0x1:

准备工作:

(需要了解段任务段, 任务门, 权限)

打开windbg 输入下面指令

构造一系列需要的段描述与符
任务门 eq 8003f500 0000e500`00C30000
任务段 eq 8003f0c0 0000a912`FDCC0068
cs: eq 8003f090 00cfbb00`0000ffff
ds: eq 8003f0b0 00cfb300`0000fff

0x2:

代码:

#include <STDIO.H>
#include <WINDOWS.H>
DWORD dwOK;
DWORD dwESP;
DWORD dwCS;
void __declspec(naked) func()
{
	dwOK = 1;
	__asm
	{
		//int 3
	    mov eax,esp
            mov dwESP,eax
            mov ax,cs
            mov word ptr [dwCS],ax
            iretd
	}
}

int main(int argc, char* argv[])
{
	char bu[0x10];  //12ff70
	//char esp0[0x10];  //0012FF60
	int iCr3;
	
	printf("input CR3:\n");
	scanf("%x", &iCr3);
	
	//0x0012FDCC
	DWORD iTss[0x68] = {
		        0x00000000,		//link
			0x00000000,		//esp0		//(DWORD)bu
			0x00000000,		//ss0
			(DWORD)bu+4,		//esp1
			0x000000B1,		//ss1
			0x00000000,		//esp2
			0x00000000,		//ss2
			(DWORD)iCr3,	//cr3
			(DWORD)func,	//eip
			0x00000000,		//eflags
			0x00000000,		//eax
			0x00000000,		//ecx
			0x00000000,		//edx
			0x00000000,		//ebx
			(DWORD)bu,		//esp
			0x00000000,		//ebp
			0x00000000,		//esi
			0x00000000,		//edi
			0x00000023,		//es
			0x00000091,		//cs		0x0000001B //0huan 0x00000008
			0x000000B1,		//ss		0x00000023 //0huan 0x00000010
			0x00000023,		//ds
			0x000000b9,		//fs
			0x00000000,		//gs
			0x00000000,		//dit
			0x20ac0000};
		
	char buff[6];
		
	*(DWORD*)&buff[0] = 0x12345678;
	*(WORD*)&buff[4] = 0xC0;
		
	__asm
	{
	    int 0x20
	}
		
	printf("ok=%d \t ESP=%x \t CS=%x \n", dwOK, dwESP, dwCS);
		
	//getchar();
	return 0;
}

0x3:

运行你得程序 (停留在等待输入CR3那里), 然后记住自己程序的名字比如 1.exe
打开windbg 输入: !process 0 0 找到对应的CR3 (红线部分)
在windbg image 那栏找到你自己程序的名字
看控制台输出内容是不是自己构造的1环段选择子, 是就说名成功了

0x4:

Tss:

总结:

上图中使用任务门进入一环时候 esp 012 和 ss 012 不需要赋值,程序直接取得就是 esp 和 ss (经过测验得出结论, 不知道原因)
fs:三环一环都可以正常运行
cs:代码段描述符 (dpl = 1)
ss:数据段描述符就可以 (dpl = 1)
其他值都是我做测试用的, 无视掉就可以
总结下: 修改 cs ss esp 就可以成功进入一环
其他门可以直接修改 esp 0,1,2 and ss 0,1,2 (不得原因 = = 有兴趣得大家可以测试下)
蓝蓝(你懂的)更健康哈哈

