来自 防护 2021-06-10 15:01 的文章

海外高防_高防ddos怎么做的_怎么办

海外高防_高防ddos怎么做的_怎么办

TL;DR入门已发布的漏洞详细信息测试环境从Windows 7开始了解Windows内核事务管理器(KTM)文档什么是内核事务管理器(KTM)?什么是交易(Tx)?什么是事务管理器(TM)?什么是资源管理器(RM)?什么是入伍(En)?优等兵恢复和回滚通知结论TL;DR在这个由5部分组成的博客系列文章中,我们将讨论对CVE-2018-8611的攻击,这是Windows内核中的一个本地权限提升漏洞。最初,服务器ddos防御软件,这个漏洞是因为卡巴斯基在野外发现了一个0天的漏洞。关于此漏洞的实质性公开细节从未公布过,也没有公开发布过利用漏洞的样本。此外,卡巴斯基发现的漏洞也从未公布。CVE-2018-8611影响了Windows内核中一个名为内核事务管理器(kernel Transaction Manager,KTM)的组件,而公共安全界对此并没有太多的研究。CVE-2018-8611是一个内核竞争条件,也是Windows上(bochspwn之外)讨论较少的bug类。有趣的是,对KTM的访问不受当前syscall沙盒过滤器的限制。这与win32k组件不同,后者通常被沙箱阻止,例如Chrome强制实施的win32k系统调用过滤器。这意味着此漏洞在客户端攻击场景中充当了一个有价值的沙盒逃逸。我们将深入研究KTM的内部结构,展示我们的补丁分析,找出underyling漏洞是什么(借助卡巴斯基相对较少的技术细节),高防cdn无视任何ddos,最后讨论我们开发一个相当可靠的漏洞的方法。我们开发了一个漏洞,可以在从windowsvista到windows1809的所有版本上运行,包括x86和x64架构。这项研究是由亚伦·亚当斯和塞德里克·哈布隆完成的,他们在NCC集团的开发开发小组(EDG)工作。这项研究首次在POC1995年发表,该报告的幻灯片可以在这里找到。与我们的其他许多公开论文一样,我们在进行这项研究时,会尽量详细地解释我们的想法和方法,以帮助新接触这一领域的人。我们试图强调我们遇到的一些障碍、错误和死胡同。一如既往,我们很乐意收到建议、更正和反馈。入门已发布的漏洞详细信息我们从2018年12月发布的卡巴斯基公开博客中首次发现了这一漏洞。该文件称,2018年10月,开发防御ddos,卡巴斯基的一种名为自动漏洞防范(AEP)的技术检测到有人利用该漏洞,之后他们向微软报告。这导致它在2018年12月被微软修复。卡巴斯基的博客在细节上相对较少,但是提供了一些非常有用的提示。老实说,我们最初几次阅读的一些信息没有多大意义,或者我们只是没有把这些点联系起来,但是当我们后来巩固了我们对KTM和漏洞本身的理解时,他们提供的关于漏洞利用的信息变得越来越有用。卡巴斯基关于漏洞和利用行为的公开技术描述的全部内容一字不差地粘贴在下面的两段中,我们在描述分析时会偶尔回顾一下:要滥用此漏洞,请首先创建一个命名管道并为其打开读写。然后创建一对新的事务管理器对象,资源管理器对象、事务对象和我们称之为"事务2"的登记对象。入伍是用于在事务和资源管理器。当事务状态更改关联资源时KTM通知经理。之后,它又创建了一个登记对象现在才对"Transaction#1"执行此操作并提交所有更改在此交易期间进行的。在所有初步准备工作就绪后,开采收益漏洞触发的第二部分。它创建多个线程并绑定它们到一个CPU核心。创建的线程调用之一当第二个线程尝试执行NtRecoverResourceManager一次。但脆弱性本身就是在第三个线程中触发。此线程使用执行技巧NtQueryInformationThread以获取有关最新执行的系统调用的信息第二根线。成功执行NtRecoverResourceManager将表示已发生争用条件,并在上进一步执行WriteFile以前创建的命名管道将导致内存损坏。在这两个段落中有很多信息,为什么要用高防cdn高防,其中大部分现在对读者来说可能没有意义,但希望你继续阅读。值得注意的是,即使在知道如何利用漏洞之后,也不是所有的漏洞都有意义,但可能只是表明了略有不同的利用方法。