中断门提权操作

最新推荐文章于 2022-03-05 19:44:18 发布
转载 最新推荐文章于 2022-03-05 19:44:18 发布 · 360 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:http://blog.51cto.com/haidragon/2131217

中断门在idt表中 因此构造一个函数 把函数地址给它 然后产生一个中断 就实现了提权
1。查看

nt!DbgBreakPointWithStatus+0x4:
83eb2110 cc              int     3
kd> r idtr
idtr=80b95400

2.查看表

kd> dq 80b95400 L30
80b95400  83e78e00`00085fc0 83e78e00`00086150
80b95410  00008500`00580000 83e7ee00`000865c0
80b95420  83e7ee00`00086748 83e78e00`000868a8
80b95430  83e78e00`00086a1c 83e78e00`00087018
80b95440  00008500`00500000 83e78e00`00087478
80b95450  83e78e00`0008759c 83e78e00`000876dc
80b95460  83e78e00`0008793c 83e78e00`00087c2c
80b95470  83e78e00`000882fc 83e78e00`000886b0
80b95480  83e78e00`000887d4 83e78e00`00088914
80b95490  00008500`00a00000 83e78e00`00088a80
80b954a0  83e78e00`000886b0 83e78e00`000886b0
80b954b0  83e78e00`000886b0 83e78e00`000886b0
80b954c0  83e78e00`000886b0 83e78e00`000886b0
80b954d0  83e78e00`000886b0 83e78e00`000886b0
80b954e0  83e78e00`000886b0 83e78e00`000886b0
80b954f0  83e78e00`000886b0 83e18e00`0008aaf8
80b95500  00000000`00080000 00000000`00080000
80b95510  00000000`00080000 00000000`00080000
80b95520  00000000`00080000 00000000`00080000
80b95530  00000000`00080000 00000000`00080000
80b95540  00000000`00080000 00000000`00080000
80b95550  83e7ee00`0008563a 83e7ee00`000857c0
80b95560  83e7ee00`000858fc 83e7ee00`00086498
80b95570  83e7ee00`00084fee 83e78e00`000886b0

修改地址

eq 80b95500 0044ee000008f370 ( 0044ee000008f370 解释 :由门描述符 得知 前4位与最后4位和为函数地址这里是0044f370 ee00代表中断门 0008 代表代码(cs)段选择子)

kd> eq 80b95500  0044ee00`0008f370
kd> dq 80b95400 L30
80b95400  83e78e00`00085fc0 83e78e00`00086150
80b95410  00008500`00580000 83e7ee00`000865c0
80b95420  83e7ee00`00086748 83e78e00`000868a8
80b95430  83e78e00`00086a1c 83e78e00`00087018
80b95440  00008500`00500000 83e78e00`00087478
80b95450  83e78e00`0008759c 83e78e00`000876dc
80b95460  83e78e00`0008793c 83e78e00`00087c2c
80b95470  83e78e00`000882fc 83e78e00`000886b0
80b95480  83e78e00`000887d4 83e78e00`00088914
80b95490  00008500`00a00000 83e78e00`00088a80
80b954a0  83e78e00`000886b0 83e78e00`000886b0
80b954b0  83e78e00`000886b0 83e78e00`000886b0
80b954c0  83e78e00`000886b0 83e78e00`000886b0
80b954d0  83e78e00`000886b0 83e78e00`000886b0
80b954e0  83e78e00`000886b0 83e78e00`000886b0
80b954f0  83e78e00`000886b0 83e18e00`0008aaf8
80b95500  0044ee00`0008f370 00000000`00080000
80b95510  00000000`00080000 00000000`00080000
80b95520  00000000`00080000 00000000`00080000
80b95530  00000000`00080000 00000000`00080000
80b95540  00000000`00080000 00000000`00080000
80b95550  83e7ee00`0008563a 83e7ee00`000857c0
80b95560  83e7ee00`000858fc 83e7ee00`00086498
80b95570  83e7ee00`00084fee 83e78e00`000886b0

运行
中断门提权操作
注意点 虚拟机修改成单核 (不然可能出错)
中断门提权操作
测试程序去掉随机基址
源码 

#include <stdio.h>

int g_high2G; // 在中断门中读取高2G内存保存进来。
int g_eflagsBefore; // 保存进入中断门前的 EFLAGS 寄存器。
int g_eflagsAfter; // 保存进入中断门里的 EFLAGS 寄存器。
int g_eax; // 待会在中断门里要用到 eax ,先把旧的保存到这里。