[课程]FART 脱壳王！加量不加价！FART作者讲授！

最后于 2020-4-30 16:49 被清风qfccc编辑，原因：

收藏・4

免费・3

支持

最新回复 (10)
Mr.hack 雪币： 3102 活跃值： (3623) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 136 粉丝 20 关注私信	Mr.hack 2 楼 esp 0 1 2的作用是用来指定你使用任务门进1环后如果再发生由中断，调用门，陷阱门产生的权限切换的堆栈；使用任务段任务门本身过程中堆栈是由ESP和SS来决定的，和ESP 0 1 2没关系 2020-5-2 19:40 0
清风qfccc 雪币： 305 活跃值： (403) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 18 粉丝 4 关注私信	清风qfccc 3 楼 Mr.hack esp 0 1 2的作用是用来指定你使用任务门进1环后如果再发生由中断，调用门，陷阱门产生的权限切换的堆栈；使用任务段任务门本身过程中堆栈是由ESP和SS来决定的，和ESP 0 1 2没关系原来是这样, 感谢老哥解答啊, 我之前就一直纳闷来着 2020-5-6 10:50 0
印度硬汉雪币： 9 活跃值： (314) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	印度硬汉 4 楼兄弟，为什么有任务段这种东西了还要提供一下任务门呢？ 2020-5-28 20:27 0
koop 雪币： 399 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 52 粉丝 1 关注私信	koop 5 楼请问一下，这代码直接崩了吧，能进入到func（）这里，只是返回的时候无法返回吧。请问你的过了吗？还执行了什么？谢谢 2020-5-28 21:42 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 6 楼 666 2020-5-28 22:00 0
smallseven 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	smallseven 7 楼老哥，代码跑起来蓝了，看了下有个地方不解 0x000000b9, //fs gdt表里的index:17项好像没改哇？ 2020-7-4 23:24 0
taolaoda 雪币： 167 活跃值： (876) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 51 粉丝 0 关注私信	taolaoda 8 楼任务段 eq 8003f0c0 0000a912`FDCC0068，大兄弟，如果我没记错的化是E9吧 2020-7-25 23:26 0
wx_大可爱雪币： 50 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	wx_大可爱 9 楼印度硬汉兄弟，为什么有任务段这种东西了还要提供一下任务门呢？ TSS（Task State Segment）任务状态段一、如果你用jmp跳到TSS段，你还得自己jmp回到之前的TR寄存所保存的TSS段，二、如果是call的话你还得修改下EFLAG寄存器的NT位，之后用iret返回。还不如直接用状态门，只需要搞一个任务门，之后直接iret返回，不需要修改EFLAG和不需要自己jmp回来这也许就是任务门的优点吧 2021-8-13 19:15 0
wx_大可爱雪币： 50 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	wx_大可爱 10 楼 #include <iostream> #include <windows.h> typedef struct TSS { DWORD link; // 保存前一个 TSS 段选择子，使用 call 指令切换寄存器的时候由CPU填写。 // 这 6 个值是固定不变的，用于提权，CPU 切换栈的时候用 DWORD esp0; // 保存 0 环栈指针 DWORD ss0; // 保存 0 环栈段选择子 DWORD esp1; // 保存 1 环栈指针 DWORD ss1; // 保存 1 环栈段选择子 DWORD esp2; // 保存 2 环栈指针 DWORD ss2; // 保存 2 环栈段选择子 // 下面这些都是用来做切换寄存器值用的，切换寄存器的时候由CPU自动填写。 DWORD cr3; DWORD eip; DWORD eflags; DWORD eax; DWORD ecx; DWORD edx; DWORD ebx; DWORD esp; DWORD ebp; DWORD esi; DWORD edi; DWORD es; DWORD cs; DWORD ss; DWORD ds; DWORD fs; DWORD gs; DWORD ldt; // I/O 位图基地址域 DWORD io_map; } TSS; DWORD st; DWORD g_esp; DWORD g_cs; //_declspec(naked) _declspec(naked) void func() { __asm { mov g_esp, esp; mov eax,0; mov ax, cs; mov g_cs, eax; iret; } } TSS tss = { 0x00000000,//link 0x00000000,//esp0 0x00000010,//ss0 0x00000000,//esp1 0x00000000,//ss1 0x00000000,//esp2 0x00000000,//ss2 0x00000000,//cr3 (DWORD)func,//eip 0x00000000,//eflags 0x00000000,//eax 0x00000000,//ecx 0x00000000,//edx 0x00000000,//ebx 0x00000000,//esp 0x00000000,//ebp 0x00000000,//esi 0x00000000,//edi 0x00000023,//es 0x000000B1,//cs 0x000000C1,//ss 0x00000023,//ds 0x000000D1,//fs 进一环，我把FS也改了，因为进0环的时候FS为30，DLP为0 0x00000000,//gs 0x00000000,//ldt 0 }; int main(int argc, char* argv[]) { /* TSS(GDT) eq 8003f090 0000E941`e0a00068 Task-Gate(IDT) eq 8003f500 0000E500`00930000 CS eq 8003f0b0 00cfBb00`0000ffff SS eq 8003f0c0 00cfB300`0000ffff FS eq 8003f0d0 ffc0B3df`f0000001 / st = (DWORD)VirtualAlloc((void)0,0x1000,MEM_RESERVE \| MEM_COMMIT,PAGE_EXECUTE_READWRITE); tss.esp = st + 0x800; tss.esp0 = st + 0x800; printf("TSS:%x\n", &tss); printf("func:%x\n", tss.eip); printf("please input cr3:\n"); scanf("%x", &tss.cr3); __asm { int 0x20; } VirtualFree((LPVOID)st,0x1000,MEM_RELEASE); printf("g_cs = %08x\ng_esp = %08x\n", g_cs, g_esp); getchar(); return 0; } 最后于 2021-8-13 19:30 被wx_大可爱编辑，原因： 2021-8-13 19:25 0
wx_大可爱雪币： 50 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	wx_大可爱 11 楼 taolaoda 任务段 eq 8003f0c0 0000a912`FDCC0068，大兄弟，如果我没记错的化是E9吧经过测试，A9和E9都能跑 2021-8-13 19:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

