psmounterex.sys 企业备份软件驱动提权漏洞分析

漏洞利用原语

在漏洞利用的世界里，旅程通常始于将发现的漏洞转化为可重用的原语。这些原语作为构建漏洞利用的基础构件。让我们首先为漏洞创建一些包装器，允许我们反复与每个漏洞交互。

读取原语

首先是读取原语。这是通过状态破坏实现的，涉及两个基本步骤来滥用：

1. 缓冲区分配：这一步涉及在内核堆上分配内存，我们最终将执行越界读取。值得注意的是，我们可以完全控制缓冲区的大小。此外，一个主要的缺点是，这种特定的分配每个重启只能发生一次。读取原语的分配函数原型如下：

// fname - Filename of any existing and accessible file on disk
// alloc_size - Our desired allocation size
void read_prim_alloc(char *fname, size_t alloc_size);

2. 从缓冲区读取：一旦缓冲区被分配，我们可以执行读取操作，从内核内存中提取数据。在读取时我们必须谨慎，避免访问未分配的内存区域，因为这可能导致系统崩溃。此函数允许我们从内核堆分配中重复读取，使我们能够读取分配后的内核堆内存。此操作的原型如下：

// amount - Number of bytes we want to read from the buffer
uint8_t *read_prim_read(size_t amount);

写入原语，是读取原语的对应物，使我们能够修改内核堆的内容，促进对系统状态的实际更改。这个原语也由两个主要部分组成：

1. 缓冲区分配：与读取原语类似，写入原语始于在内核堆上分配内存空间。然而，与读取原语不同，写入原语允许重复分配。这将在以后证明至关重要。分配函数原型与读取原语相同：

// fname - Filename of any existing and accessible file on disk
// alloc_size - Our desired allocation size
void write_prim_alloc(char *fname, size_t alloc_size);

2. 超出缓冲区界限写入：超出缓冲区界限的写入是一个更复杂的操作，涉及以下步骤：

• 创建一个包含旨在溢出缓冲区的字节的文件。
• 分配写入缓冲区并指定上一步创建的文件的名称。
• 通过调用ReadFile()触发Windows挂载管理器用文件的内容溢出缓冲区。

虽然这些步骤看起来简单，但执行它们带来了重大挑战，我们将在进一步探讨中了解。

理论上的漏洞利用

我认为漏洞研究的目标是找到可以导致某种特权提升的漏洞。理想情况下，从用户到内核，或从远程到本地。然而，通常在发现漏洞后就会停止，并在没有通过现实世界的漏洞利用来验证的情况下，理论化潜在影响。这次漏洞尝试旨在通过实际的漏洞利用练习来弥合这一差距，挑战自己验证理论化的影响。

本博客的另一个目标是创建一种在面对读写堆缓冲区溢出时可重用的方法。虽然这个概念验证针对的是令牌对象，但这里讨论的方法可以适应目标的各种其他内核对象。

内核堆分配器

在我们深入实践方面之前，让我们简要回顾一下Windows内核堆管理器。自19H1版本以来，Windows内核已经过渡到使用分段堆进行内存管理，脱离了旧的内核堆分配器。分段堆的分配规则比旧内存管理器的更复杂，因此如果独立尝试此过程，建议熟悉它们。

现在，重要的是要了解分配算法根据分配的大小而变化。小于0x200字节的分配最终会进入低碎片堆的桶中，分配位置有些随机化，使得有效的堆喷射变得具有挑战性。相反，0x200字节以上且低于0xFE0字节的分配由可变大小分配器处理，操作类似于传统的最佳适应分配器，具有传统的空闲列表。你可以在这里和这里阅读更多相关内容。

鉴于我们由于存在两个内核堆溢出漏洞而需要两个分配，针对更简单的可变大小分配器是首选。这应该使为原语分配两个分配更容易。因此，我们选择了TOKEN对象。一个令牌对象大约是0x700字节的大小，非常适合可变大小分配器的200h到FE0h字节边界。此外，令牌对象是一个非常高价值的目标，允许我们直接操作进程的特权。有了我们的目标对象，下一步是理论化我们如何将内核堆操纵到可利用的状态。

