-
-
[分享][原创]D/B位与向下拓展的实验与总结
-
2021-12-31 15:23
-
转载: D/B位、一致与非一致代码段、向下拓展的实验与总结 - OneTrainee - 博客园 (cnblogs.com)
一、D/B位的介绍
D/B位当对于代码段时其是D位,当对于数据段时其是B位。
对于代码段,会影响其寻址模式,影响硬编码中指令前缀;对于数据段,其表示段长,当B位为0时,表示该段为16位段,此时其G为自然是无效的。
二、在代码段属性中有一个向上拓展与向下拓展(此与代码段的B位紧密相关的)。
向上拓展 [base,base+limit] 有效,其余无效;向下拓展[base,base+limit]无效,其余有效。
三、向上拓展与向下拓展的实验
为了证明该理论,我们来进行一个实验。
1.源代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 | #include "stdafx.h"char g_buf[] = {125, 124, 123, 121};int main(int argc, char* argv[]){ printf("全局变量的地址为: 0x%p, 请在48处填写数据段描述符\r\n", &g_buf); getchar(); char l_var = 0; char u_aa = 0; __asm { mov ax, 0x48 mov ds, ax mov al, byte ptr ds:[0] mov cl,byte ptr ds:[1] mov u_aa,cl mov l_var, al mov ax, 0x23 mov ds, ax } printf("局部变量的值为:%d %d\r\n", l_var,u_aa); getchar(); return 0;} |
2. 实验思路
我们根据该地址构造段描述符,默认向上拓展,如果此时改为向下拓展,则访问数组肯定会出错(被置为不可访问)。
3. 代码段描述符模板
我们根据ds位去找对应的代码段模板 00cff300`0000ffff
4. 运行程序,查看数组地址来构造段描述符
00cff300`0000ffff -> 00cff342`5A30ffff(向上拓展)-> 00cff742`5A30ffff(向下拓展)
5. 利用windbg将构造的向下拓展的段描述符填写进入0x48偏移处,继续运行程序,显示访问异常,而改为向上拓展的段描述符则不会出现访问异常
一致代码段,可以让三环的权限访问零环的代码,现在操作系统都采用非一致代码段。
难道这就意味着如果将段描述符改为一致代码段,那么三环可以访问零环吗?当然不可以,因为现在操作系统采用段页机制,即使过了段保护,也会存在页保护让你禁止访问。
四、一致代码段与非一致代码段
一致代码段,可以让三环的权限访问零环的代码,现在操作系统都采用非一致代码段。
难道这就意味着如果将段描述符改为一致代码段,那么三环可以访问零环吗?当然不可以,因为现在操作系统采用段页机制,即使过了段保护,也会存在页保护让你禁止访问。
我的实验
00cff300`0000ffff + offset:0x0042 2A30 → 00cff342`2A30ffff (向上拓展)→ 00cff742`2A30ffff (向下拓展)
红色部分是段选择子的Base
向上拓展
向下拓展
注解:ds赋值0x48 (二进制:01001000),可以计算出选择子的GDT的index位第十项
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
