译者注：netfairy曾经在论坛上翻译过该系列的前八部分，时隔三年，原作者fuzzySecurity后来于16年底又更新了10篇内核漏洞利用相关的内容。本文翻译了第十部分，译毕始觉漏掉了第九部分，以后有时间的时候补上。
点击查看原文
本文同步于我的博客

欢迎来到本系列的第十幕，自上次一别已是三年匆匆。我们这次将来一场ring0之旅，一步一步迎接新的挑战！这一幕我们将看看Windows 7（没有SMEP&SMAP）上一个普通的内核栈溢出。我们的目标虽然是32位的但这一并不意味着可以变得简单，除却一些次要的变化，在64位机上该exploit也同样生效。

我们的目标驱动是一个非常出色的项目，它由@HackSysTeam完成，他们创建了一个demo驱动，该驱动内置了一些漏洞用于实践内核漏洞的利用，棒极了！让我们开始吧。

译者注：以上包含的文章如果未译，我日后会翻译。这几篇此前看过，都是很经典的干货。

作为第一步我想先简单的叙述调试环境的设置，这通常很痛苦。特别的，安装的目标使用Windows（这我知道，来吧！）。

首先通过上面的链接获取VirtualKD，解压然后安装target中的vminstall组件到待调试的VM。

完成后在宿主机（x86/x64）启动vmmon并重启VM。你可以看到类似这样的东西：

配置"Debugger path.."，让它指向你宿主机的WinDBG；VM重启时选择VirtualKD的boot选项，此时你可以看到它会自动attach到机器上。很简单&并不痛苦！

还差加载漏洞驱动程序。通过前面的链接获取OSR Driver Loader工具（你可能需要注册->任意邮箱）。打开OSR Loader工具，注册服务（你可能需要重启），完成以后，单击浏览，选择漏洞驱动程序并点击启动服务。如果一切顺利的话，你将会看到这样的画面：

如果你通过WinDBG连接到机器，使用"lm"命令就可以看到该驱动程序被成功加载：

也可以看看挂起IDA Pro到VirtualKD的向导。如果你没有IDA Pro，我建议你下载免费的版本，仅仅需要它的graph view。你可以手动重定向驱动基址(rebase)来保证和WinDBG中看到的一致（Edit->Segments->Rebase program）。这样一来，你可以可视化的看到当前正发生什么，哪些地址需要下断，在WinDBG中加以利用。

好，就如前面提到的，我们在本文将进行栈溢出挑战。HackSysTeam提供给了我们驱动的源代码，我们也可以看看相关的部分！

这里展示了含有漏洞的代码，同时也给出了解决的方案。RtlCopyMemory使用一个指向kernel buffer的指针，一个input buffer的指针以及一个指定拷贝字节数的整型数。显然这里有点故事，在有漏洞的版本中，buffer尺寸是基于input buffer的尺寸，而安全版本中尺寸被严格限制到了kernel buffer的大小。如果我们调用到该函数，传递一个尺寸大于kernel buffer的input buffer，就会发现一些端倪。

好，让我们看看IDA中的IrpDeviceIoCtlHandler表，这里驱动程序比较了输入的IOCTL码，找到识别它的例程。

有相当数量的IOCTL！转到图形的左侧可以看到下面的内容：

可以看到如果IOCTL码是0x222003，我们就会转入到TriggerStackOverflow函数的调用分支。花些时间来调查一下这一switch语句。最基本的，输入IOCTL通过比较大小来进行匹配，一路递减直到找到一个合法的码值或干脆命中最后的"Invalid IOCTL..."。

看看TriggerStackOverflow函数，我们或多或少可以看到在源码中发现的内容，注意到kernel buffer长度为0x800(2048)。

我们已掌握了所有线索，下面就尝试去调用该漏洞方法，传递给它一些数据。这是我在PowerShell中编织的模板代码：

非常棒，从调试器的输出中可以看到我们调用到了目标函数。显然我们没有发送足够多的数据来触发溢出。让我们试试发送一个0x900(2304)大小的buffer。

好吧，VM蓝屏了，经过一些辅助的运算我们可以找出到EIP精准的偏移（EBP也一样）。我把这留给读者作为练习（别忘了pattern_create）。让我们修改POC代码，再次出发溢出。

我们的代码在内核空间执行了，但是我们并不能为所欲为的执行任意shellcode。有非常多的内容值得我们尝试（例如，写一个ring3层shellcode stager），但我觉着目前最好还是做一个简单的提权攻击。

在Windows中所有的对象都有安全描述符，它们定义了在对象上谁可以执行哪些行为。有很多种tokens用于描述这些访问权限，但是"NT AUTHORITY\SYSTEM" token拥有最高权限。也就是说它可以在系统上的任何对象上执行任意行为（实际上，这非常复杂）。在最基础的层面，我们想让我们的shellcode可以做到：(1)找到当前进程的token(powershell)，(2)循环遍历进程列表直到找到一个系统进程(System Process)(PID 为4，这是个静态的系统进程PID)，(3)找到该进程的token，(4)用其值覆盖当前进程的token。

编写该shellcode有一点点长，你需要去查找一些静态的偏移量，我不会在这里详述。简单来说，可以查阅"x64 Kernel Privilege Escalation"一文，此外HackSysTeam驱动中也内置了一些payload示例。可以在下面看到通用的shellcode结构。

这一解决方案是可用的但唯独缺少了一个东西。当我们触发溢出并执行shellcode后我们会搞乱堆栈。我们希望shellcode可以补偿这一遗失以保证在复制了系统进程的token后，VM不会蓝屏。

对crash的调查揭示了我们实际上在退出TriggerStackOverflow函数时只是通过覆盖返回地址来获取EIP的控制。

让我们在该地址下个断点，给驱动发送一个小的buffer使得我们可以看到在正常执行时发生了些什么。

让我们看看栈长什么样。

很幸运，当我们做宝贵的覆盖时，这并不算太坏。当我们的shellcode执行后我们需要简单的模拟"pop ebp"和"ret 8"，这一执行流会重定向回HackSysExtremeVulnerableDriver+0x503d这一正确的地址。尽管它不是那么显而易见，我们也想清掉EAX，就好像该驱动函数返回了NTSTATUS->STATUS_SUCCESS(0x00000000)。

这可以达成欺骗效果！最终的shellcode如下：

我写出汇编代码并使用Keystone引擎来编译。

万事俱备，剩下的就是在内存中的某处分配我们的shellcode，用它的地址覆盖EIP。记着该shellcode内存应该被标记为R/W/E。完整的exploit如下：

译者注：我在本地测试时，WinDbg的输出和作者的不太一样，我是用!analyze -v来查看崩溃现场，输出的信息有点冗余，没有原作者的输出信息清爽，所以windbg部分的信息与截图保留了原作者的版本。

HEVD是我个人强烈推荐的入门Windows内核漏洞的靶场，实际上内核漏洞并不难掌握，无非就是以下两点：

HEVD从一个简单的内核驱动程序入手，展示了各种常见的漏洞，让新手可以绕开复杂的Windows内核，掌握内核漏洞的利用。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课