【网络安全】Windows内核利用小技巧

最新推荐文章于 2026-06-20 18:20:50 发布
原创 最新推荐文章于 2026-06-20 18:20:50 发布 · 1.4k 阅读 · 27
标签
#web安全 #windows #安全 #网络安全 #运维
#云计算 #网络

利用手法

此文主要是梳理最近windows上cve多数人比较常用的几个手法,肯定有所遗漏但涵盖主流常见手法用以学习。

漏洞的品相也决定了漏洞的利用手法的多样,像比较直接的可以进行任意地址读写的操作,就可以通过修改Token来实现提权,这就涉及到了windows中令牌的这一概念,windows进程所关联的用户访问权限等都是由令牌去进行校验的,也是常说的token概念。而在EPROCESS 里有个token结构,是进程的权限令牌,如果只要把system进程的token 替换到我们需要提权进程的eprocess里,则就获得system权限。但是这个操作需要Ring0的权限。

我们可以通过内核调试 dt nt!_EPROCESS 命令直接查看其结构

在这里插入图片描述

可以看到在Token的值存放在eprocess 偏移为 0x360 的地方,不同windows版本其偏移不相同,在其后边发现token是一个_EX_FAST_REF结构,是因为在windows上16字节的边界上需要将内核数据结构对齐到内存中所以指向token或其他任何内核对象的指针最低的4个位永远都是0如下图所示。

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

其次还有大多数漏洞利用都是为了铺垫一个教好的内存布局从而达到可以修改PreviousMode字段的作用。

PreviousMode :用户态程序调用系统的 Nt 或 Zw 时,系统调用机制会将调用线程捕获到内核模式。 为了标识参数源自用户模式,系统调用的处理程序将调用方线程对象中的 PreviousMode 字段设置为 UserMode。

而内核态程序调用系统例程并将参数值传递给来自内核态的例程,当前线程对象中的 PreviousMode 字段应为 KernelMode。 系统会检查调用线程的 PreviousMode 字段。这样通过参数就可以知道是来自用户态还是内核态了。

所以当PreviousMode 设置为 1 时,来自用户空间的NT 或 Zw 版本函数调用将其中进行地址验证。在这种情况下,对内核内存的任意写将失败,因为此时PreviousMode是用户态的状态。当 PreviousMode 设置为 0 (此时是内核态) 时,将跳过地址验证写入任意内核内存地址,从而完成提权。比如CVE-2023-36802

在这里插入图片描述
Scoop the Windows 10 pool!

再来谈一下Scoop the Windows 10 pool!,这篇很多知识是为了铺垫方便理解布局所以内容比较繁琐。

win10最近改变了内核空间中管理堆的方式,所以研究Windows堆的机制从而挖掘出一种新的利用手法。

原文-Scoop_The_Windows_10_pool.pdf,此段落主要辅佐cve漏洞加以分析了解此利用手法所以对一些内容进行了省略,而且利用方式是针对于x64架构存在。
介绍和了解:

首先了解池是保留给Windows系统内核空间的堆,而池的分配不同于用户空间的分配。而在用户空间使用的堆已经被引入内核。 还需要了解一下前置的知识比如常见分配池中的内存,这里分配的主要函数和Windows释放池的主要函数分别是:

void * ExAllocatePoolWithTag ( POOL_TYPE PoolType ,size_t NumberOfBytes ,unsigned int Tag );
void ExFreePoolWithTag ( void * P, unsigned int Tag );

而ExAllocatePoolWithTag中的PoolType池类型是一个位字段具体如下:
这样一些信息是就存储在PoolType中的:使用的内存类型: NonPagedPool,PagePool,SessionPool 或 NonPagedPoolNx 。如果分配关键位(bit 1),必须成功。如果分配失败,它会触发一个BugCheck。

如果分配符合缓存大小(bit 2)对齐,如果分配使用了PoolQuota机制(bit 3),其他未记录的机制。

NonPagedPool = 0
PagedPool = 1
NonPagedPoolMustSucceed = 2
DontUseThisType = 3
NonPagedPoolCacheAligned = 4
PagedPoolCacheAligned = 5
NonPagedPoolCacheAlignedMustSucceed = 6
MaxPoolType = 7
PoolQuota = 8
NonPagedPoolSession = 20h
PagedPoolSession = 21h
NonPagedPoolMustSucceedSession = 22h
DontUseThisTypeSession = 23h
NonPagedPoolCacheAlignedSession = 24h
PagedPoolCacheAlignedSession = 25h
NonPagedPoolCacheAlignedMustSSession = 26h
NonPagedPoolNx = 200 h
NonPagedPoolNxCacheAligned = 204 h
NonPagedPoolSessionNx = 220 h

