伪句柄分析

最新推荐文章于 2021-04-13 21:59:56 发布
原创 最新推荐文章于 2021-04-13 21:59:56 发布 · 886 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #api #thread #object #文档 #编程

本文探讨了《Windows核心编程》中提到的线程伪句柄概念,并通过实验发现GetCurrentThread()始终返回固定值0xfffffffe(-2),揭示了Windows API如何利用此伪句柄实现对当前线程的操作。

  <<Windows核心编程>>6.8节中提到了一个线程“伪句柄“概念,同时指出线程的伪句柄是当前线程的句柄,也就是调用函数的线程的句柄。

   

  感觉单从概念上还不能充分的理解,必须深入分析。Windows就是隐藏了太多的东西,你越不分析透,就越不能理解,内心就越不踏实。

 

  显然,GetCurrentThread()返回的是一个伪句柄,那就从它开始。

 

  通过实验,发现不管如何调用,GetCurrentThread()返回的伪句柄都是一个固定值0xfffffffe(-2),这显然不是一个有效句柄(地址)。其实,GetCurrentThread()仅简单的调用了NTCurrentThread(),而后者是一个宏#define NTCurrentThread() (HANDLE)(LONG_PRT)-2).

显然,GetCurrentThread()并不会影响到Thread Object ,例如引用计数。这个结果意义不大。

 

  API函数是如何应用伪句柄的?

 

  以GetThreadTimes()为例,第一个传入参数hThread,API文档并不要求这是一个实或伪句柄。它的调用链为:GetThreadTimes()->NTQueryInformationThread()->ObReferenceObjectByHandle()->PsGetCurrentThread()->KeGetCurrentThread(),最后KeGetCurrentThread()通过{mov eax, fs:[0] KPCR.PrcbData.CurrentThread}返回了指向线程_KTHREAD 的指针。这其中比较关键的地方就是ObReferenceObjectByHandle(),它根据传入的Handle类型判断是否一个实或伪句柄,如是是一个伪句柄,则接着调用PsGetCurrentThread()。最终,实现了伪到实的转换。

 

