保护模式7-调用门原理与实验

灰太狼 2022-05-12 05:24 355阅读 0赞

调用门(无参数)

调用门执行流程-长调用

*  根据CS的值查GDT表，找到对应的段描述符 这个描述符是一个调用门
 *  在调用门描述符中存储另一个代码段的段选择子
 *  选择子指向的段.Base+偏移地址，就是要执行的地址(提权后跳转的代码具有\*\*>0环权限<\*\*)

--------------------

构造一个调用门（无参数 提权）

0000EC00 00080000     //基本的调用门结构

打开虚拟机里面的VS或者VC，创建一个Win32控制台程序

首先我们构造一个函数，这个代码将会具有0环的代码权限，我们在代码里直接读取高2G内存的数据

`#include <Windows.h> //如果无法使用DWORD`  
`DWORD H2GValue；`

void __declspec(naked) ReadRegister()
    {
    	__asm
    	{
    		PUSHAD     //
    		
    		MOV EAX,0X800F300c
    		MOV EBX,[EAX]
    		MOV H2GValue,EBX
    		
    		POPAD
    		RETF
    	}
    };

构建好0环代码，然后构建CALL FAR

char buff[6]={0,0,0,0,0x48,0};   //由于EIP废弃，全部填0   0x48为段选择子，选择GDT基址+0x48位置的调用门
    __asm
    {
    	call fword ptr[buff]
    }
    printf("读取高2G0X800F300c的内容：%x\n",H2GValue);

获取0环代码的起始位置，作为调用门跳转的位置

0x004113B0为0环代码的3环位置

0000EC00 00080000 //构建好的基本调用门结构
    0041EC00`000813B0 //构建完成的调用门，放在0x8003f048的位置
    >0041<EC00`0008>13B0<     //填充好的自定义代码 跳转地址
     0041EC00`>0008<13B0      //0x0008，DPL为0的段描述符的选择子
    
    0: kd> eq 8003f048 0041EC00`000813B0
    0: kd> g
    	Debuggee is running...

![这里写图片描述][70]  
通过WinDbg构建调用门，成功读取了高2G的内存数据

// dy.cpp : 定义控制台应用程序的入口点。
    //
    
    #include "stdafx.h"
    #include <Windows.h>
    
    DWORD H2GValue;
    void __declspec(naked) ReadRegister()
    {
    	__asm
    	{
    		PUSHAD
    		PUSHFD
    
    		mov eax,0x8003f04c
    		mov ebx,[eax]
    		mov H2GValue,ebx
    		
    		POPFD
    		POPAD
    		RETF
    	}
    }
    int _tmain(int argc, _TCHAR* argv[])
    {
    
    	char buff[6]={0,0,0,0,0x48,0};
    
    	__asm
    	{
    		call fword ptr[buff]
    	}
    	printf("读取高2G内存0X800F300c的内容：%x\n",H2GValue);
    	getchar();
    	return 0;
    }

调用门(有参)

0000EC>03< 00080000 //16进制的3，代表3个参数

使用有参数调用门之前，要自己PUSH参数

__asm
    {
    	push 1
    	push 2
    	push 3
    	call fword ptr[buff]
    }

然后根据堆栈结构来获取参数

void __declspec(naked) ReadRegister()
    {
    	__asm
    	{
    		PUSHAD          //0x00401000
    		PUSHFD
    
    		mov eax,[esp+0x24+0x8+0x8]
    		mov dword ptr ds:[x],eax
    		mov eax,[esp+0x24+0x8+0x4]
    		mov dword ptr ds:[y],eax
    		mov eax,[esp+0x24+0x8+0]
    		mov dword ptr ds:[z],eax
    
    		POPFD
    		POPAD
    		RETF 0xc   //注意一定要返回正确，否则蓝屏
    	}
    }

![0环堆栈][0]  
0环代码的ESP为0xB0FD0DA0  
ESP+0x0为标志寄存器  
ESP+0x4到ESP+0x20为8个通用寄存器  
ESP+0x24为返回地址  
ESP+0x24+0x4为调用者CS  
ESP+0x24+0x8为第三个参数  
ESP+0x24+0x8+0x4为第二个参数  
ESP+0x24+0x8+0x8为第一个参数  
构建好调用门

0040EC03`00081000
    
    0: kd> EQ 8003F048 0040EC03`00081000
    0: kd> G
    	Debuggee is running...

![这里写图片描述][70 1]  
**成功使用带有参数的调用门，参数通过三环堆栈传入0环代码并且使用**

// dym.cpp : 定义控制台应用程序的入口点。
    //
    
    #include "stdafx.h"
    #include <windows.h>
    
    DWORD x;
    DWORD y;
    DWORD z;
    void __declspec(naked) GetRegister2()
    {
    	_asm
    	{
    		pushad
    		pushfd
    	
    		mov eax,[esp+0x24+0x8+0x8]
    		mov dword ptr ds:[x],eax
    		mov eax,[esp+0x24+0x8+0x4]
    		mov dword ptr ds:[y],eax
    		mov eax,[esp+0x24+0x8+0]
    		mov dword ptr ds:[z],eax
    		
    		popfd
    		popad             //注意PUSH和POP的顺序
    		retf 0xc          //注意返回的0xc，漏了即会蓝屏
    	}
    }
    void PrintRegister()
    {
    	printf("%x %x %x\n",x,y,z);
    }
    int _tmain(int argc, _TCHAR* argv[])
    {
    	char buff[6];
    	*(DWORD*)&buff[0]=0x12345678;
    	*(WORD*)&buff[4]=0x48;
    	__asm
    	{
    		push 1
    		push 2
    		push 3
    		call fword ptr[buff]
    	}
    	PrintRegister();
    	getchar();
    	return 0;
    }

*  当通过门，权限不变的时候，只会PUSH两个值：CS 返回地址  
    新的CS的值由调用门决定
 *  当通过门，权限改变的时候，会PUSH四个值：SS ESP CS 返回地址 新的CS的值由调用门决定 新的SS和ESP由TSS提供
 *  通过门调用时，要执行哪行代码有调用门决定，但使用RETF返回时，由堆栈中压人的值决定，这就是说，进门时只能按指定路线走，出门时可以翻墙(只要改变堆栈里面的值就可以想去哪去哪)
 *  可不可以再建个门出去呢?也就是用Call 当然可以了 前门进 后门出

**扩展：进门的时候只能走大门进去，但是出去的时候，RETF返回的依据就是堆栈中的值，ESP+0x24，如果在堆栈里直接更改这个值为新的函数，就会直接返回到别的地方**  
![这里写图片描述][70 2]  
**这么做的结果理所当然，具体原因我也不得而知，功力尚浅，后再深究**

[70]: /images/20220512/d9718511410049f99c0a5fcb76d68b55.png
[0]: /images/20220512/2579a15e92584c73a1b396c9f52dfefc.png
[70 1]: /images/20220512/087c99881be84a819aa0e733f24433bd.png
[70 2]: /images/20220512/1df817dee2104b48bc3ecd05ec6bc304.png