[转载]生生流转 : U号租sysx执行任意内核特权代码

Author： poner
发布时间：September 2, 2021
3695 views
One comment
4665 words
Categories：软件调试

大家好，我是刚刚学习逆向的草鸡子.

今天我要分析的是南京势胜开发的U号租上号器的驱动sysx。

0x1:

sysx使用了Safengine 2.4加的外壳,稍微提一下现在还是挺少看到这个壳了，支持国产壳。

在初始化阶段，sysx先是直接创建\Device\sys的设备。然后打开\Driver\i8042prt和\Driver\Kbdhid设备为后面的模拟鼠标点击，键盘输入做准备，接着注册进程，线程，DLL回调。枚举是否有"snr.exe"进程,解析ntdll等等，。我们根据设备找到派遣函数就

sysx为我们提供了非常多的功能，比如MouseClassServiceCallback模拟鼠标，KeyboardClassServiceCallback模拟键盘

读取物理内存

还有连招三件套,Alloc,Write,Create

使用导出的ZwCreateThreadEx创建线程(如果有的话..)

Attach上去直接申请内存

Attach直接读内存

还有的就是一些不是那么有趣的功能函数了，检测进程，获取模块信息，遍历堆栈等等。

0x2: 这场残暴的欢愉,终将以残暴终结.

在sysx的写内存接口中，并没有验证目标地址的正确性，于是就出现了任意地址写入漏洞，通过控制目标指针，我们就可以写到任何想写的地方去。

加上Safengine外壳的缘故，整个text段都是处于可写的状态

这使得利用变得更加简单和稳定。

.text节的空隙高达0x12b0个字节，第一阶段我们首先将context部署到sysx + 0x153D50的空隙部分。

第二阶段修改任意一个dispatch的call指令使其跳转到空隙context上，我选的是sysx + 0x103D9

第三阶段执行通讯的iocontrol，触发context。

那么我们开始吧。水之呼吸拾之型生生流转

0x3:

首先编写一个payload.sys，很简单就输出几句话,编译的时候设置入口点为DriverEntry。然后编译为payload.sys做测试使用，此时的payload.sys是没有签名不能被系统加载的。