清风qfccc

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
Mr.hack 雪币： 3102 活跃值： (3623) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 136 粉丝 20 关注私信	Mr.hack 2 楼 esp 0 1 2的作用是用来指定你使用任务门进1环后如果再发生由中断，调用门，陷阱门产生的权限切换的堆栈；使用任务段任务门本身过程中堆栈是由ESP和SS来决定的，和ESP 0 1 2没关系 2020-5-2 19:40 0
清风qfccc 雪币： 305 活跃值： (403) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 18 粉丝 4 关注私信	清风qfccc 3 楼 Mr.hack esp 0 1 2的作用是用来指定你使用任务门进1环后如果再发生由中断，调用门，陷阱门产生的权限切换的堆栈；使用任务段任务门本身过程中堆栈是由ESP和SS来决定的，和ESP 0 1 2没关系原来是这样, 感谢老哥解答啊, 我之前就一直纳闷来着 2020-5-6 10:50 0
印度硬汉雪币： 9 活跃值： (314) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	印度硬汉 4 楼兄弟，为什么有任务段这种东西了还要提供一下任务门呢？ 2020-5-28 20:27 0
koop 雪币： 399 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 52 粉丝 1 关注私信	koop 5 楼请问一下，这代码直接崩了吧，能进入到func（）这里，只是返回的时候无法返回吧。请问你的过了吗？还执行了什么？谢谢 2020-5-28 21:42 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 6 楼 666 2020-5-28 22:00 0
smallseven 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	smallseven 7 楼老哥，代码跑起来蓝了，看了下有个地方不解 0x000000b9, //fs gdt表里的index:17项好像没改哇？ 2020-7-4 23:24 0
taolaoda 雪币： 167 活跃值： (876) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 51 粉丝 0 关注私信	taolaoda 8 楼任务段 eq 8003f0c0 0000a912`FDCC0068，大兄弟，如果我没记错的化是E9吧 2020-7-25 23:26 0
wx_大可爱雪币： 50 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	wx_大可爱 9 楼印度硬汉兄弟，为什么有任务段这种东西了还要提供一下任务门呢？ TSS（Task State Segment）任务状态段一、如果你用jmp跳到TSS段，你还得自己jmp回到之前的TR寄存所保存的TSS段，二、如果是call的话你还得修改下EFLAG寄存器的NT位，之后用iret返回。还不如直接用状态门，只需要搞一个任务门，之后直接iret返回，不需要修改EFLAG和不需要自己jmp回来这也许就是任务门的优点吧 2021-8-13 19:15 0
wx_大可爱雪币： 50 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	wx_大可爱 10 楼 #include <iostream> #include <windows.h> typedef struct TSS { DWORD link; // 保存前一个 TSS 段选择子，使用 call 指令切换寄存器的时候由CPU填写。 // 这 6 个值是固定不变的，用于提权，CPU 切换栈的时候用 DWORD esp0; // 保存 0 环栈指针 DWORD ss0; // 保存 0 环栈段选择子 DWORD esp1; // 保存 1 环栈指针 DWORD ss1; // 保存 1 环栈段选择子 DWORD esp2; // 保存 2 环栈指针 DWORD ss2; // 保存 2 环栈段选择子 // 下面这些都是用来做切换寄存器值用的，切换寄存器的时候由CPU自动填写。 DWORD cr3; DWORD eip; DWORD eflags; DWORD eax; DWORD ecx; DWORD edx; DWORD ebx; DWORD esp; DWORD ebp; DWORD esi; DWORD edi; DWORD es; DWORD cs; DWORD ss; DWORD ds; DWORD fs; DWORD gs; DWORD ldt; // I/O 位图基地址域 DWORD io_map; } TSS; DWORD st; DWORD g_esp; DWORD g_cs; //_declspec(naked) _declspec(naked) void func() { __asm { mov g_esp, esp; mov eax,0; mov ax, cs; mov g_cs, eax; iret; } } TSS tss = { 0x00000000,//link 0x00000000,//esp0 0x00000010,//ss0 0x00000000,//esp1 0x00000000,//ss1 0x00000000,//esp2 0x00000000,//ss2 0x00000000,//cr3 (DWORD)func,//eip 0x00000000,//eflags 0x00000000,//eax 0x00000000,//ecx 0x00000000,//edx 0x00000000,//ebx 0x00000000,//esp 0x00000000,//ebp 0x00000000,//esi 0x00000000,//edi 0x00000023,//es 0x000000B1,//cs 0x000000C1,//ss 0x00000023,//ds 0x000000D1,//fs 进一环，我把FS也改了，因为进0环的时候FS为30，DLP为0 0x00000000,//gs 0x00000000,//ldt 0 }; int main(int argc, char* argv[]) { /* TSS(GDT) eq 8003f090 0000E941`e0a00068 Task-Gate(IDT) eq 8003f500 0000E500`00930000 CS eq 8003f0b0 00cfBb00`0000ffff SS eq 8003f0c0 00cfB300`0000ffff FS eq 8003f0d0 ffc0B3df`f0000001 / st = (DWORD)VirtualAlloc((void)0,0x1000,MEM_RESERVE \| MEM_COMMIT,PAGE_EXECUTE_READWRITE); tss.esp = st + 0x800; tss.esp0 = st + 0x800; printf("TSS:%x\n", &tss); printf("func:%x\n", tss.eip); printf("please input cr3:\n"); scanf("%x", &tss.cr3); __asm { int 0x20; } VirtualFree((LPVOID)st,0x1000,MEM_RELEASE); printf("g_cs = %08x\ng_esp = %08x\n", g_cs, g_esp); getchar(); return 0; } 最后于 2021-8-13 19:30 被wx_大可爱编辑，原因： 2021-8-13 19:25 0
wx_大可爱雪币： 50 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	wx_大可爱 11 楼 taolaoda 任务段 eq 8003f0c0 0000a912`FDCC0068，大兄弟，如果我没记错的化是E9吧经过测试，A9和E9都能跑 2021-8-13 19:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复