Pwn2Own大賽之后，HP的0day防御計劃(Zero Day Initiative, ZDI) 并不要求研究者給我們提供相關攻擊利用。ZDI的分析師對每個提交的案例進行評估，可能也會挑選一些進行全面的攻擊利用。

[[114008]]

在內核級的漏洞(操作系統本身或者硬件驅動)中，有一項就是我們常說的’任意寫(write-what-where)’[1]。 為便于分析， 很有必要寫個基本的框架，對給定的’任意寫(write-what-where)’漏洞進行封裝，并驗證其對操作系統的利用。

要把任意的寫操作轉換為攻擊利用，需要三個基本的步驟， 我們將來逐一介紹。

禁用Windows訪問權限檢查的負載

Windows訪問控制系統的核心是nt!SeAccessCheck函數。它決定著我們是否有權訪問操作系統中的對象(文件，進程等等)。

我們將采用的手法，于1992年由Greg Hoglund[2]首次提及， 2006年由John Heasman改進使用[3]。 這里將采用后者作為我們的起點。 

 

關鍵點在于高亮標注的內容。 如果是出于對用戶態進程的檢查，那么操作系統就會檢查確認是否具有正確的權限。 但如果是內核態的，就會永遠成功。 那么我們的目標，就是對Windows內核進行動態補丁，使其根據設置的AccessMode認為該訪問檢查調用是針對內核的。

在Windows XP上，這是非常簡單的。 如果我們在IDA里檢查內核(這里，我們處理的是ntkrnlpa.exe), 在SeAccessCheck實現中發現如下的代碼：

PAGE:005107BC xor ebx, ebx
PAGE:005107BE cmp [ebp+AccessMode], bl
PAGE:005107C1 jnz short loc_5107EC

由于在wdm.h中KernelMode被定義為0，我們只需將比較語句之后的條件跳轉Nop掉，這樣所有的訪問權限檢查就能順利通過了。

在XP之后的版本中，情況變得有點復雜了。Nt!SeAccessCheck函數調用了nt!SeAccessCheckWithHint, 后者正是我們要處理的。在后面我們收集用于攻擊的信息時，就會看到這如何使得問題復雜化了。在Windows8.1中，會看到沒有跳轉到內核函數，而是這樣的分支：

.text:00494613 loc_494613:
.text:00494613 cmp [ebp+AccessMode], al
.text:00494616 jz loc_494B28

僅需將條件跳轉替換為無條件跳轉，即可使得對SeAccessCheck的調用好像來自內核一樣。

現在目標清楚了，但還有一個小問題要解決。 我們要改寫的內存地址在只讀頁中。 我們可以更改頁的屬性設置，但有個更簡單的解決方法。在x86和x64處理器上，在控制寄存器0 (Control Register 0)上有個標志決定著管態下的代碼(即Ring 0代碼，我們的攻擊利用代碼)是否在乎內存的只讀狀態。 引用Barnaby Jack[4]的話：

禁用CR0中的寫保護位。

執行代碼和內存改寫。

再恢復寫保護位。

到這里，我們實際的攻擊利用核心代碼如下所示： 

 

我們對寫保護位的處理還有一個問題。我們要將攻擊利用和處理器進行關聯，確保我們始終處于設定的處理器的核心上。 我們對寫保護位的處理似乎是非必須的， 但在更復雜的，要求我們禁用SMEP(稍后介紹)的攻擊利用中，這著實是個事。 無論哪種方式，都可以的，我們要做的，就是一個簡單的調用：

1SetProcessAffinityMask(GetCurrentProcess(), (DWORD_PTR)1);

此時，你會注意到在攻擊代碼中，我們實際上并不知道具體的補丁信息。該攻擊代碼僅是獲取我們提供的信息，然后應用它。我們將在實際的漏洞研究中提供這些信息。#p#

攻擊：將控制轉給攻擊代碼

我們有了讓代碼在Ring 0運行的條件了。 現在需要兩件事來使其運行：關于操作系統配置的信息，以及當處理器運行在管態時如何將控制權轉移給我們的代碼。

由于最初是想處理’任意寫(write-what-where)’問題， 這里我們將改寫HalDispatchTable中的一個函數。 該方法，在2007年由Ruben Santamarta[5]提及， 允許我們將執行流轉向我們的攻擊利用代碼。

我們將攔截處理的是hal!HalQuerySystemInformation函數。該函數由未文檔化的NtQueryIntervalProfile[5][6]函數調用，而且調用函數也不常用。 要理解它為啥很重要，我們就需要詳細的談下windows中的內存布局。