然后我们必须先获取到ntoskrnl.exe和sysx.sys的基址，然后手动把ntoskrnl.exe和payload.sys内存加载到内存中。

我们接着构造一段context用来在内核中分配并保存我们的payload.sys后再执行入口点

由于我们已经知道了ntoskrnl的基址，先动态修复payload的导入表,注意偏移量我们是算的当前真正内核的地址，而不是现在映射的地址。

接着打开sys设备

写内存的接口如下,进程写自己的就可以的，内核空间是所有进程通用的。

然后第一阶段，先拷贝context进.text的空隙

第二阶段，修改CALL指令转向为.text空隙

第三阶段，触发context

完美成功。

代码和BIN都在附件，有不对的地方还请大家指出。

相关代码与驱动文件

sysx.cpp
payload.c
payload.sys
sysx.sys

本文转载于https://bbs.pediy.com/thread-269166.htm

Last modification：September 2, 2021

© Allow specification reprint

如果觉得我的文章对你有用，请随意赞赏

One comment

www
August 24th, 2023 at 06:49 pm

这个图熟悉！！！1

Reply

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

Comment *

Private comment

Name *

🎲

Email *

Site

[转载]生生流转 : U号租sysx执行任意内核特权代码

poner • 2021 年 09 月 02 日

<h3>大家好，我是刚刚学习逆向的草鸡子.</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/3320882784.png" alt="841912_RG6H5C6CGJB4DMY.png" title="841912_RG6H5C6CGJB4DMY.png"style=""></p><h3>今天我要分析的是南京势胜开发的U号租上号器的驱动sysx。</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/4175750721.png" alt="841912_VGP64HTJQAV5FEA.png" title="841912_VGP64HTJQAV5FEA.png"style=""></p><h2>0x1:</h2><h3>sysx使用了Safengine 2.4加的外壳,稍微提一下现在还是挺少看到这个壳了，支持国产壳。</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/2153506486.png" alt="841912_FX2UWV6Z4G9DTEE.png" title="841912_FX2UWV6Z4G9DTEE.png"style=""></p><h3>在初始化阶段，sysx先是直接创建\Device\sys的设备。然后打开\Driver\i8042prt和\Driver\Kbdhid设备为后面的模拟鼠标点击，键盘输入做准备，接着注册进程，线程，DLL回调。枚举是否有"snr.exe"进程,解析ntdll等等，。 我们根据设备找到派遣函数就</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/1692930401.png" alt="841912_MM3Z473NU2N656U.png" title="841912_MM3Z473NU2N656U.png"style=""></p><h3>sysx为我们提供了非常多的功能，比如MouseClassServiceCallback模拟鼠标，KeyboardClassServiceCallback模拟键盘</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/3380541182.png" alt="841912_EU5JVVN86FKQSGR.png" title="841912_EU5JVVN86FKQSGR.png"style=""><br><img src="https://www.cnponer.com/usr/uploads/2021/09/1563999729.png" alt="841912_W5423CWBHQ9XQKY.png" title="841912_W5423CWBHQ9XQKY.png"style=""></p><h3>读取物理内存</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/3503816091.png" alt="841912_GFD5FNMS2QBVC4P.png" title="841912_GFD5FNMS2QBVC4P.png"style=""><br><img src="https://www.cnponer.com/usr/uploads/2021/09/1176520009.png" alt="841912_FXF6JF7VPDRC4XD.png" title="841912_FXF6JF7VPDRC4XD.png"style=""></p><h3>还有连招三件套,Alloc,Write,Create</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/4224575965.png" alt="841912_ZZF3VNSZKBEXQUV.png" title="841912_ZZF3VNSZKBEXQUV.png"style=""></p><h3>使用导出的ZwCreateThreadEx创建线程(如果有的话..)</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/2772140557.png" alt="841912_PR26WUV5BE8Z9VH.png" title="841912_PR26WUV5BE8Z9VH.png"style=""></p><h3>Attach上去直接申请内存</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/3641534157.png" alt="841912_VAG2H29YKHC8TEP.png" title="841912_VAG2H29YKHC8TEP.png"style=""></p><h3>Attach直接读内存</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/975619723.png" alt="841912_EZ2C4R4N3XHJFGY.png" title="841912_EZ2C4R4N3XHJFGY.png"style=""></p><h3>还有的就是一些不是那么有趣的功能函数了，检测进程，获取模块信息，遍历堆栈等等。</h3><h2>0x2:  这场残暴的欢愉,终将以残暴终结.</h2><p><img src="https://www.cnponer.com/usr/uploads/2021/09/298126567.png" alt="841912_WU5GDJ7P8M7W6N6.png" title="841912_WU5GDJ7P8M7W6N6.png"style=""></p><h3>在sysx的写内存接口中，并没有验证目标地址的正确性，于是就出现了任意地址写入漏洞，通过控制目标指针，我们就可以写到任何想写的地方去。</h3><h3>加上Safengine外壳的缘故，整个text段都是处于可写的状态</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/504331294.png" alt="841912_UF4FNFSM2FJPXKE.png" title="841912_UF4FNFSM2FJPXKE.png"style=""></p><h3>这使得利用变得更加简单和稳定。