查看原文
其他

X64内核SMAP,SMEP浅析

amzilun 看雪学苑 2022-07-01


本文为看雪论坛优秀文章

看雪论坛作者ID:amzilun





前言


实验环境:Win10+VS2015+WDK10

 

SMAP(Supervisor Mode Access Prevention,管理模式访问保护)和SMEP(Supervisor Mode Execution Prevention,管理模式执行保护)的作用分别是禁止内核CPU访问用户空间的数据和执行用户空间的代码,并不会因为你权限高就能访问/执行低权限的资源,你的就是你的,我的就是我的,而之前零环权限就很牛逼了,你的就是我的,我的还是我的。

 

如何区分内核态和用户态虚拟空间呢,32位OS用00000000-ffffffff寻址整个4GB虚拟空间,其中0000000-7ffffffff是用户态的虚拟地址空间,80000000-ffffffff是内核态的虚拟地址空间。


到了X64,虽然CPU的寻址从32位变成64位,因为虚拟地址的高16位在用户模式下总是被设置为0000,而在内核模式下总是被置为FFFF。所以实际上只支持48位的虚拟地址空间供软件使用。


用户态的虚拟地址空间范围为0000 0000 00000000 ~ 0000 ffff ffffffff,内核模式的地址空间范围为ffff 0000 00000000 ~ ffff ffff ffffffff,所以用户态和内核态之间隔了非常远,对操作系统可见的内核虚拟地址空间的大小为256TB。


注意我没有提内核页表隔离(KPTI)等安全机制,所以这只是个大概的划分。

 

SMEP和SMAP导致我们不能像从前那样,利用恶意进程提权到0环权限后,扭头去执行布置在用户态的恶意shellcode,三环shellcode注入也不好使了(如果把shellcode布置在内核空间,又会遇到PatchGuard的强力阻击)。


本文将通过实验一步一步来感知SMEP,SMAP如何起作用,并找出如何在最新Win10安全防护体系中绕过他们的具体方法。





1. 构造X64下的IDT后门


首先新建一个 Visual C++ 空项目,选择Debug和X64后,还需要配置一下项目的工程属性,先把警告等级调成3:

 

 

把增量链接改成否:

 

 

把随机基址改成否,把固定基址改成是:

 


下一步就是如何在VS2015里写汇编,64位VS编译器因为不再支持内联汇编,所以我们再也不能像32位的那样,首先写一个裸函数,在里面放置我们提权到0环后要执行的汇编代码,然后等着提权后执行了。也不知道微软为什么把如此优秀的机制取消了。

 

那怎么才能把汇编代编译进我们的代码呢,答案是把汇编函数写到一个汇编文件,然后和c文件一起编译。


汇编函数在主函数里作为外部符号去使用,我每次都参照这个帖子操作:https://www.cnblogs.com/talenth/p/9135626.html


如果您使用的是其他版本的VS步骤和方法可能会有所不同。文件如下,下面的汇编文件包含了三个函数IntEntry,go和int3,如下所示:


semap : none
EXTERN x : qword
.data; ttt qword ?.code
IntEntry Proc iretqIntEntry Endp
go Proc int 21h retgo Endp
int3 Proc int 3h retint3 EndpEND


main函数如下所示:


#include <Windows.h>#include <stdio.h>#include <stdlib.h>
extern "C" void IntEntry();extern "C" void go();extern "C" void int3();extern "C" ULONG64 x;ULONG64 x;
void main(){ if ((ULONG64)IntEntry != 0x0000000140001000) { printf("wrong IntEntery at %p", IntEntry); system("pause"); exit(-1); } go(); printf("%p\n", x); system("pause");}


编译出来后在1903运行。然后我们在操作系统中人为构造一个IDT后门,我构造自定义的中断int21,之所以用int 21h 因为系统没占用21号中断。


并把中断处理函数的地址设为0x0000000140001000,由于之前指定了工程属性为“随机基址否,固定基址是”使得IntEntery函数的入口地址始终是0x0000000140001000而不是随机数。

 

 

由于64位中断门已经从8字节变成16字节,1号中断门描述符正在fffff80545a5b010,2号在这基础上+10h变成fffff80545a5b020,以此类推21号在fffff80545a5b210。用Windbg构造21号中断如下:

 

eq fffff8010845b210 4000ee0000101000

 

eq fffff801 0845b218 1

 

我们用!idt指令来查看一下,发现21号的中断处理函数的确已经改成了我们自己的0x0000000140001000函数,即IntEntry的基址。

 