Windows將內存劃分為兩個大區間：內核態的內存空間在MmUserProbeAddress之上， 其下是用戶態的內存空間。 內核態的內存是所有進程共用的(雖然進程代碼無法訪問這些空間)，而用戶態的內存空間是因進程而異的。由于我們的攻擊利用代碼要運行在用戶進程空間中，而我們卻在掛鉤一個內核函數指針， 如果其他進程調用了NtQueryIntervalProfile，很可能就會導致操作系統的崩潰。 因此，我們攻擊利用的第一步就是恢復原始的函數指針。 

 

在我們之前的代碼里，你可以看到我們依賴額外的信息來確定函數指針入口所在，以及原始值。

現在，我們實際的攻擊利用觸發函數如下所示： 

 

為了靈活性，我們的WriteWhatWhere()函數原型也包括了地址的原始值。最后一步就是找到利用點和攻擊利用掛鉤的地址。#p#

研究：確定操作系統的配置

這里，我們假設進行本地提權。我們可以在系統上以某用戶權限執行任意代碼， 最終的目標是取得對系統的完全控制權。 在對內核漏洞的遠程攻擊中，確定操作系統的配置會更復雜。

已經確定需要知道如下的信息：

1) nt!HalDispatchTable的地址

2) hal!HaliQuerySystemInformation的地址

3) nt!SeAccessCheck 或者相關函數中要打補丁的代碼的地址

4) 要補丁的值

此外，我們也需要查找原始的值，以便我們恢復原始函數功能，進行不同的利用。畢竟，一旦我們完成了所需做的，干嘛還把門敞著呢?

我們需要知道兩個內核模塊的基址——硬件抽象層(HAL)和NT內核自身。為了獲取這些，我們還需要一個未文檔化的函數——NtQuerySystemInformation[6][7]。 因為我們需要知道兩個函數，我們將提前創建函數原型，并從NTDLL中直接加載它們： 

 

下一步就是確定所使用模塊的版本信息，以及它們在內存中的實際位置。利用NtQuerySystemInformation獲取加載的模塊，然后遍歷查詢所需的模塊名稱。 

 

下一步，在大多數情況是很壞的主意，但在這里不是。使用LoadLibraryEx已經過時的特性， 加載我們找到的模塊的拷貝(duplicate copies)。 

 

設置了這個標志， 我們就不會加載任何引用的模塊， 不執行任何的代碼， 但仍然可以使用GetProcAddress()來搜尋模塊。這正是我們想要的， 因為我們要把這些加載的模塊當作我們的源碼，來查詢在實際運行的內核代碼中所需的。

此時，我們已經具備了查找偏移所需的一切。有了拷貝的內核模塊的基址，系統的實際基址， 所以我們可以將拷貝中的相對虛擬地址(RVA)轉換為實際的系統地址。同時我們又擁有對拷貝代碼的讀取權，所以可以掃描代碼查詢所需的函數。 所剩的最后一件事，就是一個windows調用，用GetVersionEx()來決定運行的windows的版本。

有些很容易， 因為地址已經導出了： 

 

但我們所需的大部分，還是要通過搜索獲取。要搜索的兩個函數，其中hal!HaliQuerySystemInformation沒有導出符號， 另一個是nt!SeAccessCheck或者它直接調用的函數。

再看最后一個例子，來看看是如何處理導出函數和那些完全私有函數的。首先是nt!SeAccessCheck: 

 

然后看一下將要進行補丁處理的nt!SeAccessCheckWithHint: 

 

這里，兩個函數看上去是相鄰的， 但我們還是要使用公開的函數來跟蹤對這些內部函數的引用，然后據此確定我們的補丁位置。 代碼如下所示： 

 

這里的PatternScan函數是一個簡單的輔助處理，根據給定的指針、掃描的大小范圍，要掃描的模式及其大小，來查找模式匹配的起始點(如果沒有找到就是NULL)。

在上面的代碼中，首先搜索到nt!SeAccessCheckWithHint的相對跳轉，并獲取到偏移。

將其用于計算我們的拷貝模塊中nt!SeAccessCheckWithHint的實際起始位置，然后掃描查找我們要替換的條件分支的模式部分。 一旦定位成功， 就可以確定它的實際地址——首先將其轉換為相對虛擬地址(RVA)，然后根據實際加載的內核映像進行重定位。最后，相應的替換值還是依賴于具體的操作系統版本的。這里對JZ(0x0f 0×84)的替換是NOP(0×90)和JMP(0xe9)。