</h3><h3>.text节的空隙高达0x12b0个字节，第一阶段我们首先将context部署到sysx + 0x153D50的空隙部分。</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/3434115043.png" alt="841912_763E5YPAYB9Q5VN.png" title="841912_763E5YPAYB9Q5VN.png"style=""></p><h3>第二阶段修改任意一个dispatch的call指令使其跳转到空隙context上， 我选的是sysx + 0x103D9</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/1213538227.png" alt="841912_8TAVURGJY7U2AT2.png" title="841912_8TAVURGJY7U2AT2.png"style=""></p><h3>第三阶段执行通讯的iocontrol，触发context。</h3><h3>那么我们开始吧。水之呼吸拾之型生生流转</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/3344153100.png" alt="841912_F2MW2SKMXMABJ44.png" title="841912_F2MW2SKMXMABJ44.png"style=""></p><h2>0x3:</h2><h3>首先编写一个payload.sys，很简单就输出几句话,编译的时候设置入口点为DriverEntry。然后编译为payload.sys做测试使用，此时的payload.sys是没有签名不能被系统加载的。</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/661921324.png" alt="841912_CUNEHAMAUVCX4W4.png" title="841912_CUNEHAMAUVCX4W4.png"style=""></p><h3>然后我们必须先获取到ntoskrnl.exe和sysx.sys的基址，然后手动把ntoskrnl.exe和payload.sys内存加载到内存中。</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/3425727980.png" alt="841912_GF4UUF2XKH8GYFH.png" title="841912_GF4UUF2XKH8GYFH.png"style=""><br><img src="https://www.cnponer.com/usr/uploads/2021/09/3520091289.png" alt="841912_KSHNKUUMYGTCJK9.png" title="841912_KSHNKUUMYGTCJK9.png"style=""></p><h3>我们接着构造一段context用来在内核中分配并保存我们的payload.sys后再执行入口点</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/4167337037.png" alt="841912_5KSPCG8QAQ4BAK8.png" title="841912_5KSPCG8QAQ4BAK8.png"style=""></p><h3>由于我们已经知道了ntoskrnl的基址，先动态修复payload的导入表,注意偏移量我们是算的当前真正内核的地址，而不是现在映射的地址。</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/4115211810.png" alt="841912_28735PZ6XYX7M69.png" title="841912_28735PZ6XYX7M69.png"style=""></p><h3>接着打开sys设备</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/810439572.png" alt="841912_F59B3GQ5EK7WBYT.png" title="841912_F59B3GQ5EK7WBYT.png"style=""></p><h3>写内存的接口如下,进程写自己的就可以的，内核空间是所有进程通用的。</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/2692324029.png" alt="841912_G9NYB6S5YU3GCAU.png" title="841912_G9NYB6S5YU3GCAU.png"style=""></p><h3>然后第一阶段，先拷贝context进.text的空隙</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/2004338175.png" alt="841912_RWFGQ4YR2UUGXRF.png" title="841912_RWFGQ4YR2UUGXRF.png"style=""></p><h3>第二阶段，修改CALL指令转向为.text空隙</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/3314566813.png" alt="841912_GQGJNMXC4EBQE7E.png" title="841912_GQGJNMXC4EBQE7E.png"style=""></p><h3>第三阶段，触发context</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/2509809665.png" alt="841912_HBCUXRKFWUVJAVK.png" title="841912_HBCUXRKFWUVJAVK.png"style=""></p><h3>完美成功。</h3><p><img src="https://www.cnponer.com/usr/uploads/2021/09/1434597162.png" alt="841912_3WRAUUYUVQUR6TN.png" title="841912_3WRAUUYUVQUR6TN.png"style=""></p><h3>代码和BIN都在附件，有不对的地方还请大家指出。</h3><h3>相关代码与驱动文件</h3><p><a href="https://www.cnponer.com/usr/uploads/2021/09/2920668273.cpp">sysx.cpp</a><br><a href="https://www.cnponer.com/usr/uploads/2021/09/1156548052.c">payload.c</a><br><a href="https://www.cnponer.com/usr/uploads/2021/09/1441814443.sys">payload.sys</a><br><a href="https://www.cnponer.com/usr/uploads/2021/09/2591247748.sys">sysx.sys</a></p><h3>本文转载于<span class="external-link"><a class="no-external-link" href="https://bbs.pediy.com/thread-269166.htm" target="_blank"><i data-feather="external-link"></i>https://bbs.pediy.com/thread-269166.htm</a></span></h3>