攻击计划

我们的目标是使用写入原语覆盖令牌对象中的Privileges字段，从而授予我们最高权限。为了实现这一点，我们必须将写入缓冲区溢出到令牌对象中，这需要这些分配彼此靠近。在溢出到令牌对象时，保持特权字段前字段的完整性至关重要。这些字段的任何损坏都可能破坏令牌状态，可能导致系统崩溃。这就是为什么我们需要读取原语。

读取原语使我们能够验证相邻内存字段的位置和值，确保只有特权字段被改变，同时保留其余部分。因此，读取原语分配也必须靠近写入原语分配和令牌分配。理想的设置是这样的：

这种布局可以通过执行几个步骤来创建，首先使用令牌对象进行堆喷射。为此，我们首先分配许多令牌对象以填充内核堆：

然后，通过释放每个其他令牌，我们在每个分配之间制造空隙，给我们这样的布局：

接下来，我们将读取和写入原语分配到我们堆喷射留下的空隙中：

最后，我们可以利用我们可以读取写入原语分配后的内容的事实，精确覆盖（红色）令牌的Privilege成员：

当然，实践中事情从不会这么简单。让我们看看我们不得不跳过的圈套，以及从尝试将理论付诸实践中学到的经验教训。

堆喷射

堆喷射是整个漏洞利用的关键。实现一个稳定和一致的堆喷射至关重要；一个失误就可能触发蓝屏。正如前面提到的，我们想要针对的是可变大小分配器。因此，我们必须选择一个大小范围在可变大小分配器服务范围内的对象进行攻击。在这些范围内的对象中，令牌对象是最有趣的候选者，因为能够操纵它可以直接导致权限提升。选定目标对象后，现在我们需要用它们填充堆，以创建一个稍后可以利用的大的攻击面。

喷射令牌对象

喷射令牌对象很简单。只需打开你的进程的令牌并多次复制它。这应该会在内核堆上分配许多令牌对象：

token_handles = calloc(sizeof(HANDLE *), num_handles);
OpenProcessToken(GetCurrentProcess(), TOKEN_QUERY, &proc_token);
for (int i = 0; i < num_handles; ++i)
    DuplicateToken(proc_token, SecurityImpersonation, &token_handles[i]);

在喷射中创建空隙

通过调用CloseHandle()释放你想要释放的句柄，就可以在喷射中创建空隙。然而，如果我们只是从用户模式开始释放每隔一个句柄，实际上可能并不会释放内核堆上的每隔一个令牌。要实现上述可预测的状态，需要一种更有条理的方法：

1. 初始分配：最初分配对象时，它们被放置在非常不同的位置。如果我们分配几个令牌并检查连续两个的HANDLE_TABLE：

对象指针位大致指示对象在内存中的分配位置（在括号中显示）。如所示，这些指向非常不同的区域，不是连续的位置。

2. 重复分配：让我们在进行了10,000个对象分配后再进行调查：

它们彼此更接近，但我们需要一个我们可以100%依赖的连续布局。如果不是，释放每隔一个句柄就没有意义，因为空隙可能不在我们需要的地方，冒着在不可利用的位置分配我们的原语的风险。

3. 实现可预测性：只有在大约20,000个对象分配后，我们才看到分配的连续地址（请记住，一个令牌是710h字节大小）：

这些令牌中的每一个都由用户模式中的句柄按相同顺序引用。现在，当我们释放每隔一个句柄时，我们应该实现一个具有可预测空隙的统一堆，正如我们计划的那样。

另一个障碍

在测试中，我们发现没有办法使用具有操作权限的复制令牌进行权限提升。CreateProcessWithTokenW API确实允许使用我们在堆上喷射的复制令牌创建进程。然而，这个函数对低权限用户不可用，因为它需要一个仅管理员拥有的权限，即SE_IMPERSONATE_NAME权限。我们还可以使用复制令牌通过SetThreadToken设置主线程的令牌，但似乎也无法滥用这一点。因此，我们必须调整我们的方法。

