[原创]HEVD学习笔记之概述-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]HEVD学习笔记之概述

发表于: 2021-11-7 11:00 20750

[原创]HEVD学习笔记之概述

1900

2021-11-7 11:00

20750

HEVD学习笔记目录：

HEVD学习笔记之非换页内存池溢出漏洞

HEVD作为一个优秀的内核漏洞靶场受到大家的喜欢，靶场地址 HackSysExtremeVulnerableDriver。这里选择x86的驱动来进行黑盒测试学习内核漏洞，作为学习笔记记录下来。

实验环境:

装载驱动以后首先使用WinDbg查看驱动的内容

驱动装载的地址是0x98C78000，DriverEntry的地址是0x98CC00EA，所以DriverEntry的偏移地址是0x480EA。IRP_MJ_DEVICE_CONTROL的分发函数偏移地址0x44064。

使用IDA对驱动进行分析，可以看到在DriverEntry首先是创建了设备对象

随后就是对分发函数的赋值以及符号链接的创建

而根据IDA识别的结果就可以得知符号名，根据符号名就可以完成和驱动的连接与通信

而在DispatchIoCtrl中，程序将IoControlCode取出减去0x222003以后得到下标，在用这个下标从Index_Table中取出函数地址表的下标。在根据这个地址表的下标从Func_Table中获得函数地址以后跳转到该函数执行

而这两张表的内容如下，其中的FuncTable中的每一个地址都代表了不同的漏洞

如果取出的函数地址表的下标是0x1C，那么对应的就是最后一个跳转地址，也就是loc_4444AD。而这个地址中的代码是在告知用户，发送的IOCTL是不合法的IOCTL

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

最后于 2022-1-20 18:22 被1900编辑，原因：

#漏洞分析 #Windows

上传的附件：

HEVD.rar （1.40MB，14次下载）
tools.rar （212.25kb，16次下载）

收藏・5

免费・4

支持

赞赏记录

参与人

雪币

留言

时间

Ally Switch

为你点赞~

2024-4-9 10:50

伟叔叔

为你点赞~

2023-3-18 05:31

PLEBFE

为你点赞~

2022-7-30 06:19

肇事孤儿

为你点赞~

2021-11-7 21:51

最新回复 (2)
Zero~ 雪币： 50 活跃值： (1105) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	Zero~ 2 楼 IRP_MJ_DEVICE_CONTROL的分发函数偏移地址应该是0x44064 2022-1-8 10:39 0
1900 雪币： 22413 活跃值： (25444) 能力值： ( LV15，RANK：910 ) 在线值：发帖 95 回帖 162 粉丝 568 关注私信	1900 6 3 楼 Zero~ IRP_MJ_DEVICE_CONTROL的分发函数偏移地址应该是0x44064 是的多谢提醒 2022-1-18 18:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复