46b5e7ccbccd.png

目前我们的中断处理函数里就只有iretq,如果是在32位的XP系统甚至64位的Win7系统,程序应该会顺利的退出,但在Win10-1903下运行结果是三重错误,原因就是Win10引入了最新的安全机制:SMAP(Supervisor Mode Access Prevention)和SMEP(Supervisor Mode Execution Prevention)

SMEP就是内核权限的CPU不能执行用户权限的代码页,本次实验中,21中断的处理函数地址是0x0000000140001000,显然是位于用户态的代码页,因此提权到内核权限的CPU执行该函数时就会崩溃。

可能有人会怀疑崩溃并不是SMEP导致,而是由于修改IDT表触发PG,这里我说明下,这个错误绝对不可能是PG导致的,原因是:

1. 该错误是运行代码后立即触发的,而PG是延迟触发的,也就是修改的那一刻也许不会立即触发,经过一段时间PG扫描到这段代码被修改就会触发。所以PG蓝屏的时间是不确定的,也许几分钟,几小时都有可能,实际攻击中可以改完后再短时间内恢复现场,以躲避PG的检测。

2. 这是一个非常严重的三重错误,而PG导致的错误一般仅仅只是蓝屏,错误代码109。附加调试器时可以用!analsys v 来分析崩溃现场的,而三重错误比蓝屏要严重的多,性质完全不同。

那么如何绕过SMEP,让提权后的CPU能执行三环代码呢?

3. 绕过SMEP

c2caac9a47a736da3555a0fcea26cf97.png

从上图可知CR4寄存器的20和21分别是SMEP和SMAP标志位,置一代表功能开启,置零就代表功能关闭,定位到这两个位问题就好解决了。

我们用r cr4得知cr4是0x370678,再用.formats 0000000000370678把它解析成二进制,结果是: 00000000 00000000 00000000 00000000 00000000 00110111 00000110 01111000。

注意20,21不是第20,21位,而是21,22位,是从0开始的。我把这两位标记出来了,这两个位都是1,说明SMEP和SMAP都默认开启。

只要用Windbg把21位置零就可以了,我们只需手动把CR4从370678改成270678就绕过了SMAP。

4. 触发SMAP

我们在中断处理函数IntEntry再加入这样两行代码 mov rax, [0fffff8010845dfb0h] 和mov x, rax,fffff8010845dfb0是我这台机器GDT表第二项的地址。我们试图把一个内核地址的数值通过rax转存到一个位于三环的全局变量x中:

semap : none EXTERN x : qword .data; ttt qword ?.code IntEntry    Proc    mov rax, [0fffff8010845dfb0h]    mov x, rax    iretqIntEntry    Endp go Proc    int 21h    retgo Endp int3 Proc    int 3h    retint3 EndpEND

编译执行后还是会产生一个三重错误。

那问题出在哪呢?其实第一句没问题,使用0环权限访问零环内存地址,但第二句就有问题了,全局变量x是一个三环的全局变量,写入x时发生0环访问了三环数据,从而触发SMAP,系统崩溃。我们刚才只绕过了SMEP,现在来处理SMAP。

5. 绕过SMAP

方法1:借鉴之前绕过SMEP的方法,故伎重演用Windbg把CR4的22位置零,21,22同时置零时的CR4是70678。

cad2aa7ebc6b3a17dfc50442d4584c17.png

方法2:系统调用发生时,进入0环前需要拷贝3环寄存器到0环栈上,没触发SMAP,然后有时需要传数据给三环时,如果rax写不下时还需要从0环返回三环,需要拷贝0环的数据到三环,也没触发SMAP。

那么系统是如何保证0环三环互相拷贝数据而不触发呢?我们需要学习系统是如何绕过的,通过对int3,就也是CC断点的中断处理函数逆向,发现stac指令可以起到关闭SMAP的作用。

d372c6467552f07b73f8444f81acc833.png

这条汇编指令罕见到根本百度不到,可见实际逆向+查看英特尔白皮书是内核研究的有效方法。

91429bc90f445bce5b8fc8f1ad8a9b9a.gif

- End -

0ecf75e1b821419d4a0962a8597518eb.png

看雪ID:amzilun

https://bbs.pediy.com/user-home-803510.htm

  *本文由看雪论坛 amzilun 原创,转载请注明来自看雪社区。

0e7f1ebc20d9cc783ab1d55f117490be.png

推荐文章++++

25db437111b9d03b530d042637a3ef04.png

* 崩溃回溯分析

* 加密壳之ACProtect系列通杀

* CVE-2016-0165 Win32k漏洞分析笔记

* LPC通信撸码笔记

* 对一篇反沙箱文章的分析学习小记

73e7ea7976c338ee79831e113f33c3f5.png 公众号ID:ikanxue 官方微博:看雪安全 商务合作:wsc@kanxue.com 74cb2299-a836-eb11-8da9-e4434bdf6706.svg

求分享

75cb2299-a836-eb11-8da9-e4434bdf6706.svg

求点赞

db36957a3d374c90c9b263631420bce6.gif

求在看

d088bc9b47a40a82365b95e223bd2cec.gif
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/IT小白/article/detail/106379
推荐阅读
相关标签
  

闽ICP备14008679号