新方法：针对进程令牌

我们不是攻击一个复制的令牌，而是可以针对进程令牌。确切地说，是我们控制的一个进程的进程令牌。这样我们仍然在攻击一个令牌，正如我们最初打算的那样，我们可以重用到目前为止编写的所有代码。只是现在我们使用的是适当的主令牌，而不是复制的令牌。这些进程令牌由内核在每次创建进程时创建，并是Windows进程上所有访问检查的主要来源。只有一个问题，如果我们尝试像以前一样进行相同的堆喷射，狂喷20,000个令牌分配，我们将不得不也分配20,000个进程。这有点过分了。要实现与以前相同的可预测堆布局，但攻击一个进程令牌，而无需创建许多进程，我们需要执行一些额外的步骤：

1. 初始喷射：首先，我们喷射20,000个复制令牌以稳定堆的分配状态，像以前一样。

2. 二次分配：接下来，我们分配大约200个更多的复制令牌。我们将使用这些来创建空隙。复制的令牌给我们这样的状态：

3. 创建空隙：然后，我们像以前一样释放每隔一个令牌来创建空隙：

4. 进程分配：接下来，我们为一个我们想要提升权限的可执行文件分配进程。这些进程的令牌填补了我们刚刚创建的空隙（以橙色显示），给我们带来了一个可靠的进程令牌堆喷射：

5. 最终调整：最后，我们释放剩余的复制令牌句柄，只留下进程令牌之间的空隙：

这导致了一个可靠的堆喷射，用于攻击我们旨在提升的进程的进程令牌。现在，让我们利用这些空隙为我们带来优势。

内核堆侦察

通过一致的进程令牌堆喷射和在我们需要的确切位置创建空隙，我们在利用方面取得了显著进展。然而，堆喷射只是最终利用的13个步骤中的第2步。要开发一个可靠的概念验证，还有更多需要考虑的因素和许多需要解决的约束。这一切都始于使用读取原语收集有关周围堆状态的有价值信息。

分配读取原语

首先，我们需要实际分配读取原语缓冲区。尽早分配这一点至关重要，可以在整个设置阶段指导我们。我们使用我们在开始时创建的read_prim_alloc函数，分配一个大小等于令牌对象（710h字节）的缓冲区。由于我们的堆喷射，我们有100个这种确切大小的空隙在等着我们，我们可以合理地假设它会落在其中之一。看看这如何转化为我们的堆布局：

分配写入原语

稍后，我们的目标是将写入原语缓冲区分配到读取原语后面的空隙中，如下所示：

但我们怎么知道写入原语缓冲区是否真的落在了那里？我们可以直接查看两个分配（710h * 2）字节之前的吗？嗯，不是完全这样。关于分配器处理这些类型分配的方式还有一个小细节我们还没有提到。与我们的简化图像显示的不同，这些分配并不是完全连续的。一个令牌分配，包括其头部，总共是710h字节。一个堆页面是1000h字节。为了保持灵活性，分配器避免将分配跨越一个页面的末尾和另一个页面的开始。因此，这允许每个页面上只有2个令牌分配，留下1000h – 0x710 – 0x710 = 0x1E0字节的未使用空间在每个页面的末尾。这意味着一个分配要么在页面的开始，要么在710h偏移处开始。这意味着，如果我们想要读取2个分配之前的，我们必须始终跳过1000h字节。但是，分配之间的这种额外空间引入了另一个问题。

理解分配位置

考虑这样一种情况，我们需要读取从写入原语分配之后到下一个令牌对象的Privileges成员的所有字节。如果写入缓冲区在页面的开始处分配，随后的令牌对象将在偏移710h处，紧随写入原语之后。要求我们读取令牌头部字节和直到Privileges成员的所有令牌对象字节。然而，如果写入原语缓冲区在偏移710h处分配，随后的令牌对象将在下一页的开始处，留下1E0h字节的间隙在写入原语缓冲区的末尾和下一个令牌对象的头部开始之间。要求我们额外读取1E0h字节。

由于我们无法事先知道写入原语缓冲区会在页面内的这两种位置中的哪一种上着陆，我们必须考虑这一点。这就是为什么我们必须使用读取原语对堆状态进行一些初步侦察，让我们计算出写入原语将落在这两种位置中的哪一种。