通過從拷貝的系統模塊中收集所需信息，對多個不同版本的Windows操作系統的處理都可以放在同一個框架下進行。 通過在目標函數中搜索有關模式， 只要不是我們要查找的函數發生了變化，其他的我們都可以有效的應對。#p#

最后的麻煩

目前我們所做的一切都可以正常運行，直到Windows 8, 更確切的說，是NT6.2內核。為方便起見，我們將實際的攻擊利用代碼運行在用戶態中。

在Ivy-Bridge架構中，Intel引入了一種叫做管態執行保護(Supervisor Mode Execute Protection, SMEP)[9]的功能。如果開啟了此項功能，當處理器在管態模式下，我們試圖執行用戶態地址空間中的指令時，處理器就會出錯。這樣將控制權從內核中攔截的函數指針轉換給我們的代碼時，就會發生異常。Windows在Windows8/Server 2012中支持SMEP，而且在支持的處理器中是默認開啟的。要解決這個問題，我們要么把攻擊利用代碼移到內核空間中(這在NT6.2中也比較難)， 要么就是禁用SMEP[11][12]。

最后存在的問題出現在Windows 8.1中。 要獲取Windows 8.1的真正版本號， 需要額外的處理，根據MSDN[13]： 

 

包含了這個，就能正確的檢測Windows 8.1了，在確定偏移時適當的調整一下我們的搜索參數即可。

結束語

當然了，這里有缺少的部分。利用框架來驗證攻擊利用是很有幫助的，我們還需要一個‘任意寫(write-what-where)’的案例來對對此進行驗證。

我們內部就是在使用該框架在驗證那些漏洞，如果你有啥新的發現，可以通過http://www.zerodayinitiative.com/提交給我們(有沒有攻擊負載都可以)。期待你的消息。

原文：http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Verifying-Windows-Kernel-Vulnerabilities/ba-p/6252649#.UyZi2T-Sy0f

注解

[1] 我對此能找到的最早使用是在Gerardo Richarte的論文“About Exploits Writing(GCON 1, 2002)”他將其劃分為“將任意的內容寫到某處”(write-anything-somewhere)和“將任意的內容寫到任意地方”(write-anything-anywhere)。這里，我們的“任意寫”(write-what-where)是指“將任意內容寫到任意地方”(write-anything-anywhere)。

[2] Greg Hoglund, “A *REAL* NT Rootkit, patching the NT Kernel” (Phrack 55, 1999)

[3] John Heasman, “Implementing and Detecting an ACPI BIOS Rootkit” (Black Hat Europe, 2006)

[4] Barnaby Jack, “Remote Windows Kernel Exploitation – Step In To the Ring 0” (Black Hat USA, 2005) [White Paper]

[5] Ruben Santamarta, “Exploiting Common Flaws in Drivers” (2007)

[6] Windows NT/2000 Natvie API Reference (Gary Nebbett, 2000) 雖然沒有囊括較新的Windows 操作系統版本，但它對內部Windows API函數和結構仍然是一份很棒的參考

[7] Alex Ionescu, “I Got 99 Problems But a Kernel Pointer Ain’t One” (RECon, 2013)

[8] Raymond Chen, “LoadLibraryEx(DONT_RESOLVE_DLL_REFERENCES) is fundamentally flawed” (The Old New Thing)

[9] Varghese George, Tom Piazza, and Hong Jiang, “Intel Next Generation Microarchitecture Codename Ivy Bridge” (IDF, 2011)

[10] Ken Johnson and Matt Miller, “Exploit Mitigation Improvements in Windows 8” (Black Hat USA, 2012)

[11] Artem Shishkin, “Intel SMEP overview and partial bypass on Windows 8” (Positive Research Center)

[12] Artem Shisken and Ilya Smit, “Bypassing Intel SMEP on Windows 8 x64 using Return-oriented Programming” (Positive Research Center)

[13] MSDN, “Operating system version changes in Windows 8.1 and Windows Server 2012 R2”

參考讀物

Enrico Perla and Massimiliano Oldani, A Guide to Kernel Exploitation: Attacking the Core, (Syngress, 2010)

bugcheck and skape, “Kernel-mode Payloads on Windows”, (Uninformed Volume 3, 2006)

skape and Skywing, “A Catalog of Windows Local Kernel-mode Backdoor Techniques”, (Uninformed Volume 8, 2007)

mxatone, “Analyzing local privilege escalations in win32k”, (Uninformed Volume 10, 2008)