[Windows][PE][ASM][CE]從PE架構淺談純組語撈出當前進程的映像路徑

-
近日很少發發廢文啊XD,大學生各種忙碌期中考
最近觀書有感,來發發拆拆手札廢文

參考文獻
  1. 緩衝區溢位攻擊:第三章 - 改變程式執行的行為
  2. MSDN - PEB structure
  3. MSDN -  RTL_USER_PROCESS_PARAMETERS structure
  4. MSDN - UNICODE_STRING structure
懶人包:
每個Process中都會存在一個TEB結構體
偷偷引用一下文章中的結構:
typedef struct _TEB
{
        NT_TIB                  Tib;// Offset = 0x00
        PVOID                   EnvironmentPointer;
        CLIENT_ID               Cid;
        PVOID                   ActiveRpcInfo;
        PVOID                   ThreadLocalStoragePointer;
        PPEB                    Peb;
        ULONG                   LastErrorValue;
        ULONG                   CountOfOwnedCriticalSections;
        PVOID                   CsrClientThread;
        PVOID                   Win32ThreadInfo;
        ULONG                   Win32ClientInfo[0x1F];
        PVOID                   WOW32Reserved;
        ULONG                   CurrentLocale;
        ULONG                   FpSoftwareStatusRegister;
        PVOID                   SystemReserved1[0x36];
        PVOID                   Spare1;
        ULONG                   ExceptionCode;
        ULONG                   SpareBytes1[0x28];
        PVOID                   SystemReserved2[0xA];
        ULONG                   GdiRgn;
        ULONG                   GdiPen;
        ULONG                   GdiBrush;
        CLIENT_ID               RealClientId;
        PVOID                   GdiCachedProcessHandle;
        ULONG                   GdiClientPID;
        ULONG                   GdiClientTID;
        PVOID                   GdiThreadLocaleInfo;
        PVOID                   UserReserved[5];
        PVOID                   GlDispatchTable[0x118];
        ULONG                   GlReserved1[0x1A];
        PVOID                   GlReserved2;
        PVOID                   GlSectionInfo;
        PVOID                   GlSection;
        PVOID                   GlTable;
        PVOID                   GlCurrentRC;
        PVOID                   GlContext;
        NTSTATUS                LastStatusValue;
        UNICODE_STRING          StaticUnicodeString;
        WCHAR                   StaticUnicodeBuffer[0x105];
        PVOID                   DeallocationStack;
        PVOID                   TlsSlots[0x40];
        LIST_ENTRY              TlsLinks;
        PVOID                   Vdm;
        PVOID                   ReservedForNtRpc;
        PVOID                   DbgSsReserved[0x2];
        ULONG                   HardErrorDisabled;
        PVOID                   Instrumentation[0x10];
        PVOID                   WinSockData;
        ULONG                   GdiBatchCount;
        ULONG                   Spare2;
        ULONG                   Spare3;
        ULONG                   Spare4;
        PVOID                   ReservedForOle;
        ULONG                   WaitingOnLoaderLock;
        PVOID                   StackCommit;
        PVOID                   StackCommitMax;
        PVOID                   StackReserved;
} TEB, *PTEB;

每個Process中的TEB會存放這支Process中運行的環境、Process的屬性、或者大家Coding會用的Try的偵錯機制處理...等,不過今天我要先講的是映像路徑(ImagePath)的擷取,所以現在著重的重點放在Offset = 0x30上的PEB(Process Environment Block)上,裡面會存放許多關於當前進程的屬性資料;而如果是研究BufferOverflow則對Offset = 0x00上的NT_TIB很熟悉了(內含WIN處理錯誤機制屬性處理的資料)

那麼今天我們要取的映像路徑會放在哪?查了一下資料會得知放在PEB內的ProcessParameters結構體內的ImagePathName指標(以UnicodeString做存放)