实现

为了计算这个，我们使用读取原语来检查接下来的2-3页。首先，我们通过检查令牌对象的池标记（Toke），来验证读取原语是否直接位于令牌对象之前，我们期望在令牌对象之前的头部找到这个标记：

for (i = 0; i < amount; ++i) {
    if (read_buffer[i] == 'T') {
        if (read_buffer[i+1] == 'o') {
            if(read_buffer[i+2] == 'k') {
                if(read_buffer[i+3] == 'e') {
                    first_token_offset = i;
                    break;
                }
            }
        }
    }
}

当我们确认了令牌对象的存在后，我们记录它相对于我们的读取原语缓冲区的位置。如果在从读取原语缓冲区开始计算的偏移704h处找到Toke标记，这表明读取原语位于页面的开始。如果在偏移8E4h处找到，这意味着读取原语缓冲区位于页面的中间。知道了这一点，我们就可以判断令牌之后的空隙位于两种可能位置中的哪一个。如果读取原语位于页面的开始，那么随后的令牌对象在中间，下一个空闲的空隙再次位于页面的开始，反之亦然。

有了这些信息，我们就不再必然受限于上述的布局。理想情况下，我们会将写入原语放置在第一个令牌之后的空隙中，但我们也可以将其放在2或3个空隙之后。因为如果在堆喷射和现在之间的时间，第一个令牌之后的空隙碰巧已经被填满了怎么办？为了检查这一点，我们在3页范围内寻找我们找到的第一个空隙。找到空隙仅仅意味着在我们可以期望令牌出现的偏移处，循环遍历读取原语之后跟随的字节：

if ((read_buffer[first_token_offset + 0x710] == 'T' &&
read_buffer[first_token_offset + 0x710 + 1] == 'o'))
{
    first_token_offset = first_token_offset + 0x710;
    continue; 
}
else if ((read_buffer[first_token_offset + 0x8f0] == 'T' &&
read_buffer[first_token_offset + 0x8f0 + 1] == 'o'))
{
    first_token_offset = first_token_offset + 0x8f0;
    continue; 
}

然后，如果找到一个空隙，我们进行一个最终检查，验证空隙之后是否有一个进程令牌（不是复制的）。这将是我们在堆喷射期间生成的其中一个进程的令牌，也将是我们稍后要攻击的令牌。我们可以通过查看令牌对象的两个成员来进行检查：

• TokenType
• ImpersonationLevel

如果TokenType是1，而ImpersonationLevel是0，我们很可能正在查看我们创建的其中一个主进程令牌。复制令牌的值分别是2和2。以下代码执行此检查：

#define NUM_BYTES_UNTIL_END_POOL_HEADER 0xc
#define NUM_BYTES_token_HEADERS 0x50
#define NUM_BYTES_TO_NEXT_token_FROM_FIRST_token 0x1000

int num_bytes_until_tokentype = NUM_BYTES_UNTIL_END_POOL_HEADER +
        NUM_BYTES_token_HEADERS + 
        NUM_BYTES_TO_NEXT_token_FROM_FIRST_token + 0xC0;

int num_bytes_until_implevel =  NUM_BYTES_UNTIL_END_POOL_HEADER +
        NUM_BYTES_token_HEADERS + 
        NUM_BYTES_TO_NEXT_token_FROM_FIRST_token + 0xC4;

if ((read_buffer[first_token_offset + 0x1000] == 'T' &&
  read_buffer[first_token_offset + 0x1000 + 1] == 'o') && 
  ((read_buffer[first_token_offset + num_bytes_until_tokentype] == 1) &&
   (read_buffer[first_token_offset + num_bytes_until_implevel] == 0)))
{
 return 1;
}

如果所有前面的检查都通过了，我们已经确认我们创建了一个像我们假设的那样的堆布局。现在我们知道写入原语的空隙在哪里，相对于读取原语，我们知道这个空隙是在页面的开始还是中间。这也告诉我们在写入原语和我们将要攻击的进程令牌之间是否有额外的1E0h字节。有了这些信息，是时候开始准备有效载荷了。

