中断门提权操作

最新推荐文章于 2022-03-05 19:44:18 发布
转载 最新推荐文章于 2022-03-05 19:44:18 发布 · 360 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:http://blog.51cto.com/haidragon/2131217

中断门在idt表中 因此构造一个函数 把函数地址给它 然后产生一个中断 就实现了提权
1。查看

nt!DbgBreakPointWithStatus+0x4:
83eb2110 cc              int     3
kd> r idtr
idtr=80b95400

2.查看表

kd> dq 80b95400 L30
80b95400  83e78e00`00085fc0 83e78e00`00086150
80b95410  00008500`00580000 83e7ee00`000865c0
80b95420  83e7ee00`00086748 83e78e00`000868a8
80b95430  83e78e00`00086a1c 83e78e00`00087018
80b95440  00008500`00500000 83e78e00`00087478
80b95450  83e78e00`0008759c 83e78e00`000876dc
80b95460  83e78e00`0008793c 83e78e00`00087c2c
80b95470  83e78e00`000882fc 83e78e00`000886b0
80b95480  83e78e00`000887d4 83e78e00`00088914
80b95490  00008500`00a00000 83e78e00`00088a80
80b954a0  83e78e00`000886b0 83e78e00`000886b0
80b954b0  83e78e00`000886b0 83e78e00`000886b0
80b954c0  83e78e00`000886b0 83e78e00`000886b0
80b954d0  83e78e00`000886b0 83e78e00`000886b0
80b954e0  83e78e00`000886b0 83e78e00`000886b0
80b954f0  83e78e00`000886b0 83e18e00`0008aaf8
80b95500  00000000`00080000 00000000`00080000
80b95510  00000000`00080000 00000000`00080000
80b95520  00000000`00080000 00000000`00080000
80b95530  00000000`00080000 00000000`00080000
80b95540  00000000`00080000 00000000`00080000
80b95550  83e7ee00`0008563a 83e7ee00`000857c0
80b95560  83e7ee00`000858fc 83e7ee00`00086498
80b95570  83e7ee00`00084fee 83e78e00`000886b0

修改地址

eq 80b95500 0044ee000008f370 ( 0044ee000008f370 解释 :由门描述符 得知 前4位与最后4位和为函数地址这里是0044f370 ee00代表中断门 0008 代表代码(cs)段选择子)

kd> eq 80b95500  0044ee00`0008f370
kd> dq 80b95400 L30
80b95400  83e78e00`00085fc0 83e78e00`00086150
80b95410  00008500`00580000 83e7ee00`000865c0
80b95420  83e7ee00`00086748 83e78e00`000868a8
80b95430  83e78e00`00086a1c 83e78e00`00087018
80b95440  00008500`00500000 83e78e00`00087478
80b95450  83e78e00`0008759c 83e78e00`000876dc
80b95460  83e78e00`0008793c 83e78e00`00087c2c
80b95470  83e78e00`000882fc 83e78e00`000886b0
80b95480  83e78e00`000887d4 83e78e00`00088914
80b95490  00008500`00a00000 83e78e00`00088a80
80b954a0  83e78e00`000886b0 83e78e00`000886b0
80b954b0  83e78e00`000886b0 83e78e00`000886b0
80b954c0  83e78e00`000886b0 83e78e00`000886b0
80b954d0  83e78e00`000886b0 83e78e00`000886b0
80b954e0  83e78e00`000886b0 83e78e00`000886b0
80b954f0  83e78e00`000886b0 83e18e00`0008aaf8
80b95500  0044ee00`0008f370 00000000`00080000
80b95510  00000000`00080000 00000000`00080000
80b95520  00000000`00080000 00000000`00080000
80b95530  00000000`00080000 00000000`00080000
80b95540  00000000`00080000 00000000`00080000
80b95550  83e7ee00`0008563a 83e7ee00`000857c0
80b95560  83e7ee00`000858fc 83e7ee00`00086498
80b95570  83e7ee00`00084fee 83e78e00`000886b0

运行
中断门提权操作
注意点 虚拟机修改成单核 (不然可能出错)
中断门提权操作
测试程序去掉随机基址
源码 

#include <stdio.h>

int g_high2G; // 在中断门中读取高2G内存保存进来。
int g_eflagsBefore; // 保存进入中断门前的 EFLAGS 寄存器。
int g_eflagsAfter; // 保存进入中断门里的 EFLAGS 寄存器。
int g_eax; // 待会在中断门里要用到 eax ,先把旧的保存到这里。