參考了一下MSDN上微軟官方對PEB的定義如下:
typedef struct _PEB {
  BYTE                          Reserved1[2];//0x00
  BYTE                          BeingDebugged;//0x00 + 1 *2 = 0x02
  BYTE                          Reserved2[1];//0x02 + 1 = 0x03
  PVOID                         Reserved3[2];//0x03 + 1 = 0x04
  PPEB_LDR_DATA                 Ldr;//0x04 + 4 *2 = 0x0C
  PRTL_USER_PROCESS_PARAMETERS  ProcessParameters;//0x0C + 4 = 0x10
  BYTE                          Reserved4[104];
  PVOID                         Reserved5[52];
  PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;
  BYTE                          Reserved6[128];
  PVOID                         Reserved7[1];
  ULONG                         SessionId;
} PEB, *PPEB;
可以參考一下我補上的Offset,要從PEB結構體爬到ProcessParameters的指標Offset算法會是:BYTE*2 + BYTE + BYTE + PVOID*2 + PPEB_LDA_DATA = 0x10

接著可以在參考一下MSDN上的ProcessParameters(在Windows的.h頭文件內定義是_RTL_USER_PROCESS_PARAMETERS)結構體定義:
typedef struct _RTL_USER_PROCESS_PARAMETERS {
  BYTE           Reserved1[16];//0x00
  PVOID          Reserved2[10];//0x00 + 1 * 16 = 0x10
  UNICODE_STRING ImagePathName;//0x10 + 4 * 10 = 0x38
  UNICODE_STRING CommandLine;
} RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;
接著看到這個結構體上我補上的Offset,一路從ProcessParameters結構體爬到ImagePathName指針的Offset就會是 BYTE*16 + PVOID*10 = 0x38

所以這邊我用了Cheat Engine的AutoASM寫了一個簡單的彙編腳本:
alloc(Func,128)
alloc(GetPtr,4)
createthread(Func)
registersymbol(GetPtr)

Func:
mov eax, fs:[30]//eax = fs[30] = PEB_address.
mov eax,[eax+10]//eax = fs[30] + ProcessParameters_offset.
add eax,38      //eax = ProcessParametersAddress + ImagePath_offset.
mov [GetPtr],eax
ret
跑起來像這樣;
 這邊我在Win7 x32bit下對記事本(notepad.exe)的進程做鎖定,執行了我寫的腳本後,可以去看到GetPtr取到地址為0x00231A90,這是什麼呢?這就會是UnicodeString的結構了(存放ImagePath文字)

可以查一下MSDN上的UNICODE_STRING結構體如下:
typedef struct _LSA_UNICODE_STRING {
  USHORT Length;//0x00
  USHORT MaximumLength;//0x00 + 2 = 0x02
  PWSTR  Buffer;//0x02 + 2 = 0x04
} LSA_UNICODE_STRING, *PLSA_UNICODE_STRING, UNICODE_STRING, *PUNICODE_STRING;
這邊可以得知我們的UncodeString上有兩個Buffer(以Short為單位,意味著其實UncodeString在Windows上最大只能到16*16 = 256單位長)才會是指向文字內容的指針

所以我們就可以得知找到文字的指針加上0x04的Offset就可以成功指向文字了
操作如下:
在Cheat Engine介面下新增Pointer,地址填寫GetPtr(或者填寫0x00231A90)然後Offset填寫0x04:
 嘿嘿,成功找到ImagePath的結構體上指向的Buffer指針囉,指針地址為0x0023271A
接著就可以看到進程的ImagePath存放的路徑囉,如下:
 Got It!

留言

張貼留言

這個網誌中的熱門文章

DNS網址被劫持查詢不到正確IP怎辦

-
圖片
 有時候會遇到你家小烏龜或 hinet 域名連不上正確網站,有可能會怪怪的對吧?(看片網站連不上)大家可以這麼做,在 Windows 搜尋控制台,然後一路點選 [網路和網際網路] > [檢視網路狀態及工作] > [變更介面卡設定] 接著,看你電腦是插實體線連網、還是 WiFi介面卡,像我是用 WiFi 那就對 WiFi 介面卡點選右鍵內容。 然後找到網際網路通訊協定第4版 Internet Protocol Version 4 (TCP/IPv4) 按內容,並且設定慣用 DNS 伺服器為 1.1.1.1 跟 8.8.8.8 接著,你就會發現你的網站可以看了唷,不會被奇怪小烏龜DNS路由指到奇怪網頁了。
閱讀完整內容

幫 VMware Client 虛擬機啟用 VBS 防護(Virtualization Based Security)