  至此,也算对伪句有点理解,但Windows为什么要用伪句柄机制呢?为了安全?但有GetCurrentThreadID()啊。一时想不明。。。

Windows 句柄泄露学习总结
bcbobo21cn的专栏
03-19 9113
句柄泄露实例分析 http://www.cnblogs.com/Leo_wl/p/5397274.html 在上篇文章.NET对象与Windows句柄(二):句柄分类和.NET句柄泄露的例子中,我们有一个句柄泄露的 例子。例子中多次创建和Dispose了DataReceiver和DataAnalyzer对象,但由于忘记调用DataAnalyzer的 Stop方法,导
windows核心编程 第三章,跨越进程边界共享内核对象,对象句柄的继承性,改变句柄的标志,命名对象,终端服务器的名字空间,复制对象句柄
zhyjhacker的博客
08-13 1415
windows核心编程 3.3 跨越进程边界共享内核对象 3.3.1 对象句柄的继承性 3.3.2 改变句柄的标志 3.3.3命名对象 3.3.4终端服务器的名字空间 3.3.5 复制对象句柄 文章目录windows核心编程3.3 跨越进程边界共享内核对象3.3.1 对象句柄的继承性3.3.2 改变句柄的标志3.3.3命名对象3.3.4终端服务器的名字空间3.3.5 复制对象句柄3.3 跨越进程边界共享内核对象3.3.1 对象句柄的继承性3.3.2 改变句柄的标志3.3.3命名对象3.3.4终端服务器的名字
句柄
bookish_2010_prj的专栏
11-18 1451
句柄在使用很多函数的时候,我们都需要获得一个对象的句柄,而某些函数返回的是句柄句柄本身不会打开内核对象的句柄表,因此内核对象的使用计数就不会增加。它本身就只指向调用它的主调进程或线程。会因为调用者的不同而改变,比如:调用者A使用一个句柄,这个句柄指向调用者A,而调用者A将该句柄传递给调用者X,则这个句柄就指向调用者X。我们可以通过调试的方式查看句柄,可以得知,进程的句柄总是0xffffffff,而线程的句柄总是0xfffffffe。通过使用DuplicateHandle这个强大的函数,可以将
Windows 句柄 详解
new blog: www.burningcodes.net
11-30 3615
在使用很多函数的时候,我们都需要获得一个对象的句柄,而某些函数返回的是句柄句柄本身不会打开内核对象的句柄表,因此内核对象的使用计数就不会增加。它本身就只指向调用它的主调进程或线程。会因为调用者的不同而改变,比如:调用者A使用一个句柄,这个句柄指向调用者A,而调用者A将该句柄传递给调用者X,则这个句柄就指向调用者X。   GetCurrentThread函数和GetCurrentP
句柄句柄
CrazyNPC的专栏
03-11 590
GetCurrentProcess(), DuplicateHandle()Window中为什么会有句柄的概念:从Visual C++的头文件来看,HANDLE被typedef为void的指针,那是指向未确定数据结构的指针:typedef void* HANDLE; 但是这并不说明任何问题,因为句柄远远不只是指向任意数据类型的指针。它是指向数据对象指针的指针。句柄的使用来源于早期的Windows
windows10句柄捕捉异常
weixin_45800485的博客
04-13 480
win10捕捉句柄与任务管理给出句柄不一致 环境:vs2019 Windows SDK:10.0 win10版本 :20H2家庭版 一:查看程序本身句柄 利用GetCurrentProcess()函数获取进程句柄,在转换为进程句柄,发现与任务管理器给出句柄不一致 //代码 DWORD pid = GetCurrentProcessId(); HANDLE hProcess = NULL; DuplicateHandle(GetCurrentProcess(), GetCurrentThread()
蓝牙通过句柄发送数据时句柄为什么加1?
05-07
### 句柄加1的原因分析 在蓝牙BLE(低功耗蓝牙)通信中,句柄是一个重要的概念。它通常用来唯一标识某个服务、特性或其他资源。当涉及到通过句柄发送数据时,有时会发现句柄被加1的现象。这种现象的根本原因可以从...
牛顿-拉斐逊法与二分法及正则证法的比较分析
牛顿-拉斐逊法(Newton-Raphson Method)、二分法(Bisection Method)以及正则证法(Regula Falsi Method,又称试位法)是数值分析中用于求解非线性方程 f(x) = 0 的三种经典迭代算法。在本项目“matlab开发-...
句柄是什么
ouyang2008的专栏
08-02 3447
今天看核心编程,看到他说的句柄,着实有些迷糊,上网上查查,也说的是云里雾里的,所以我就去看看MICROSOFT的MSDN,他们也是遮遮掩掩的,没有办法我就只有靠一些调试工具来解决了。从MSDN上,我们知道象GETCURRENTPROCESS,GETCURRENTTHREAD都是在KERNEL32中,所以我用了OLLYDBG加载了这DLL文件,从中我们可以执行单个文件,恩,返回值和应用程序中返
句柄句柄
FlowShell的专栏
04-18 2564
<br />句柄的由来:<br />      从Visual C++的头文件来看,HANDLE被typedef为void的指针,那是指向未确定数据结构的指针:typedef void* HANDLE;<br />但是这并不说明任何问题,因为句柄远远不只是指向任意数据类型的指针。它是指向数据对象指针的指针。句柄的使用来源于早期的Windows,当时它只能在有限内存的机器中允许(因为当时内存昂贵也存储小)。为了留出足够的空间内存以运行其他程序,Windows经常将对象在内存中移动。但是如果进程已经有了指向该对
关于句柄句柄
MaYang_的博客
12-05 680
