这篇文章里，我们将浏览一个简单的HEVD驱动漏洞 - 栈溢出。攻击代码将附在最后。

首先，我们把驱动.sys文件加载到IDA里看看它的结构。你将会很庆幸我们的驱动里编译时有符号表选项，这使得逆向简单得多！

在driver最开始被加载时，DriverEntry函数是driver的入口。它做了许多事情，比如说，创建IO设备和设置驱动路径 - \\Device\\HackSysExtremeVulnerableDriver。这个函数接着设置IRP（I/O 申请数据包）handler（我觉得中文翻译handle，handler太晦涩，具体可以看这个链接）- 这是我们最关心的部分。

函数IrpDeviceIoCtlHandler 被分配给了 DriverObject MajorFunction 数列的第14个成员。这个函数包含一系列switch选项，这些选项将基于用户在应用程序代码中DeviceIoContrl调用时提供的IOCTL决定那个函数会被运行。

我们关心的函数是StackOverflowIoctlHandler 的 handler。这个函数会在用户使用IOCTL数为 0x222003 调用 DeviceIoControl 时处理用户的请求。

在调用StackOverflowIoctlHandler 后，调用TriggerStackOverflow 函数前，会有一些设置。

这其中包含以下代码：

你应该立刻就能发现这里应该有漏洞。因为这里有一个从 userBuffer 到 kernelBuffer （大小为2048 bytes）的 memcpy，并且这个size 大小是交由用户通过userBufferSz 决定。

所以我们要怎么利用这个漏洞攻击呢？简单。 我们只需要提供比kernelBuffer （大小为2048 bytes）更多的数据，然后再告诉memcpy 我们的数据大小（这里我们的数据是多大就写多大）。驱动会memcpy 我们的数据到驱动内核栈，并且傻傻的帮我们覆盖掉栈上的返回指针。

漏洞找到了，那我们开始真正的攻击吧！

我们设置一个断点来看看攻击是怎么运行的吧。

首先我们在WinDbg里运行命令uf HEVD!TriggerStackOverflow 来得到现在 TriggerStackOverflow 函数在加载后的HEVD模块的地址。这个地址会随着每次开机而变化 - 因为 ASLR（一个通过每次开机时随机化系统library加载地址来防止攻击者使用系统library的机制，很老的一个想法，但会让攻击者稍微麻烦一点）。

现在我们想做的是找到找到最终ret函数相对于这个函数起始位置的位置。我们之所以要做这一步是因为我们想通过知道函数名字以及相对位置来找到我们想要的ret，这样我们就不用再考虑ASLR了。

现在我们知道了ret相对于函数起始位置的位置是 0xc8。我们可以设置新断点：

现在我们通过输入 g 恢复被攻击虚拟机的运行，然后回到我们的被攻击虚拟机接着写我们的攻击代码！

为了与驱动通信，我们要给他写个handler。我们可以通过使用CreateFile打开物理驱动路径（在DriverEntry 函数中的DestinationString）。和平常一样，先查查看这个函数的文档来看看参数都是用来干嘛的。

接下来我们需要分配一个用于给驱动 memcpy 数据的缓存。我们可以使用VirtualAlloc。我给了这个缓存一个page。（注意这里给缓存上设置了运行和写权限，因为内核最后会执行这个缓存上的shell code）。（shell code就是些2进制码，每个程序编译到最后都是二进制码，而计算机cpu能运行的其实到最后也就是二进制码。这个文章中的shellcode的用处就是提升当前进程的权限到系统权限）

现在我们先给这个缓存区放满A试试。

最后我们想用 DeviceIOControl 调用到驱动，这样我们就能把缓存传给驱动来触发栈溢出！

现在把这些整合到一起，编译运行！

我们可以看到断点中断了系统。漏洞名什么的被打印了出来，这些是之前TriggerStackOverflow 里做的事情。并且中断在了这个TriggerStackOverflow函数ret的那个点。我们可以看到 KernelBuffer Size 和 UserBuffer Size 都是我们想要的！是我们在 DeviceIoControl 调用里给的！

当然我们已经造成了系统损伤。通过View->Memory 在WinDbg里打开栈。写入寄存器esp里的地址，我们可以看到驱动即将要回到的地址。

如果我们继续让进程运行，它将会崩溃，毕竟0x41414141地址里没有东西。接下来我们就看看怎样把将回到的地址改到我们想要的地方。在这里用一个常用的小技巧， debruijn sequence。用pwntools（CTF里的一个常用工具）产生下面这个数列（这里你也可以自己写python script生成你喜欢的数列，Python挺好用的）。

之后我们放这个数列到userBuffer里。

char myStr[] = "aaaabaaacaaada...avlaav"; 

RtlCopyMemory(uBuffer, myStr, 0x864);

这样再运行一遍攻击代码，我们就知道在数列的哪个位置是将回的地址。

所以我们只要再前2080bytes里随便放点东西，然后放我们想这个进程接着运行的地址。接着我们在那个地址放Shell code就好啦。最后一步我们要得要系统权限的shell。

我们只要知道当这段 shellcode 被内核运行时，将会使当前运行的进程提权至系统相同的权限。

如果我们用比win7更新的系统，将会有一个叫 SMEP/SMAP 的机制挡在我们面前。这个机制会禁止内核运行用户进程里的shellcode（通过page特征里的一个bit来来判断这个page属于用户还是系统）。为了绕过这个机制，我们需要把shellcode放到内核的栈里（memcpy），然后跳到那里。

但我们的win7并没有这个机制，所以虽然简单我就不麻烦写那一步了。我们就把shellcode放到userBuffer里，然后跳过去就完了。

成功以后，内核将会把当前进程提升到系统权限并从DeviceIoControl 调用中回到当前进程。然后我们的cmd.exe就是可以干一切事情啦！

运行中。。。

拥有系统权限的shell！下面是最终的攻击代码：

本文由看雪论坛 wx_rd.cheung 原创

转载请注明来自看雪社区

热门阅读

• 议题征集 | 2017 安全开发者峰会

• Android内核提权cve-2014-3153研究笔记

• 攻击TrustZone系列(Pt.3) -- 对MSM8974的完整TrustZone攻击

• 攻击TrustZone系列(Pt.2) -- 逆向高通TrustZone

• Apache Tomcat 7.x安全加固指南

点击阅读原文/read，

更多干货等着你~