-
圖片
前言 因為演講需求要展示怎打穿 Virtualization 防護,洞都串好了結果發現 VMware 虛擬機 Windows 11 最新版下的 Defender 防毒惡意探索功能的 Hypervisor Code Integrity (HVCI) 怎樣都不給開。然後花了一段時間爬網路上文都沒人撰文解釋,這邊寫一篇文給有需要的人參考XD 有此需求在虛擬機內啟用 VBS 防護的朋友,應該都有嘗試過至配置中「Virtual Machine Settings → Processors → 勾選 Virtualize Intel VT-x/EPT or AMD-V/RVI」並且就能在「Options → Advanced → 勾選 Enable VBS (Virtualization Based Security) support」後,理論上啟動虛擬機後就能使用虛擬機中的 HVCI 防護... 然後這時候你一把 VMware 虛擬機開機,就會彈出一堆 Hyper-V 或 Virtualization 相關的不支援訊息(上圖)怎樣都不給你開機 Orz 好的那怎解決呢?有三大條件必須在 VMware Host 滿足缺一不可、即可讓 VMware Client 可以啟用 HVCI 囉。 關閉 Windows 原生 Hyper-V 虛擬機功能 首先是 Windows 功能(Windows Feature)相關 Hyper-V 與 Hypervisor 平台系列相關功能用於支援 Windows 原生虛擬機功能若啟用狀態下,都會導致 VMware Host 搶占走 Intel EPT 使用權限所致 Client 無法取用 Hypervisor 相關功能,囧。如上圖所示,將上述所有黃框處勾選起來。 系統配置中 Hyper-V / Hypervisor 功能 Intel CPU 所提供的 Hypervisor 系列指令集 HyperCall 被 Windows 重新封裝並以系統角色封裝成 Hyper-V 平台導出之系列 API,因此前面關掉 Windows 功能不代表系統自身的 Hyper-V 平台已經被註記為不得占用 Hypervisor 的狀態;所以需要按上圖所示,以系統管理員身分開啟 PowerShell 並輸入上述兩條指令用以關閉系統原生的 Hyper-V 平台。 Host ...
閱讀完整內容

[Windows] 惡意利用配置錯誤資訊清單(manifest)達成劫持與特權提升

-
圖片
 前言 這篇技巧是我在校稿最近剛出版的書 《Windows APT Warfare:惡意程式前線戰術指南》 正好看到  github.com/L3cr0f/DccwBypassUAC  這份 PoC 提及的 WinSxS 配置錯誤允許駭客劫持達成 UAC 特權提升看到比較有意思的事情所以寫一篇作為筆記。 不過這篇技巧目前在 Windows 10 上除非出現了配置錯誤的 DACL 可被寫入、否則新型的作業系統利用的可能性比較小XD 如果對 UAC 特權提升有興趣的讀者可以參考對岸這篇 BypassUAC原理及方法汇总  我覺得寫得還不錯、或者是看看我的書(?)  WinSxS  Windows 為了原生支援 WinSxS 多重系統模組功能——即同一個系統中可能會有 新舊程式使用到同個系統模組但不同版本號 的狀況。因此可以見到 C:\Windows\WinSxS\ 下有很多不同版本的資源包: 開發者能在編譯時期在純文字的資訊清單 *.manifest 記錄特定系統模組要從特定系統路徑、版本來裝載使用。而這邊引自上述對岸文章一段描述,其中提及了在資訊清單中還有一個特性可以使用: 在Windows中有些可执行程序没有内置的manifest,假设这个程序叫test.exe,如果攻击者在该可执行程序目录下新建一个test.exe.manifest并在manifest文件中指定file元素,则test.exe执行时会加载file元素中loadFrom属性指定的DLL(loadFrom的dll不能在KnownDlls中) 這是一個我覺得蠻有趣的特性,可以解釋為什麼系統槽下會有那麼多純文字保存的資訊清單 *.manifest 文件(我以前一直誤以為是開發者編譯完忘記刪掉XD)這描述說明了兩點: 除了開發者相當熟悉的嵌入式資訊清單,還有導出式資訊清單——在 同層資料夾中保存與程式名同名的 *.manifest 文件 即可被程式裝載器正確識別 無論嵌入或導出式資訊清單:使用 loadFrom  標籤可以指示程式裝載器在「裝載特定 DLL 模組」時便會被 redirect 去裝載另一個特定的 DLL 模組 總而言之當程式裝載器正在初始化一支靜態程式文件、發現其不具嵌入式資訊清單時,那麼就會同層目錄確認是否有同名的 *.ma...
閱讀完整內容