https://www.cnblogs.com/zpcdbky/p/4652151.html 补充:句柄,就是用来维护进程或者系统范围内的一个标识。就比如我们去访问一个文件的时候,同一时刻,只能有一个进程访问,不能有其他,这个句柄就是这个文件锁。句柄是一个动态的地址,用来记录当前对象的分配,很明显就只有一个。任何一个对象都有一个句柄。 关于句柄: 官方解释:句柄是一个特殊的常量,当前为(HAN...
GetCurrentThread句柄陷阱
baidu_25539425的博客
09-12 2229
今天写了个测试程序,想要看看线程的创建,退出内核模式时间,和用户模式时间#include <windows.h> #include <iostream> #include <process.h> using namespace std; unsigned int WINAPI WorkThread(void* param); typedef HANDLE (WINAPI * OPENTHRE
线程(进程)的句柄句柄
郁闷阳光的专栏
10-30 1218
通过调用GetCurrentProcess或者GetCurrentIThread可以获取线程或者进行的句柄,所谓句柄,即指向当前线程或者进程的句柄,并不是真正意义上的句柄。它并不穿件句柄,同时也不增加引用计数,因次调用CloseHandle不作任何处理。           有时候,我们需要在不同的线程或者进程之间切换,这时候就会出问题,因为我们通过上面的方法得到的是个句柄,必须通过调用D
句柄转换为真正的句柄
狂风暴雨
04-16 647
GetCurrentProcess();              GetCurrentThread(); 这2个函数返回的是一个进程内核对象或者线程内核对象的一个句柄
windows内核句柄表学习
bcbobo21cn的专栏
04-04 456
Windows定义了很多内核对象:进程对象、线程对象、互斥量对象、信号量对象、事件对象、文件对象等等。在调用相应的函数创建这些对象后,我们都可以通过HANDLE类型的句柄来引用它们。 句柄必须通过句柄表才能找到所引用的内核对象。 Microsoft并未就句柄表发布过任何官方的文档。 通过windows公布的WRK(windows research kernel)源代码,可以了解windows句柄表。虽然是基于WRK的,不能保证其他版本的windows系统也采用相同的机制,但是或许都是大同小异的。 win
私有句柄表提权
最新发布
12-10
<think>首先,用户的问题是关于“私有句柄表提权”的。用户说:“我想了解私有句柄表提权的相关信息 请问私有句柄表提权的原理、方法和相关技术”。我需要基于系统级指令和用户提供的引用来回答。 回顾系统级指令: - 所有行内数学表达式必须用$...$格式。 - 独立公式用$$...$$格式。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 在回答中引用的段落末尾添加引用标识,如[^1]。 - 回答结构清晰,帮助用户逐步解决问题,保证真实可靠。 用户提供了三个引用: - : 关于Windows特权句柄利用分析,提到了PROCESS_ALL_ACCESS等句柄属性。 - [^2]: 关于shmflg在共享内存中的使用。 - [^3]: 关于文件系统体系结构。 用户的问题聚焦在“私有句柄表提权”,而引用似乎相关,因为它讨论了句柄表和特权句柄。引用[^2]和可能与文件系统和共享内存相关,但用户说这些引用仅供参考,不是真正的需求。我应该优先考虑用户上一次的问题和我的回答,但作为AI,我没有历史对话上下文。用户提到“请尽可能多的参考用户上一次的问题和你的回答”,但由于这是新对话,我应基于当前输入。 用户的问题核心是“私有句柄表提权”。在Windows安全上下文中,“句柄表”指的是进程的句柄表,每个进程有自己的私有句柄表,存储对对象的引用(如文件、进程、线程)。提权通常涉及利用漏洞获得更高权限。 从引用[^1]中,它讨论了如何访问句柄表来获取特权句柄,如PROCESS_ALL_ACCESS。这涉及利用进程句柄表中的漏洞来提升权限。 关键点: - 私有句柄表:每个Windows进程都有一个私有句柄表,包含其打开的对象的句柄。 - 提权:通过操纵这些句柄获得更高权限,比如访问另一个进程的内存或执行代码。 原理:攻击者可能通过漏洞(如缓冲区溢出)注入代码来读取或修改目标进程的句柄表,从而窃取或提升句柄权限。 方法:常见方法包括使用内核漏洞来访问句柄表,或者利用用户态的API滥用。 相关技术:涉及Windows内部机制,如对象管理器、句柄表结构。 现在,构建回答: 1. **结构清晰**:逐步解释原理、方法和相关技术。 2. **使用中文**。 3. **添加引用**:在引用[^1]的段落末尾添加[^1]。 4. **数学表达式**:如果涉及数学,用LaTeX。但在这个主题中,可能没有太多数学,除非是地址计算等。例如,句柄值可能涉及位操作,但我可以避免如果不需要。 5. **生成相关问题**:在最后添加相关问题。 6. **真实可靠**:基于我对Windows安全的了解。确保信息准确。 回答大纲: - **原理**:解释私有句柄表是什么,如何被用于提权。 - **方法**:描述常见攻击方法或技术。 - **相关技术**:讨论涉及的系统组件和防御措施。 引用使用:引用讨论了特权句柄,如PROCESS_ALL_ACCESS,并提到如何访问句柄表。我可以在回答中引用它。 例如:"如引用所述,攻击者可以通过访问进程的句柄表来获取具有高权限的句柄,如PROCESS_ALL_ACCESS。" 其他引用和可能不直接相关,但提到文件系统体系结构,可能与对象管理相关,但我应优先。 最终回答: - 以清晰结构组织。 - 在结束时添加相关问题。 </think> ### 私有句柄表提权的原理、方法和相关技术 私有句柄表提权是一种Windows系统安全漏洞利用技术,攻击者通过访问和操纵进程的私有句柄表来获取更高权限(如SYSTEM权限)。每个Windows进程都有一个私有句柄表,该表存储了对内核对象(如进程、线程、文件)的句柄引用。