而在这其中使用的内存类型很重要,因为它隔离了分配在不同的内存范围内。使用的两种主要内存类型是PagedPool NonPagedPool。 MSDN文档关于它的描述:"非分页池是不可分页的系统内存。它可以从任何IRQL访问,但是它是一种稀缺资源,驱动程序应该只在必要时分配它。分页池是可分页的系统内存,只能在IRQL小于 DISPATCH_LEVEL 时候分配和访问。而NonPagedPoolNx 在Windows 8 中必须使用,而不是NonPagedPool。SessionPool 是用于分配会话空间,并且是唯一的到每个用户会话它主要由Win32k使用 。

The POOL_HEADER
在池中包含在单个页面中的所有块都是从一个POOL_HEADER结构开始的。 当我们编写利用Windows内核中的堆溢出漏洞时,首选要覆盖的就是POOL_Header结构 。这时我们可以选择重写POOL_HEADER结构 ,也可以选择修改POOL_HEADER结构中的部分信息,下述是在windows 1809上简述的POOL_HEADER结构体

struct POOL_HEADER
{
    char PreviousSize ;
    char PoolIndex ;
    char BlockSize ;
    char PoolType ;
    int PoolTag ;
    Ptr64 ProcessBilled ;
};

虽然 POOL_HEADER结构略有改进但总是保持相同的主要字段:
PreviousSize :是先前的chunk 的大小除以16
PoolIndex : 是PoolDescriptor数组中的一个索引
BlockSize : 是当前分配大小除以16
PoolTye : 是一个包含分配类型信息的位字段
ProcessBilled :是一个指向进行分配的KPROCESS的指针只有在PoolType中设置了PoolQuota Flag时才会设置该参数。

win7时ExAllocatePoolWithQuotaTag将利用processbilling字段来指向存储_KPROCESS的指针与分配 。此攻击使用堆溢出漏洞去覆盖分配块POOL_HEADER中的processbilling指针。当释放块时,如果块的PoolType包含PoolQuota(0x8),那么ProcessBilled字段存储的指针将被用于解引用一个值。所以控制ProcessBilled指针可以提供一个任意指针解引用原语从而完成提权。

win8开始ExpPoolQuotaCookie被引入,此攻击手法被缓解。因为在系统启动的引到阶段会生成一个Cookie,这个Cookie的值用于保护指针不被攻击者覆盖。而且当块被释放的时候,内核还会检查编码的指针是不是一个有效的KPROCESS指针。

process_ptr = (struct _KPROCESS *)(chunk_addr ^ ExpPoolQuotaCookie ^ chunk_addr ->process_billed );
if ( process_ptr )
{
    if (process_ptr < 0xFFFF800000000000 || (process_ptr ->Header.Type & 0x7F) != 3 )
    KeBugCheckEx ([...])
    [...]
}

而win8中,还引入了NonPagedPoolNx–一种新的池内存类型,其工作原理与NonPagedPool相同只是其内存页是不可执行的这样即使塞入shellcode到其内存中也是无法利用。

但随着windows不断更新和引入新的机制,Segment Heap的出现重新改变了POOL_HEADER利用方式让我们可以通过堆溢出漏洞实现提权操作。

Segment Heap–段堆自Windows 10 19H1开始用于内核空间,与用户空间中使用的段堆非常相似。就像在用户态使用的一样,段堆是为根据分配大小的不同提供不同的功能,为此来定义了多种不同类型的后端处理。

win10之后堆分为两种:Segment heap和NT heap。当一个进程分配堆的时候,大部分场合默认使用的堆都是后面那种,前面的segment heap通常会在winapp或者某些特殊的进程(核心进程)中会使用到。

这两种堆称为前端堆(Frontend Heap)和后端堆(Backend Heap)

