[原创]杀死那个名为360安全的软件

2024-3-28 10:04 9373

[原创]杀死那个名为360安全的软件

零加一

2024-3-28 10:04

9373

前言

出去练习了两年半，合同到期闲出了一段时间，重新发个文章活跃保号。先整点铺垫

背景

2023年底，闲来没事想起了xjun师傅2021年发的procexp驱动利用帖子时在群里讨论的，通过procexp驱动突破PPL后注入到csrss进程中，再通过csrss来结束那些个安全防护软件。于是在当时就有了如下成果：

文章链接（在职的时候发的）
https://mp.weixin.qq.com/s/AXjVjguHaWd3rHqYQ4wfmw
xjun师傅的PPL文章
https://www.52pojie.cn/thread-1546336-1-1.html
这些弄完之后，觉得通过hook csrss中的CsrCreateProcess来达到主动kill 指定进程并不优雅。于是对360的360FsFlt和360Hvm64进行了分析，并从中找到了他的防护缺陷。导致可以用简单的办法结束ZhuDongFangYu.exe和360try.exe等进程。

ObjectCallback的降权突破

在360FsFlt的回调中，存在一个白名单，而这个白名单为360安装目录下的exe，每当运行后都会记录对应的pid。

但是，当你想当然的去启动它的exe以此获得白名单时，你会发现启动的exe不能注入，不能写。所以他仍然还有手段禁止白名单被利用。不要灰心，在这个阶段我们知道了白名单可以不被降权。那么接下来的目的就是想办法获得一个内存修改的权限。

内存修改的康庄大道

在上面的启动白名单的exe获得的句柄权限是最高权限，但并没有操作的空间。显然是对api做了手脚，于是目光转到了晶核上，在360Hvm64中发现了这么个表

从下图可以发现，在调用NtWriteVirtualMemory会有校验

到这里可以确定，通过下图的部分exe中可以对白名单进行读写注入。

可以用来创建白名单进程的系统进程
\\SystemRoot\\System32\\Lsass.exe
\\SystemRoot\\System32\\Svchost.exe
\\SystemRoot\\System32\\Services.exe
\\SystemRoot\\System32\\Csrss.exe
\\SystemRoot\\System32\\Consent.exe

冲锋前的总结

通过分析，我们得到如下几个点

Obj的降权可以通过白名单绕过
白名单进程可以随便创建但不能做其他操作
在晶核的防护中允许了部分系统进程可以对白名单进程操作

那么我们的利用链就可以是

启动并注入晶核中的白名单（Lsass.exe、Svchost.exe、Services.exe、Csrss.exe、Consent.exe）程序，比如svchost。
通过svchost去启动并注入360安装目录下的exe，如360ShellPro.exe
再通过360ShellPro.exe对ZhuDongFangYu.exe或360try.exe之类的进程进行关闭
最后完成冲锋。

开冲

根据上面的一顿操作，得到下图的中的一坨

动图展示

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

#Windows #漏洞利用 #漏洞分析

收藏・33

点赞・23

打赏

最新回复 (17)
TkBinary 雪币： 2428 活跃值： (9250) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 390 粉丝 201 关注私信	TkBinary 5 2024-3-28 10:29 2 楼 0 360: 你个老六
Kaining 雪币： 382 活跃值： (2276) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 27 粉丝 9 关注私信	Kaining 2024-3-28 10:35 3 楼 0 还得是醒哥
wmsuper 雪币： 12623 活跃值： (14335) 能力值： ( LV13，RANK：400 ) 在线值：发帖 33 回帖 106 粉丝 317 关注私信	wmsuper 7 2024-3-28 10:41 4 楼 0 3*0：你们呐，总想搞个大新闻。最后于 2024-3-28 10:41 被wmsuper编辑，原因：
院士雪币： 2511 活跃值： (2790) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 146 粉丝 1 关注私信	院士 2024-3-28 12:43 5 楼 0 好强大。
小柯南雪币： 43 活跃值： (350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	小柯南 2024-3-28 13:56 6 楼 0 看傻了，怎么才有大佬一半的实力，文章都看不明白
syser 雪币： 2648 活跃值： (3753) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 232 粉丝 7 关注私信	syser 2024-3-28 15:44 7 楼 0 这种确实不好防
shuichon 雪币： 6149 活跃值： (2045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 239 粉丝 1 关注私信	shuichon 2024-3-28 15:55 8 楼 1 以彼之矛，攻彼之盾。优雅~
M0ch3n 雪币： 48 活跃值： (356) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	M0ch3n 2024-3-28 16:44 9 楼 0 优雅永不过时！！！
tgjarwl 雪币： 136 活跃值： (182) 能力值： ( LV12，RANK：490 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	tgjarwl 1 2024-3-28 17:19 10 楼 0 联网试试呢
wowocock 雪币： 405 活跃值： (1915) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 305 粉丝 19 关注私信	wowocock 1 2024-3-28 17:23 11 楼 1 不断网，联网测试看看。我记得注入SVCHOST就会弹框了。
零加一雪币： 2035 活跃值： (4920) 能力值： ( LV13，RANK：278 ) 在线值：发帖 6 回帖 29 粉丝 140 关注私信	零加一 3 2024-3-28 19:33 12 楼 0 说联网的，都知道联网会有什么情况发生
秋狝雪币： 19589 活跃值： (29262) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1599 粉丝 31 关注私信	秋狝 2024-3-29 14:04 13 楼 1 感谢分享
iamasbcx 雪币： 2812 活跃值： (2463) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 167 粉丝 6 关注私信	iamasbcx 2024-3-29 22:49 14 楼 0 感谢分享
网络游侠雪币： 9 活跃值： (939) 能力值： ( LV3，RANK：30 ) 在线值：发帖 20 回帖 976 粉丝 11 关注私信	网络游侠 2024-4-3 13:27 15 楼 3 360老驱动开新花了，早8.0就逆过360驱动，就存在白名单大法，以前在安博士的HS时代就这样干过，部分白进程可以读写内存甚至可以open被callback回调监控的进程，这样做主要是为了让系统进程某些功能去访问，不然有些进程会导致系统出问题，这个时候就可以利用，包括gameguard也存在SB的白名单，导致第三方EXE可以任意读取内存和关掉CRC代码段校验最后于 2024-4-3 13:32 被网络游侠编辑，原因：写错了
endzht 雪币： 237 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	endzht 2024-4-8 13:36 16 楼 0 tql
晴雯晴雯雪币： 6788 活跃值： (1592) 能力值： ( LV5，RANK：67 ) 在线值：发帖 2 回帖 42 粉丝 1 关注私信	晴雯晴雯 2024-4-12 12:39 17 楼 0 牛
hWillow 雪币： 27 活跃值： (284) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	hWillow 2024-4-29 15:45 18 楼 0 大受震撼
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