准备有效载荷

我们花费了很多精力进行设置和计算，只有一个原因：在进行写入原语分配之前，我们必须加载溢出有效载荷。这是因为驱动程序在分配缓冲区时完全接管了用于攻击的文件，这意味着我们不能更改文件的内容。在准备溢出有效载荷时，我们的目标是用与内核堆上已经存在的完全相同的数据来覆盖数据，直到Privileges成员。限制了破坏内核数据的风险。当然，执行溢出时，我们只能将一系列字节写入文件，因此我们必须事先知道写入缓冲区将着陆的确切偏移。

使用上一步中的所有信息，我们找到一个在它之后有进程令牌的空隙，我们记录它相对于读取原语的偏移。使用这个偏移加上是否有额外1E0h字节空间的信息，我们读取直到令牌的Privileges成员的那么多字节。然后，我们将这些确切的字节写入我们将用于攻击的文件。

接下来，我们向文件追加实际的有效载荷。攻击的目的是将令牌的权限提升到最大数量的权限（与系统进程相同）通过覆盖Privileges成员。查看令牌对象的_SEP_TOKEN_PRIVILEGES结构成员，我们看到它有三个字段，总共跨越24字节：

为了获得类似系统的权限，我们必须用最大可能的值：0x1ff2ffffbc 覆盖这些字段中的每一个。有了整个有效载荷写入文件和堆布局准备好，是时候扣动扳机了。

利用

一切准备就绪，只剩下完成完整利用的最后一步。最后一个重要步骤是将写入原语缓冲区精确地分配到我们准备好的空隙中。这听起来很容易，但由于我们一次只能有一个活动的写入原语缓冲区，这仍然需要一些努力。写入原语缓冲区直接落在正确位置的机会非常低。为了将其推向正确的方向，我们必须使用一些策略，比如我们想出的这个：

1. 分配写入原语。

2. 使用读取原语检查写入原语是否被分配到了正确的空隙。

3. 如果没有，释放写入原语。

4. 分配两个新的（复制的）令牌对象以填补错误的空隙。

5. 大约重复步骤1-4 10,000次。

6. 如果正确的分配仍然没有完成，释放所有新分配的复制令牌对象，从步骤1重新开始。

根据我们的经验，每次失败的写入分配分配两个新对象提供了填补错误空隙的最佳机会。因为我们可能会无意中填补正确的空隙，我们在步骤6中释放了所有额外的分配，然后重试。如果我们每次错过写入分配只分配一个额外的令牌，由于分配算法和时间的原因，写入原语缓冲区最终会每次都被分配在同一个位置。这当然意味着写入分配永远不会更接近它需要去的地方，但是使用上述策略，它最终会到达。

如果前面的步骤正确执行，终于到了大结局的时刻。关键时刻：发动攻击。最后一步涉及调用设备句柄上的ReadFile()来完成写入原语。这样做会触发Windows挂载管理器中的回调，该回调调用驱动程序中的IRP_MJ_READ回调，进而用我们文件的内容溢出内核堆。如果一切顺利完成，我们在堆喷射期间生成的其中一个进程现在应该有提升的权限了！

漏洞利用的实际行动：

结论

一个由我们用于在内核驱动程序中查找漏洞的自动化工具触发的蓝屏错误使我们开始了一段漫长的旅程。在调查蓝屏之后，出现了几个更严重的错误。我们为每个漏洞开发了概念验证漏洞利用工具，并将这些工具连同根本原因分析一起发送给了软件制造商。我们强调这些漏洞需要立即修复，因为它们可能导致系统内存损坏甚至完全权限提升。制造商迅速修复了这些漏洞，但随后我们质疑我们的评估是否完全准确。虽然在内核模式内存中拥有读取和写入原语技术上可以启用权限提升，但我们想知道，考虑到这个驱动程序的限制，这是否真的可行。这个问题促成了这篇博客的创作。为了回答这个问题：是的，这是可能的，但我们只是勉强克服了所有限制。我们下次可能不会有这么好的运气！