首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 《0day:软件漏洞分析技术》
    3. 发新帖
[原创]《0day安全第二版》样章发布4:第23章 FUZZ驱动程序
发表于: 2011-2-26 23:07 16577

[原创]《0day安全第二版》样章发布4:第23章 FUZZ驱动程序

shineast 活跃值
4
2011-2-26 23:07
16577
第23章  FUZZ驱动程序 1
23.1  内核FUZZ思路 1
23.2  内核FUZZ工具介绍 3
23.3  内核FUZZ工具DIY 3
23.3.1  Fuzz对象、Fuzz策略、Fuzz项 3
23.3.2  IoControl MITM Fuzz 4
23.3.3  IoControl Driver Fuzz 4
23.3.4  MyIoControl Fuzzer界面 4
23.4  内核漏洞挖掘实战 4
23.4.1  超级巡警ASTDriver.sys本地提权漏洞 5
23.4.2  东方微点mp110013.sys本地提权漏洞 5
23.4.3  瑞星HookCont.sys驱动本地拒绝服务漏洞 5



23  FUZZ驱动程序
通过我们已经具备的内核漏洞知识和经验,若能挖出一两个内核漏洞,应该是很有成就感的事情。同时也能加深我们对内核程序的认识和理解。
23.1  内核FUZZ思路

前面21.3.2节中提到,漏洞挖掘有两种方式,一是工具挖掘,二是手工挖掘。无论哪种方式,首先都要有一个切入点,也就是内核Fuzz的思路。以下是几个比较常用的切入点:
内核API函数
内核API函数是提供给Ring3调用,在Ring0完成最终功能的函数。这些函数接收Ring3传入的参数,如果处理参数的过程存在问题的话,很有可能成为一个内核漏洞。这样的内核API函数有很多,例如SSDTShadow SSDT等。
Hook API的代码
目前有很多安全软件为了防御病毒木马,对很多内核API进行了Hook/Inline Hook。然而这些Hook内核API的代码也存在安全问题。如果对参数的处理不当或内部逻辑的错误,也很有可能出现内核漏洞。
网络协议处理的内核代码
有一些协议的处理是在SYSTEM进程中的,也就是在内核模块中处理的,可以通过网络协议Fuzz,构造畸形协议数据包,来挖掘这方面的漏洞。
IoControl
从已公布的漏洞来看,IoControl类型的漏洞是最多的,可以作为内核漏洞挖掘的重点方向。IoControl作为Ring0/Ring3缓冲区交互的重要方式,很有可能会出现参数处理不当的问题,或者内部逻辑甚至设计缺陷引发的问题。既然IoControl类型的内核漏洞如此多,那么如何挖掘这种类型的漏洞呢?
首先再来回顾下 21.1.5节中介绍的Ring3Ring0通讯的重要函数——DeviceIoControl函数。
BOOL DeviceIoControl(
  HANDLE hDevice,           //设备句柄
  DWORD dwIoControlCode,        //Io控制号
  LPVOID lpInBuffer,        //输入缓冲区指针
  DWORD nInBufferSize,          //输入缓冲区字节数
  LPVOID lpOutBuffer,           //输出缓冲区指针
  DWORD nOutBufferSize,         //输出缓冲区字节数
  LPDWORD lpBytesReturned,      //返回输出字节数
  LPOVERLAPPED lpOverlapped     //异步调用时指向的OVERLAPPED指针
);
该函数共有8个参数,hDevice是要通信的设备句柄;dwIoControlCodeIo控制号;lpInBuffer是输入缓冲区指针;nInBufferSize是输入缓冲区字节数;lpOutBuffer是输出缓冲区指针;nOutBufferSize是输出缓冲区字节数;lpBytesReturned是返回输出字节数;lpOverlapped是异步调用时指向的OVERLAPPED指针。
可以试想,正常情况下,DeviceIoControl函数的参数都是自己程序指定的,不会是畸形的参数,驱动中也主要考虑功能的实现,对于畸形参数和处理逻辑缺陷方面的安全问题不够重视。因此可以通过构造畸形参数来Fuzz驱动程序的处理是否存在漏洞。这种Fuzz称为“IoControl Fuzz”。
关于IoControl Fuzz,有2种方法:
。。。。。。(详见附件中的样章)

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费
支持
分享
最新回复 (7)
gdstcs
雪    币: 179
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2

什么时候出版啊。。
2011-2-26 23:14
0
StudyRush
雪    币: 678
活跃值: (101)
能力值: ( LV2,RANK:150 )
在线值:
发帖
回帖
粉丝
私信
3
又有样章出来,赞。心里也很纠结,很想看到全书。
2011-2-26 23:14
0
shineast
雪    币: 222
活跃值: (44)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
4
应该快了吧。五一之前,哈哈!
2011-2-27 00:01
0
广海混沌
雪    币: 220
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
嗯 能看到全书的话 还是很不错的。
2011-2-27 00:18
0
Matrix
雪    币: 190
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
驱动上的fuzz效果不是很好
参数要求比较严格,就很久前找到过za的一个bug,后来就没了
感觉逆向来的更快点
2011-3-18 17:25
0
caozhzh
雪    币: 121
活跃值: (68)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
内容**呀,很希望早日看到
2011-3-30 09:24
0
光棍节
雪    币: 92
活跃值: (154)
能力值: ( LV8,RANK:135 )
在线值:
发帖
回帖
粉丝
私信
8
具体什么时间出版啊,,,,期待~~
2011-4-26 08:28
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》