__declspec(naked) void func() {
    __asm {
        /*
        此时栈结构:
        | eip3 | <- esp0
        | cs3  |
        |eflags|
        | esp3 |
        | ss3  |
        */
        mov g_eax, eax
        // 保存当前 eflags
        pushfd
        pop g_eflagsAfter
        // 保存原始 eflags
        mov eax, [esp + 0x08]
        mov g_eflagsBefore, eax
        // 读取 xxxx 处的值(找个空位)
        mov eax, ds:[0x80b95500]
        mov g_high2G, eax
        // 恢复 eax
        mov eax, g_eax

        // 中断门返回
        iretd
    }
}
int main(int argc, char* argv[])
{
    //func();  //044f370
    __asm {
        // 构造的中断门描述符安装在 IDT[32] 这个位置。 
        int 0x20;    
    }
    printf("0x8003f500: %08x\n", g_high2G);
    printf("进入中断门前的 EFLAGS = %08x\n", g_eflagsBefore);
    printf("进入中断门后的 EFLAGS = %08x\n", g_eflagsAfter);
    getchar();
    return 0;
}

转载于:https://blog.51cto.com/haidragon/2131217

Rank92
关注
Windows内核之中断门
Appleteachers的博客
05-04 393
Windows内核之中断门 前言 在平时三环程序下的开发中,都会用到断点,而这个断点其实就是与中断门有关联的。 1.中断门介绍 在三环程序开发中,编译器进行断点之后反汇编可以查看到,断点反汇编的形式就是 int 3。如下图,在OD中查看,这就是一个断点。 int 0x3; 其实就是查找的IDT表中,从0开始,索引为3的位置,继续看下图,通过windbg查看到int 3的段描述符。 INT段描述符对应的分解图如下: 构造中断门的高32位中的低16位的值是固定的,也就是ee00 而offset
Windows x64中断门 R3调用R0函数
deadpoolwilson12的博客
04-26 2625
Windows X64利用中断门,应用层调用内核层函数
使用中断门
weixin_34210740的博客
03-05 133
注意返回时得使用iretd。通过sidt取得idtr,找到里面的基址和limit。遍历所有的表项,找到一个p位没有置位的,添加一个调用门。和使用call gate没什么大差别。 看了下,我机器里的第一个空白项是0x20,就懒得写和ring3通信的东西了。 ring3:#include &lt;stdio.h&gt;int main(){    __asm int 0x20    return 1;...
1_中断
leibso的博客
10-22 276
1 使用pchunter查看系统中断表(中断描述符表) 1.1 那些中断处理地址内核高2GB ,所以中断处理环境坑定在0环 利用分析: 那我们把自己得处理函数放在这里面,那经过这个表调用就能获得高限; 注意: 代码 应该把随机基址关闭,并且使用release版本,这样地址稳定一些,debug 即使不开随机基址,可能运行中 子函数的地址会因为重构(当你改变内容的时候,可能编译器判...
中断门实验(一)打印任意地址(中断
weixin_46625454的博客
11-15 844
idt是中断描述表,idt表包含了三种描述符:任务门,中断门,以及陷阱门 本文是通过修改idt表中的0x20号中断,增加了自己的中断门 每一个idt表项中的 前2个字节+后2个字节(Offset31..16+Offset15..0=EIP)这个地址是当限符合以后跳转到这个地址执行。 限符合: 这里举一个例子 : mov eax, dword ptr ds : [0x8003f500] (1.找出选择子->2.查找IDT或者GDT表->3.找出描述符->4.根据描述...
保护模式----中断门
Harlan的博客
09-01 855
  #include&lt;stdio.h&gt; #include&lt;windows.h&gt; DWORD dwH2GValue; DWORD g_eax; DWORD g_eflags; DWORD g_eflagsBefore; void __declspec(naked) GetH2GValue() { __asm { mov g_eax,...
windows调用门的与非解析
最新发布
05-31
</think>### Windows调用与非原理及解析方法 #### 1. **调用门基础结构** 调用门(Call Gate)是Intel x86架构中用于实现特切换的机制,通过全局描述符表(GDT)或局部描述符表(LDT)中的门描述符...
详细结构操作libxml.doc
10-28
根据供的文档信息,我们可以深入解析该代码片段以及其背后的逻辑,从中炼出关于使用 libxml 进行 XML 文件解析和节点操作的相关知识点。 ### 标题解析:详细结构操作libxml.doc 此标题表明该文档将详细介绍...
