IntelSysret漏洞在WIN7X64下的实现分析_第7页
2013-03-13 15:10:46文章来源:点点软件园热度:0
但是,如果此时RCX是不规范的,那么GP异常将在特权模式下被抛出。更多最新IT资讯尽在金顺软件园http://www.jinshun168.com/
3. Windows 7 & Windows 2008 R2 x64下的利用
GP异常抛出时,RSP和RBP可控,GS指向用户态,PFH(protection fault handler)则被指向KiGeneralProtectionFault()函数
一种利用此漏洞的方式,是利用已控的RBP和RBP。因为KiGeneralProtectionFault()将会把值写入堆栈,且堆栈也是可控的。基于这些我们可以试试write-4 techniques。#p#分页标题#e#
ps: write-4 techniques - http://immunityinc.com/infiltrate/archives/kernelpool_infiltrate2011.pdf
1. .text:FFFFF800028DBAC0 KiGeneralProtectionFault
2. .text:FFFFF800028DBAC0
3. .text:FFFFF800028DBAC0 var_12D = byte ptr -12Dh
4. .text:FFFFF800028DBAC0 var_12C = dword ptr -12Ch
5. .text:FFFFF800028DBAC0 var_128 = qword ptr -128h
6. .text:FFFFF800028DBAC0 var_120 = qword ptr -120h
7. .text:FFFFF800028DBAC0 var_118 = qword ptr -118h
8. .text:FFFFF800028DBAC0 var_110 = qword ptr -110h
9. .text:FFFFF800028DBAC0 var_108 = qword ptr -108h
10. .text:FFFFF800028DBAC0 var_100 = qword ptr -100h
11. .text:FFFFF800028DBAC0 var_F8 = qword ptr -0F8h
12. .text:FFFFF800028DBAC0 var_E8 = xmmword ptr -0E8h
13. .text:FFFFF800028DBAC0 var_D8 = xmmword ptr -0D8h
14. .text:FFFFF800028DBAC0 var_C8 = xmmword ptr -0C8h
15. .text:FFFFF800028DBAC0 var_B8 = xmmword ptr -0B8h
16. .text:FFFFF800028DBAC0 var_A8 = xmmword ptr -0A8h#p#分页标题#e#
17. .text:FFFFF800028DBAC0 var_98 = xmmword ptr -98h
18. .text:FFFFF800028DBAC0 var_58 = word ptr -58h
19. .text:FFFFF800028DBAC0 arg_0 = qword ptr 10h
20. .text:FFFFF800028DBAC0 arg_8 = byte ptr 18h
以上,就是金顺软件园小编给大家带来的IntelSysret漏洞在WIN7X64下的实现分析_第7页全部内容,希望对大家有所帮助!