Low Fragmentation Heap(abbr LFH):RtlHpLfhContextAl
最低0.47元/天 解锁文章
渗透Tuto
关注
Windows调试和利用第部分:NTQuerySystemInformation
EcmShell的博客
09-19 443
本文介绍了NTQuerySystemInformation函数的用法,并提供了获取进程列表的示例代码。然后,我们再次调用NtQuerySystemInformation函数来获取实际的系统进程信息。在Windows操作系统中,NTQuerySystemInformation函数是一个强大的调试和利用工具。本文将详细介绍NTQuerySystemInformation函数的用法,并提供相应的源代码示例。需要注意的是,NTQuerySystemInformation函数的使用需要管理员权限或系统调试权限。
Windows 中断异常管理
leibso的博客
07-26 954
前言 本文参考 张银奎.《软件调试》一书,融入了自己的理解,以及将逻辑用伪代码形式表达 1. 中断和异常管理 前言:系统调用所提供的服务是在内核里。一般是在系统空间实现,而应用软件则都在用户空间运行。它们之间有着明确的间隔。实质是CPU运行模式的不同。 通过一条int 0x2e的指令可以让CPU陷入内核。 1.1 IDT、IDTR、PCR、PCRB等背景知识 IDT: 中断描述符表寄...
Windows内核--内联函数之KeGetPreviousMode(3.3)
编程语言开发、框架原理、编程思想、最佳实践技巧经验分享
12-14 631
KeGetPreviousMode宏对应2句汇编,很高效。它是如何实现如此高效简洁的?
使用 NtQuerySystemInformation 遍历进程信息
溡漪幽博客
02-07 3045
通过遍历系统进程信息,我们可以了解系统中运行的各种进程的详细信息,从而更好地进行系统管理和性能优化。本文介绍了一种通过调用 Windows 系统API来获取并遍历系统进程信息的技术,并提供了一段示例代码以帮助读者理解该技术的实现方法。
操作系统[系统学习二]
weixin_40996518的博客
09-09 748
文章目录系统调用什么是系统调用为什么提供系统调用系统调用和库函数的区别系统调用背后的过程总结进程定义组成组织方式链接方式索引方式进程的特性总结进程的状态与转换三种基本状态状态转换总结 系统调用 什么是系统调用 操作系统作为应用程序/用户 和 底层硬件之间的接口, 需要为上层提供一些服务. 这些接口分为命令接口(面向用户) 和 程序接口(面向应用程序) 程序接口 就是由 一组系统调用构成. 应用程序可通过系统调用 来执行一些特权指令 为什么提供系统调用 防止各个应用程序随意使用这些共享的系统资源,
Windows内核是什么,如何保障内核安全
Innocence_0的博客
06-11 816
Windows操作系统发展到如今已有三十余年,是目前在全球范围内广泛使用的操作系统。Windows内核是操作系统的核心部分,内核包括了HAL(硬件抽象层),设备驱动,微内核,各种管理设备,管理层以及系统服务界面,负责管理系统资源和提供基本的系统功能。因此,Windows内核安全性对整个系统的安全性至关重要。在当前的网络环境中,保护Windows内核不受恶意攻击和恶意软件的侵害对于确保系统的稳定性和安全性至关重要。
iOS设备端IPA安装的终极方案:如何实现无电脑应用部署?
最新发布
gitblog_00174的博客
06-20 945
在iOS开发者和越狱爱好者的世界中,一个长期存在的技术挑战是如何在设备上直接安装IPA文件,而无需依赖电脑连接。传统的iOS应用分发方式要么通过App Store,要么需要Xcode和USB连接,这种限制对于测试、企业分发和个人应用管理都造成了不便。**iOS设备端IPA安装**技术应运而生,它通过创新的签名验证和重签名机制,让用户能够在iPhone或iPad上直接安装第三方应用,彻底摆脱对电脑的
必看!网络安全小白从 0 起步,借 Windows 内核提权精通内网渗透
2301_79455190的博客
04-17 713
存在于win32k.sys驱动模块中。部分版本Windows系统win32k.sys组件的NtUserSetImeInfoEx()系统服务函数内部未验证内核对象中的空指针对象,普通应用程序可利用该空指针漏洞以内核权限执行任意代码。当用户通过UAC对话框查看可执行文件的数字签名证书详情时,系统会启动一个高权限的浏览器进程(如Internet Explorer)来显示证书信息。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
木马程序攻击+利用Windows内核漏洞提权
m0_71745258的博客
01-22 5896
再次声明,此学习路线主打就业方向,如果只是感兴趣,想成为什么黑客的朋友可以划走了!网络安全≠黑客很多人上来就说想做想入行网络安全,但是连方向都没搞清楚就开始学习,最终也只是会无疾而终!黑客是一个大的概念,里面包含了许多方向,不同的方向需要学习的内容也不一样。网络渗透、逆向分析、漏洞攻击、内核安全、移动安全、破解PWN等众多子方向。今天的这篇,主要是针对网络渗透方向,其他方向仅供参考,学习路线并不完全一样,有机会的话我再单独梳理。
使用NtQuerySystemInformation遍历进程信息[详细篇]
weixin_42270114的博客
07-15 7750
使用NtQuerySystemInformation遍历进程信息[详细篇]
NtQuerySystemInformation参数详解
热门推荐
oldmtn的专栏
02-14 2万+