__declspec(naked) void func() {
    __asm {
        /*
        此时栈结构:
        | eip3 | <- esp0
        | cs3  |
        |eflags|
        | esp3 |
        | ss3  |
        */
        mov g_eax, eax
        // 保存当前 eflags
        pushfd
        pop g_eflagsAfter
        // 保存原始 eflags
        mov eax, [esp + 0x08]
        mov g_eflagsBefore, eax
        // 读取 xxxx 处的值(找个空位)
        mov eax, ds:[0x80b95500]
        mov g_high2G, eax
        // 恢复 eax
        mov eax, g_eax

        // 中断门返回
        iretd
    }
}
int main(int argc, char* argv[])
{
    //func();  //044f370
    __asm {
        // 构造的中断门描述符安装在 IDT[32] 这个位置。 
        int 0x20;    
    }
    printf("0x8003f500: %08x\n", g_high2G);
    printf("进入中断门前的 EFLAGS = %08x\n", g_eflagsBefore);
    printf("进入中断门后的 EFLAGS = %08x\n", g_eflagsAfter);
    getchar();
    return 0;
}

转载于:https://blog.51cto.com/haidragon/2131217

Rank92
关注
Windows内核之中断门
Appleteachers的博客
05-04 393
Windows内核之中断门 前言 在平时三环程序下的开发中,都会用到断点,而这个断点其实就是与中断门有关联的。 1.中断门介绍 在三环程序开发中,编译器进行断点之后反汇编可以查看到,断点反汇编的形式就是 int 3。如下图,在OD中查看,这就是一个断点。 int 0x3; 其实就是查找的IDT表中,从0开始,索引为3的位置,继续看下图,通过windbg查看到int 3的段描述符。 INT段描述符对应的分解图如下: 构造中断门的高32位中的低16位的值是固定的,也就是ee00 而offset
Windows x64中断门 R3调用R0函数
deadpoolwilson12的博客
04-26 2627
Windows X64利用中断门,应用层调用内核层函数
使用中断门
weixin_34210740的博客
03-05 133
注意返回时得使用iretd。通过sidt取得idtr,找到里面的基址和limit。遍历所有的表项,找到一个p位没有置位的,添加一个调用门。和使用call gate没什么大差别。 看了下,我机器里的第一个空白项是0x20,就懒得写和ring3通信的东西了。 ring3:#include &lt;stdio.h&gt;int main(){    __asm int 0x20    return 1;...
1_中断
leibso的博客
10-22 276
1 使用pchunter查看系统中断表(中断描述符表) 1.1 那些中断处理地址内核高2GB ,所以中断处理环境坑定在0环 利用分析: 那我们把自己得处理函数放在这里面,那经过这个表调用就能获得高限; 注意: 代码 应该把随机基址关闭,并且使用release版本,这样地址稳定一些,debug 即使不开随机基址,可能运行中 子函数的地址会因为重构(当你改变内容的时候,可能编译器判...
中断门实验(一)打印任意地址(中断
weixin_46625454的博客
11-15 844
idt是中断描述表,idt表包含了三种描述符:任务门,中断门,以及陷阱门 本文是通过修改idt表中的0x20号中断,增加了自己的中断门 每一个idt表项中的 前2个字节+后2个字节(Offset31..16+Offset15..0=EIP)这个地址是当限符合以后跳转到这个地址执行。 限符合: 这里举一个例子 : mov eax, dword ptr ds : [0x8003f500] (1.找出选择子->2.查找IDT或者GDT表->3.找出描述符->4.根据描述...
保护模式----中断门
Harlan的博客
09-01 855
  #include&lt;stdio.h&gt; #include&lt;windows.h&gt; DWORD dwH2GValue; DWORD g_eax; DWORD g_eflags; DWORD g_eflagsBefore; void __declspec(naked) GetH2GValue() { __asm { mov g_eax,...
windows调用门的与非解析
最新发布
05-31
</think>### Windows调用与非原理及解析方法 #### 1. **调用门基础结构** 调用门(Call Gate)是Intel x86架构中用于实现特切换的机制,通过全局描述符表(GDT)或局部描述符表(LDT)中的门描述符...
详细结构操作libxml.doc
10-28