零加一

发帖

回帖

278

RANK

关注

私信

他的文章

[原创]杀死那个名为360安全的软件

[原创]【从0到1】-某系统漏洞挖掘之授权绕过到rce

[原创]【从0到1】-某系统漏洞挖掘之固件分析

记一次网关设备的pwn

[原创]我洗个澡就绕过了杀软的防护

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
TkBinary 雪币： 2428 活跃值： (9250) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 390 粉丝 201 关注私信	TkBinary 5 2024-3-28 10:29 2 楼 0 360: 你个老六
Kaining 雪币： 382 活跃值： (2276) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 27 粉丝 9 关注私信	Kaining 2024-3-28 10:35 3 楼 0 还得是醒哥
wmsuper 雪币： 12623 活跃值： (14335) 能力值： ( LV13，RANK：400 ) 在线值：发帖 33 回帖 106 粉丝 317 关注私信	wmsuper 7 2024-3-28 10:41 4 楼 0 3*0：你们呐，总想搞个大新闻。最后于 2024-3-28 10:41 被wmsuper编辑，原因：
院士雪币： 2511 活跃值： (2790) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 146 粉丝 1 关注私信	院士 2024-3-28 12:43 5 楼 0 好强大。
小柯南雪币： 43 活跃值： (350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	小柯南 2024-3-28 13:56 6 楼 0 看傻了，怎么才有大佬一半的实力，文章都看不明白
syser 雪币： 2648 活跃值： (3753) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 232 粉丝 7 关注私信	syser 2024-3-28 15:44 7 楼 0 这种确实不好防
shuichon 雪币： 6149 活跃值： (2045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 239 粉丝 1 关注私信	shuichon 2024-3-28 15:55 8 楼 1 以彼之矛，攻彼之盾。优雅~
M0ch3n 雪币： 48 活跃值： (356) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	M0ch3n 2024-3-28 16:44 9 楼 0 优雅永不过时！！！
tgjarwl 雪币： 136 活跃值： (182) 能力值： ( LV12，RANK：490 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	tgjarwl 1 2024-3-28 17:19 10 楼 0 联网试试呢
wowocock 雪币： 405 活跃值： (1915) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 305 粉丝 19 关注私信	wowocock 1 2024-3-28 17:23 11 楼 1 不断网，联网测试看看。我记得注入SVCHOST就会弹框了。
零加一雪币： 2035 活跃值： (4920) 能力值： ( LV13，RANK：278 ) 在线值：发帖 6 回帖 29 粉丝 140 关注私信	零加一 3 2024-3-28 19:33 12 楼 0 说联网的，都知道联网会有什么情况发生
秋狝雪币： 19589 活跃值： (29262) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1599 粉丝 31 关注私信	秋狝 2024-3-29 14:04 13 楼 1 感谢分享
iamasbcx 雪币： 2812 活跃值： (2463) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 167 粉丝 6 关注私信	iamasbcx 2024-3-29 22:49 14 楼 0 感谢分享
网络游侠雪币： 9 活跃值： (939) 能力值： ( LV3，RANK：30 ) 在线值：发帖 20 回帖 976 粉丝 11 关注私信	网络游侠 2024-4-3 13:27 15 楼 3 360老驱动开新花了，早8.0就逆过360驱动，就存在白名单大法，以前在安博士的HS时代就这样干过，部分白进程可以读写内存甚至可以open被callback回调监控的进程，这样做主要是为了让系统进程某些功能去访问，不然有些进程会导致系统出问题，这个时候就可以利用，包括gameguard也存在SB的白名单，导致第三方EXE可以任意读取内存和关掉CRC代码段校验最后于 2024-4-3 13:32 被网络游侠编辑，原因：写错了
endzht 雪币： 237 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	endzht 2024-4-8 13:36 16 楼 0 tql
晴雯晴雯雪币： 6788 活跃值： (1592) 能力值： ( LV5，RANK：67 ) 在线值：发帖 2 回帖 42 粉丝 1 关注私信	晴雯晴雯 2024-4-12 12:39 17 楼 0 牛
hWillow 雪币： 27 活跃值： (284) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	hWillow 2024-4-29 15:45 18 楼 0 大受震撼
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复