在2019年初利用了这个漏洞,后来在2019年10月准备了博客和POC演示文稿之后,我们了解到卡巴斯基在2019年5月在上海BlueHat提供了关于0天漏洞攻击的更多细节。我们分析了0day漏洞攻击使用的一些技术,并将它们与我们博客系列文章第5部分中的方法进行了比较。测试环境如果您想复制其中的一些工作,我们使用以下工具进行了大部分研究:VMWare工作站:虚拟机IDA Pro反汇编程序与x86/x64 Hexaray反编译器。7.3版的功能WinDbg/WinDbg预览:同一调试器的两个版本。要在旧系统上进行内核池分析,由于一些错误,服务器防御ddos操作,您必须使用旧的WinDbg而不是WinDbg预览版。在较新的系统上,建议使用WinDbg预览版,因为它更快virtualkd:Windows虚拟机内核快速调试IDArling:IDA Pro协作插件,2人使用ret sync:IDA-Pro/WinDbg同步插件,提供更好的开发体验用于补丁扩散的最好的IDA Pro插件HexRaysPyTools:hexaray helper插件,用于递归地传播(新)类型绘图.io:图表创建许多在线工具/资源也非常有用:j00ru的syscall表,用于将漏洞攻击移植到多个Windows版本Vergilius Windows Structure browser:比较Windows版本之间的Windows和KTM相关结构,移植该漏洞ReactOS:分析一些互斥函数和命名管道结构的实现感谢所有开发和维护上述工具和资源的人!从Windows 7开始我们曾反复讨论过从Windows7开始,最终选择它是因为根据我们在开发win32k时的经验,有时会有更多的符号,所以我们认为KTM也可能是这样的——尽管实际上,据我们所知,它最终并没有什么不同。选择Windows7的另一个原因是IDA不能很好地用于包含多个相关文件的项目。从Windows8开始,KTM从ntoskrnl.exe文件进入技术系统. 专注于技术系统由于只包含KTM函数,一开始可能看起来很吸引人。然而,这实际上会使反向操作更加繁琐,因为KTM使用了来自蓝屏死机,所以我们要在两个IDA数据库之间切换。首先针对windows7的一个缺点是我们首先构建了一个适用于Vista和windows7的write原语。然而,由于windows8及更高版本的缓解,它最终失败了,迫使我们重新审视我们的方法。这些决定总是有权衡的。通常情况下最好不要过度分析并继续下去。鉴于我们的反转主要是在Windows7上完成的,本文中几乎所有的代码片段都是从Windows7反编译的ntoskrnl.exe文件二元的。在其他Windows版本中,如果行为上有一些值得注意的差异,我们会尽量提及,但由于漏洞相当复杂,我们很可能忽略了一些细节。因此,如果您选择复制,请注意,当您在WindowsVista到10之间进行移植时,您将在代码、结构布局、偏移量等方面遇到细微差异。如果存在这些差异,在移植漏洞时,它们有时需要特殊的外壳。另外值得注意的是,windows8及更高版本的KTM修补程序漏洞比其他版本更容易ntoskrnl.exe文件当修补程序差异化时,更改或漏洞将显示在结果中技术系统.我们专门将Windows 7 x64版本ntoskrnl.exe文件版本6.1.7601.24291。了解Windows内核事务管理器(KTM)文档在看了这个补丁(我们将在后面描述)之后,并没有真正理解我们所看到的内容,我们决定首先需要尽可能多地了解KTM。我们选择从反转大多数主要内核api和系统调用实现开始,同时构建我们自己的一组userland代码示例来探索api。我们知道,我们最终能够重新利用大量的小样本进行开发,这使我们能够慢慢建立起坚实的理解基础。与其他许多MSDN页面不同,MSDN-KTM门户上的KTM代码的公共示例非常少,因此我们可以重用的代码片段不多。另一个资源是MSDN内核模式KTM门户,它从内核端讨论KTM的内部结构。这是非常有用的,但也压倒当试图理解新的概念。它是特别好的不了解一切,但真正值得一读。还要注意,我们只对内核api感兴趣,以便更好地理解概念,但是我们不能直接调用它们,因为我们的本地特权提升漏洞只能调用userland KTM api。因此,我们写的大部分内容都是通过反复试验或