根据供的文档信息,我们可以深入解析该代码片段以及其背后的逻辑,从中炼出关于使用 libxml 进行 XML 文件解析和节点操作的相关知识点。 ### 标题解析:详细结构操作libxml.doc 此标题表明该文档将详细介绍...
7、代码间的跳转(跨段跳转)--Windows内核学习笔记
Windows内核学习笔记
01-18 640
1、短调用 –指令格式:CALL 立即数/寄存器/内存 –CALL指令的作用:指令执行之前,先把下一行指令的地址,压入堆栈中,相当于PUSH进去,PUSH完成后会把后边的值写入到EIP中,所以这个指令执行后的效果如下图: –通常一个函数执行完毕后,会用RET指令进行返回 ,RET指令相当于POP EIP,将返回值的地址弹到EIP中,然后ESP加4 2、长调用(跨段不) –指令格式:CALL CS:EIP(EIP是废弃的,只是为了保证语法的兼容) –当一个CALL后面跟了六个字节,那这个CALL就是一个
11-中断门
进击的小学生
09-24 5794
除了使用调用门进行,本篇的中断门显的更加重要。因为在 Windows 中,大量使用了中断门中断门的结构| 7 | 6 | 5 | 4 | 3 | 2 | 1 | 0 | 字节 |76543210|76543210|7 65 4 3210|76543210|76543210|76543210|76543210
中断门
weixin_30938149的博客
09-23 78
#include <windows.h> #include <stdio.h> // 存放idtr寄存器的值 char sz[6]; // 声明一个全局变量 存放IDT表中的第二项的值 LONGLONG IdtSecond; // 用于间接获取IDT表第二项的地址 DWORD* MyFirst; // 存放IDT表第二项的地址 DWORD...
Windows内核实验001 中断
鬼手的博客
11-12 1437
文章目录实验环境内核IDT的基本知识什么是中断什么是IDT表在PC Hunter中查看IDT表中断的基本原理写一个三环的小程序修改IDT表测试 本篇文章基于周壑老师的讲解,感谢周壑老师。 实验环境 windbg双机调试环境 VS开发环境 32位 WIN7 虚拟机 内核 内核态的程序拥有一切限,在Windows操作系统上,没有任何其他软件可以限制内核态的程序。如果让一个用户层的...
系统调用原理--特中断
qq_43701555的博客
08-17 1110
CPU可以在不同的特别下执行指令,通常有两种特别,用户模式(用户态)、内核模式(内核态)。 为什么要有特的出现? 有了多种特模式的存在,操作系统就可以让不同的代码运行在不同的模式上,以达到限制他们利,高稳定性和安全性的目的。 程序运行在用户模式和内核模式下有什么区别呢? 普通应用程序运行在用户态的模式下。诸多操作将受到限制,包括访问硬件资源设备、开关中断、改变特模式等。 一般来说,高特是可以降低至低特,但是低特不能升自己为高特中断 系统调用是运行在内核态,
(5) [保护模式]中断门
qq_50332504的博客
03-05 951
除了调用门可以之外,中断门也同样可以 中断门描述符和调用门描述符极其相似 如何手动构造一个中断门进行操作
对双机调试的探索
kingswb的博客
04-19 3058
标 题: 对双机调试的探索 作 者: farmtest 时 间: 2014-01-21,12:26:15 链 接: http://bbs.pediy.com/showthread.php?t=183925 最近学习游戏保护,发现VM+WINDBG双机调试不能使用,以游戏保护*P为例,经过论坛搜索,发现有以下几点动了手脚: 1.  kdDebuggerEnabled变量不停的清零,清零
软件调试之软件断点
maomao171314的专栏
11-17 2185
软件断点 INT 3 指令,即通常所说的“软件断点”,一条X86系列处理器专门用于支持调试的指令。该指令目的是使CPU中断(break)到调试器,供调试器对执行现场进行各种分析。 INT 3 Visual C++ 嵌入内联汇编指令,示例如下: VS没有下断点,程序会自动断在INT 3 指令所在的位置。这正是通过注入代码手工设置断点的方法。 反汇编窗口如下: 内存地址002719CE 处有INT 3 指令。 打开寄存器窗口,EIP=002719CE INT 3属于陷阱异..
8-跨段调用
进击的小学生
10-03 3380
上一篇文章使用 jmp far 指令实现代码跨段,本质上就是改变 cs 段寄存器。但是我们发现,无论如何,jmp far 也无法更改 CPL。即使你的 RPL = 0,也是徒劳。 有没有办法更改 cs 段寄存器,同时也更改 CPL?答案是肯定的。本篇到了调用门只是其中的一种方法,还有其它方法,后文会陆续介绍。 1. 在 3 环能读取高 2G 内存吗? 回答这个问题最笨的方法就是做一个实...
中断详解(二)——中断描述符、任务门、中断门、陷阱门
热门推荐
Windeal
03-24 1万+
什么是中断描述符表     中断描述符IDT表示一个系统表,它与中断或异常向量相联系。每一个中断或异常向量在这个系统表中有对应的中断或异常处理程序入口地址。中断描述符的每一项对应一个中断或异常向量,每个向量由8个字节组成。因此,最多需要256*8=2048字节来存放IDT。     在运行中断之前,必须初始化IDT(中断描述符表)。 任务门、中断门、陷阱门     IDT包
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值