如果攻击者能读取或修改这个表,就可以窃取或提升句柄的访问权限,从而执行未授权操作,例如控制其他进程或绕过安全机制。以下我将逐步解释原理、方法和相关技术,确保内容基于真实可靠的安全知识(如Windows内部机制),并参考了您提供的引用[^1]。 #### 1. **原理** 私有句柄表是Windows内核为每个进程维护的一个数据结构,包含句柄条目(handle entries),每个条目对应一个内核对象(如进程或文件)。句柄条目包括对象指针和访问掩码(access mask),后者定义了句柄的权限(如读、写、执行)。提权的核心原理是: - **访问权限提升**:攻击者通过漏洞获取目标进程句柄表的访问权,然后修改或复制高权限句柄(如`PROCESS_ALL_ACCESS`),该权限允许完全控制进程。例如,引用[^1]提到,攻击者可以扫描句柄表寻找特权句柄(如`PROCESS_CREATE_PROCESS`或`PROCESS_VM_WRITE`),这些句柄如果被滥用,就能注入代码或修改内存[^1]。 - **漏洞利用基础**:Windows句柄表默认是进程私有的,但内核漏洞(如缓冲区溢出或UAF)可能允许攻击者越权访问。句柄值本身是一个索引,计算公式大致为:$\text{handle} = \text{table\_base} + \text{index} \times \text{entry\_size}$。如果攻击者能泄露或计算这些地址,就能直接读写句柄表。 - **提权链条**:成功利用后,攻击者可能将普通用户权限提升到管理员或SYSTEM级别,例如通过窃取高权限进程的句柄来执行任意代码。 #### 2. **方法** 私有句柄表提权涉及多种技术方法,通常需要结合用户态和内核态漏洞。以下是常见方法(基于真实攻击案例): - **句柄表扫描与窃取**: - 攻击者使用内核驱动或漏洞(如CVE-2021-34527)注入代码,读取目标进程的句柄表。 - 通过扫描句柄条目,识别高权限句柄(如`PROCESS_ALL_ACCESS`),然后使用`DuplicateHandle` API复制该句柄到攻击者进程。这样,攻击者就获得了对目标对象的完全控制。 - 示例代码片段(简化概念): ```c // 代码:扫描进程句柄表并复制特权句柄 HANDLE hTargetProcess = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, targetPid); DWORD handleCount; GetProcessHandleCount(hTargetProcess, &handleCount); for (int i = 0; i < handleCount; i++) { HANDLE hHandle = (HANDLE)(tableBase + i * sizeof(HANDLE_ENTRY)); if (GetHandleAccess(hHandle) & PROCESS_ALL_ACCESS) { DuplicateHandle(hTargetProcess, hHandle, GetCurrentProcess(), &hStolenHandle, 0, FALSE, DUPLICATE_SAME_ACCESS); break; } } // 使用hStolenHandle执行提权操作,如写入内存或创建线程 ``` 此方法依赖漏洞获取句柄表地址,引用的实验展示了如何访问句柄表权限信息[^1]。 - **内核对象操纵**: - 利用内核池溢出或类型混淆漏洞修改句柄条目中的访问掩码。例如,将`PROCESS_VM_READ`提升为`PROCESS_VM_WRITE`,从而允许写入目标进程内存。 - 工具如WinDbg或自定义驱动可用于解析句柄表结构(`_HANDLE_TABLE`结构)。 - **用户态 API 滥用**: - 结合NtQuerySystemInformation或NtDuplicateObjectAPI,配合信息泄露漏洞,实现句柄表枚举。但现代Windows(如Win10+)已加强隔离,因此常需内核协助。 - **防御绕过**:方法包括禁用PatchGuard或使用Signed Drivers,但成功率取决于系统版本和配置。 #### 3. **相关技术** 私有句柄表提权涉及多个Windows内部组件和安全机制: - **对象管理器(Object Manager)**:Windows内核组件,管理所有内核对象。句柄表是对象管理器的一部分,提权攻击往往针对其弱点。引用提到的文件系统体系结构类似,使用插件式设计,但句柄表更直接相关内核对象访问[^3]。 - **访问控制机制**:如访问掩码(access mask),权限值如`0x1FFFFF`对应`PROCESS_ALL_ACCESS`。攻击者需理解这些位掩码:$\text{access\_mask} = \sum(\text{permission\_bits})$。 - **漏洞类别**: - 信息泄露漏洞:泄露句柄表地址(如通过NtQuerySystemInformation)。 - 内存破坏漏洞:如堆溢出,允许覆盖句柄条目。 - 逻辑漏洞:如不安全的句柄复制。 - **防御技术**: - 内核隔离(Kernel Patch Protection)和Control Flow Guard(CFG)可缓解攻击。 - 最佳实践:限制进程权限(如使用Mandatory Integrity Control)、审计句柄使用。 - **工具与框架**:常用工具包括Mimikatz(用于凭证窃取,可结合句柄操作)、WinDbg(内核调试),以及渗透测试框架如Metasploit。 #### 安全建议 私有句柄表提权是高危漏洞,常用于高级持续性威胁(APT)。防御措施包括: - 及时更新系统修补已知漏洞。 - 使用最小权限原则运行进程。 - 监控异常句柄活动(如Sysinternals Handle工具)。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值