7、代码间的跳转(跨段跳转)--Windows内核学习笔记
Windows内核学习笔记
01-18 640
1、短调用 –指令格式:CALL 立即数/寄存器/内存 –CALL指令的作用:指令执行之前,先把下一行指令的地址,压入堆栈中,相当于PUSH进去,PUSH完成后会把后边的值写入到EIP中,所以这个指令执行后的效果如下图: –通常一个函数执行完毕后,会用RET指令进行返回 ,RET指令相当于POP EIP,将返回值的地址弹到EIP中,然后ESP加4 2、长调用(跨段不) –指令格式:CALL CS:EIP(EIP是废弃的,只是为了保证语法的兼容) –当一个CALL后面跟了六个字节,那这个CALL就是一个
11-中断门
进击的小学生
09-24 5794
除了使用调用门进行,本篇的中断门显的更加重要。因为在 Windows 中,大量使用了中断门中断门的结构| 7 | 6 | 5 | 4 | 3 | 2 | 1 | 0 | 字节 |76543210|76543210|7 65 4 3210|76543210|76543210|76543210|76543210
中断门
weixin_30938149的博客
09-23 78
#include <windows.h> #include <stdio.h> // 存放idtr寄存器的值 char sz[6]; // 声明一个全局变量 存放IDT表中的第二项的值 LONGLONG IdtSecond; // 用于间接获取IDT表第二项的地址 DWORD* MyFirst; // 存放IDT表第二项的地址 DWORD...
Windows内核实验001 中断
鬼手的博客
11-12 1437
文章目录实验环境内核IDT的基本知识什么是中断什么是IDT表在PC Hunter中查看IDT表中断的基本原理写一个三环的小程序修改IDT表测试 本篇文章基于周壑老师的讲解,感谢周壑老师。 实验环境 windbg双机调试环境 VS开发环境 32位 WIN7 虚拟机 内核 内核态的程序拥有一切限,在Windows操作系统上,没有任何其他软件可以限制内核态的程序。如果让一个用户层的...
系统调用原理--特中断
qq_43701555的博客
08-17 1110
CPU可以在不同的特别下执行指令,通常有两种特别,用户模式(用户态)、内核模式(内核态)。 为什么要有特的出现? 有了多种特模式的存在,操作系统就可以让不同的代码运行在不同的模式上,以达到限制他们利,高稳定性和安全性的目的。 程序运行在用户模式和内核模式下有什么区别呢? 普通应用程序运行在用户态的模式下。诸多操作将受到限制,包括访问硬件资源设备、开关中断、改变特模式等。 一般来说,高特是可以降低至低特,但是低特不能升自己为高特中断 系统调用是运行在内核态,
(5) [保护模式]中断门
qq_50332504的博客
03-05 951
除了调用门可以之外,中断门也同样可以 中断门描述符和调用门描述符极其相似 如何手动构造一个中断门进行操作
对双机调试的探索
kingswb的博客
04-19 3058
标 题: 对双机调试的探索 作 者: farmtest 时 间: 2014-01-21,12:26:15 链 接: http://bbs.pediy.com/showthread.php?t=183925 最近学习游戏保护,发现VM+WINDBG双机调试不能使用,以游戏保护*P为例,经过论坛搜索,发现有以下几点动了手脚: 1.  kdDebuggerEnabled变量不停的清零,清零
软件调试之软件断点
maomao171314的专栏
11-17 2185
软件断点 INT 3 指令,即通常所说的“软件断点”,一条X86系列处理器专门用于支持调试的指令。该指令目的是使CPU中断(break)到调试器,供调试器对执行现场进行各种分析。 INT 3 Visual C++ 嵌入内联汇编指令,示例如下: VS没有下断点,程序会自动断在INT 3 指令所在的位置。这正是通过注入代码手工设置断点的方法。 反汇编窗口如下: 内存地址002719CE 处有INT 3 指令。 打开寄存器窗口,EIP=002719CE INT 3属于陷阱异..
8-跨段调用
进击的小学生
10-03 3380
上一篇文章使用 jmp far 指令实现代码跨段,本质上就是改变 cs 段寄存器。但是我们发现,无论如何,jmp far 也无法更改 CPL。即使你的 RPL = 0,也是徒劳。 有没有办法更改 cs 段寄存器,同时也更改 CPL?答案是肯定的。本篇到了调用门只是其中的一种方法,还有其它方法,后文会陆续介绍。 1. 在 3 环能读取高 2G 内存吗? 回答这个问题最笨的方法就是做一个实...
调用操作
weixin_34313182的博客
06-21 296
1。调用门在gdt表中 在dgt表中注册一个回调函数 然后调用 中断相同操作 nt!DbgBreakPointWithStatus+0x4: 83eb2110 cc int 3 kd> r gdtr gdtr=80b95000 kd> dq 80b95000 L30 80b95000 00000000`00000000 00cf9b00`0...
Windows内核调试器原理浅析
峥嵘岁月
02-04 3732
文摘出处:http://www.xfocus.net/articles/200412/765.html创建时间:2004-12-23文章属性:原创文章交:SoBeIt (kinsephi_at_hotmail.com)Windows内核调试器原理浅析                                                                    
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值