2. 触发SMEP


编译并运行这个程序,虚拟机立即崩溃,一个典型的三重错误。

 

 

目前我们的中断处理函数里就只有iretq,如果是在32位的XP系统甚至64位的Win7系统,程序应该会顺利的退出,但在Win10-1903下运行结果是三重错误,原因就是Win10引入了最新的安全机制:SMAP(Supervisor Mode Access Prevention)和SMEP(Supervisor Mode Execution Prevention)

 

SMEP就是内核权限的CPU不能执行用户权限的代码页,本次实验中,21中断的处理函数地址是0x0000000140001000,显然是位于用户态的代码页,因此提权到内核权限的CPU执行该函数时就会崩溃。

 

可能有人会怀疑崩溃并不是SMEP导致,而是由于修改IDT表触发PG,这里我说明下,这个错误绝对不可能是PG导致的,原因是:


1. 该错误是运行代码后立即触发的,而PG是延迟触发的,也就是修改的那一刻也许不会立即触发,经过一段时间PG扫描到这段代码被修改就会触发。所以PG蓝屏的时间是不确定的,也许几分钟,几小时都有可能,实际攻击中可以改完后再短时间内恢复现场,以躲避PG的检测。


2. 这是一个非常严重的三重错误,而PG导致的错误一般仅仅只是蓝屏,错误代码109。附加调试器时可以用!analsys v 来分析崩溃现场的,而三重错误比蓝屏要严重的多,性质完全不同。

 

那么如何绕过SMEP,让提权后的CPU能执行三环代码呢?





3. 绕过SMEP



 

从上图可知CR4寄存器的20和21分别是SMEP和SMAP标志位,置一代表功能开启,置零就代表功能关闭,定位到这两个位问题就好解决了。

 

我们用r cr4得知cr4是0x370678,再用.formats 0000000000370678把它解析成二进制,结果是: 00000000 00000000 00000000 00000000 00000000 00110111 00000110 01111000。


注意20,21不是第20,21位,而是21,22位,是从0开始的。我把这两位标记出来了,这两个位都是1,说明SMEP和SMAP都默认开启。

 

只要用Windbg把21位置零就可以了,我们只需手动把CR4从370678改成270678就绕过了SMAP。





4. 触发SMAP


我们在中断处理函数IntEntry再加入这样两行代码 mov rax, [0fffff8010845dfb0h] 和mov x, rax,fffff8010845dfb0是我这台机器GDT表第二项的地址。我们试图把一个内核地址的数值通过rax转存到一个位于三环的全局变量x中:


semap : none EXTERN x : qword .data; ttt qword ?.code IntEntry Proc mov rax, [0fffff8010845dfb0h] mov x, rax iretqIntEntry Endp go Proc int 21h retgo Endp int3 Proc int 3h retint3 EndpEND

编译执行后还是会产生一个三重错误。

 

那问题出在哪呢?其实第一句没问题,使用0环权限访问零环内存地址,但第二句就有问题了,全局变量x是一个三环的全局变量,写入x时发生0环访问了三环数据,从而触发SMAP,系统崩溃。我们刚才只绕过了SMEP,现在来处理SMAP。





5. 绕过SMAP


方法1:借鉴之前绕过SMEP的方法,故伎重演用Windbg把CR4的22位置零,21,22同时置零时的CR4是70678。

 

 

方法2:系统调用发生时,进入0环前需要拷贝3环寄存器到0环栈上,没触发SMAP,然后有时需要传数据给三环时,如果rax写不下时还需要从0环返回三环,需要拷贝0环的数据到三环,也没触发SMAP。


那么系统是如何保证0环三环互相拷贝数据而不触发呢?我们需要学习系统是如何绕过的,通过对int3,就也是CC断点的中断处理函数逆向,发现stac指令可以起到关闭SMAP的作用。

 

 

这条汇编指令罕见到根本百度不到,可见实际逆向+查看英特尔白皮书是内核研究的有效方法。



- End -



看雪ID:amzilun

https://bbs.pediy.com/user-home-803510.htm

  *本文由看雪论坛 amzilun 原创,转载请注明来自看雪社区。




推荐文章++++

* 崩溃回溯分析

加密壳之ACProtect系列通杀

CVE-2016-0165 Win32k漏洞分析笔记

LPC通信撸码笔记

对一篇反沙箱文章的分析学习小记







公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com



求分享

求点赞

求在看


“阅读原文”一起来充电吧!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存