NtQuerySystemInformation函数,其中SystemBasicInformation(0号功能)返回的结果是一个SYSTEM_BASIC_INFORMATION结构,其中的域bKeNumberProcessors将返回系统CPU的个数。 下面是该函数的具体说明: /×---------------------------------------------------
进程遍历-NtQuerySystemInformation枚举
hide_in_darkness的博客
06-07 1216
​ 数组中下一项的开头是上一项的地址加上 NextEntryOffset 成员中的值。​ HandleCount 成员包含有问题的进程正在使用的句柄总数;​ PeakWorkingSetSize 成员包含进程的工作集的峰值大小(以 KB 为单位)​ BasePriority 成员包含进程的基优先级,即在关联进程中创建的线程的起始优先级。​ PeakVirtualSize 成员包含进程使用的虚拟内存的峰值大小(以字节为单位)​ VirtualSize 成员包含进程使用的虚拟内存的当前大小(以字节为单位)
关于msdn中NtQuerySystemInformation函数说明
babihehe的专栏
06-12 5724
函数原型 typedef   NTSTATUS   (__stdcall   *NTQUERYSYSTEMINFORMATION) ( IN                 SYSTEM_INFORMATION_CLASS    SystemInformationClass, IN   OUT       PVOID
NtQuerySystemInformation
不完美星空
06-26 817
Native API乃Windows用户模式中为上层Win32 API提供接口的本机系统服务。平常我们总是调用MS为我们提供的公用的Win32 API函数来实现来实现我们系统的功能。今天我们要谈的是如何通过本机系统服务(Native API)来探测本机系统信息。当然,微软没有为我们提供关于本机系统服务的文档 (Undocumented),也就是不会为对它的使用提供任何的保证,所以我们不提倡使用Na
微软NativeApi-NtQuerySystemInformation
ccf19881030的专栏
12-05 1480
微软有一个比较实用的Native接口:NtQueryInformationProcess,具体可以参考微软msdn官方文档:NtQueryInformationProcess
C++进程遍历的几种方法
【微软MVP】zhaotianff的专栏
07-25 1538
在应用层下,进程遍历有多种方式,这里介绍几种常用的方式:进程快照、NtQuerySystemInformation、EnumProcesses函数、WMI等。这个函数的声明和Process32First一样,使用方法也一样,这是在第一个进程的基础上,继续向下遍历。FALSE,如果不存在任何进程或者快照不包含进程信息,则GetLastError函数会返回ERROR_NO_MORE_FILES错误值。(TlHelp32.h)函数,获取进程信息为指定的进程、进程使用的堆、模块、线程建立一个快照。
ZwQuerySystemInformation函数查询SystemModuleInformation
gold0523的专栏
04-13 6568
<br />使用ZwQuerySystemInformation函数查询SystemModuleInformation <br /><br />在看到两种用法 <br />第一种: <br />ZwQuerySystemInformation(SystemModuleInformation,&n,0,&n); <br />PULONG p=new ULONG[n]; <br /><br /><br />ZwQuerySystemInformation(SystemModuleInformation,p,n*
未公开的函数 NtQuerySystemInformation
Panda Note
04-10 4305
原文地址:http://hi.baidu.com/%BD%BB%D3%D1%C6%B5%B5%C0/blog/item/a0426c229a03aaa04623e8c7.html 闲了没事,用SoftIce跟踪 TaskMgr 居然看出点门道来,将这些见解和大家共享,文章可能很长,也可能要花很长的时间,反正爱看就看,不爱看就别看。幸亏微软提供了相应的 .PDB 和 .DBG文件,使跟踪
NtQuerySystemInformation 获取系统信息
欲穷千里目,更上一层楼
12-06 5973
Native API乃Windows用户模式中为上层Win32 API提供接口的本机系统服务。平常我们总是调用MS为我们提供的公用的Win32 API函数来实现来实现 我们系统的功能。今天我们要谈的是如何通过本机系统服务(Native API)来探测本机系统信息。当然,微软没有为我们提供关于本机系统服务的文档 (Undocumented),也就是不会为对它的使用提供任何的保证,所以我们不提倡使用N
获取进程CPU占用率 -- NtQuerySystemInformation
jiangqin115的专栏
07-28 5116
今天,我们主要讨论的是一个函数NtQuerySystemInformation(ZwQuerySystemInformation)。当然,你不要小看这么一个函数,它却为我们提供了丰富的系统信息,同时还包 括对某些信息的控制和设置。 以下是这个函数的原型: typedef NTSTATUS (__stdcall *NTQUERYSYSTEMINFORMATION) (IN
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值