【转】NVIDIA Driver Helper Service栈溢出简单说明
最近传出NVIDIA显卡存在远程溢出漏洞,其实没有传说中那么严重,有很大的局限性。
1、限于win7系统
2、远程溢出需要系统账号才行
以下转自看雪
【转】NVIDIA Driver Helper Service栈溢出简单说明
--------------------------------------------------------------------------------
详情见36x新闻,本来不想发出来的,不过看到36x的人又在放屁吓人.还是发出来吧.
首先这个洞和nvidia的驱动没有一毛钱关系,不是内核级的漏洞.
NVIDIA Driver Helper Service,是一个r3层的服务.
程序是nvvsvc.exe(win7)或nvvsvc32.exe(xp)
这个程序启动后会创建一个命名管道\\pipe\nsvr,比较特别的是这个管道的dacl是空,也就是说
everyone都可以访问.
然后重要的是这个洞其实只针对win7 x64版有效.在win7 x32版上只能够做到infoleak.
xp x32版下0x52命令不支持,同时老版本的xp版nvvsvc32.exe根本没建命名管道.所以也就没360x吹的那么凶,另外这个洞远程利用的情况下对于win7系统关闭了空连接共享所以必须要一个
用户名密码(且密码不能为空).
下面来看洞:win7 32位版nvvsvc
loc_4035D8: ; 取后面数据的长度
lea eax, [ebp-4022h]
push ebx ; ebx=2000h
push eax
mov [ebp+nNumberOfBytesToWrite], ecx ; ecx=3h
call sub_43132C ; 返回时如果5200后面是4000h个41h,那么eax=2000h
pop ecx
lea eax, [ebp+eax*2+var_4020] ; eax=ebp+4000h-4020h=ebp-20h
pop ecx
mov ecx, [eax] ; [ebp-20]=00000000h,ecx=0
add eax, 8 ; eax=lea [ebp-18h]
mov [ebp+nNumberOfBytesToWrite], ecx
mov ecx, [eax-4] ; eax=lea [ebp-1ch],[eax]中的值为00004078h
push eax ; eax为地址,地址中的值是收到的数据中4078h后面的41 41 ..
mov [ebp+dwType], eax
lea eax, [ebp+nNumberOfBytesToWrite]
push eax ; [eax]的值为0
lea eax, [ebp-4022h]
mov [ebp+lpData], ecx ; ecx=00004078h
push eax ; eax为地址,地址中的值为41 00 41 00....
cmp dword_491550, edi ; edi=0
jle short loc_403632
然后在下面触发
loc_40363D:
mov esi, [ebp+lpData]
add esp, 0Ch
push esi ; 4078h,copy的长度
push [ebp+dwType] ; 地址中的值是收到的数据中4078h后面的41 41 ..
lea eax, [ebp+Buffer] ; 地址中的值会发送回攻击者
push eax
call loc_430720 ; bug!!!
add esp, 0Ch
mov [ebp+nNumberOfBytesToWrite], esi
jmp loc_403900
最后再来看内存布局:
ebp-8044h response buffer ---目的
------------------------------recivebuf
ebp-4024h 52 00
ebp-4022h 41 41
......... 41 41
ebp-0024h 41 41
ebp-0022h 00 00
ebp-0020h 00 00 00 00
ebp-001ch 20 00 00 00 -->length
ebp-0018h 41 41 41 41 --->源
ebp-0014h 41 41 41 41
ebp-0010h 41 41 41 41
ebp-000ch 41 41 41 41
ebp-0008h 41 41 41 41
-----------------------------recivebuf
ebp-0004h cookie
漏洞原理:有漏洞的nvvsvc会读recivebuf,判断头两字节是否为52h,如果是跳过52 00后面
的字符串,然后读ebp-1c处的长度(没有任何效验),源为length的偏移往后ebp-18h,并把这些数据移到ebp-8044处的responsebuf,然后调用writefile把数据发给攻击者.如果length定义大点
就会读出ebp-4h处的stack cookie并发给攻击者.
由于32位版下局部变量的内存布局源地址在目的地址的高位,所以这个洞只能造成infoleak.
64位的情况刚好相反,所以能够利用,具体可以见老外的exp不多说.
注:
让win7 32位版的nvvsvc在xp 32位版上运行要改exe的四个地方
1
改引入表的reggetvaluew为regclosekey,因为xp下没这个函数
2
程序入口getcommandlinea调用后改为jmp 00403988
3
8D 4D EC lea ecx, [ebp+ThreadId]
51 push ecx ; lpThreadId
6A 04 push 4 ; CREATE_SUSPENDED
FF 75 F8 push [ebp+hObject] ; lpParameter
89 45 EC mov [ebp+ThreadId], eax
68 75 34 40 00 push offset StartAddress ; lpStartAddress
50 push eax ; dwStackSize
50 push eax ; lpThreadAttributes
FF 15 98 B0 46 00 call ds:CreateThread
89 45 F0 mov [ebp+hThread], eax
E8 F0 E8 FF FF call sub_402313 ; 这个call要注解掉
4
loc_403632:
lea edi, [ebp+lpData]
call sub_4025D0 ; nop掉
附件说明:
nvvsvc32.rar是把win7 32位版的nvvsvc改了下让其可以在xp和win下运行不管你是否有nvidia的显卡
exp是改的老外的攻击程序,读32位版的cookie.(ps:老外还是很牛的)
攻击成功效果:
C:\Documents and Settings\mj0011\桌面\新建文件夹\ms0x-0xx\nvidia pipe>exp local
** Nvvsvc.exe Nsvr Pipe Exploit (Local/Domain) **
[ () peterwintrsmith]
- Win7 x64 DEP + ASLR + GS Bypass - Christmas 2012 -
Action 1 of 9: - CONNECT
Action 2 of 9: - CLIENT => SERVER
Written 16416 (0x4020) characters to pipe
Action 3 of 9: - SERVER => CLIENT
Read 32 (0x20) characters from pipe
Action 4 of 9: Building exploit ...
=> Stack cookie 0xb5b04abd:
Action 5 of 9: - CLIENT => SERVER
Written 16416 (0x4020) characters to pipe
Action 6 of 9: - SERVER => CLIENT
Read 16384 (0x4000) characters from pipe
Action 7 of 9: - CLIENT => SERVER
Written 16416 (0x4020) characters to pipe
Action 8 of 9: - SERVER => CLIENT
!! Error reading from pipe (at least, no data on pipe)
1、限于win7系统
2、远程溢出需要系统账号才行
以下转自看雪
【转】NVIDIA Driver Helper Service栈溢出简单说明
--------------------------------------------------------------------------------
详情见36x新闻,本来不想发出来的,不过看到36x的人又在放屁吓人.还是发出来吧.
首先这个洞和nvidia的驱动没有一毛钱关系,不是内核级的漏洞.
NVIDIA Driver Helper Service,是一个r3层的服务.
程序是nvvsvc.exe(win7)或nvvsvc32.exe(xp)
这个程序启动后会创建一个命名管道\\pipe\nsvr,比较特别的是这个管道的dacl是空,也就是说
everyone都可以访问.
然后重要的是这个洞其实只针对win7 x64版有效.在win7 x32版上只能够做到infoleak.
xp x32版下0x52命令不支持,同时老版本的xp版nvvsvc32.exe根本没建命名管道.所以也就没360x吹的那么凶,另外这个洞远程利用的情况下对于win7系统关闭了空连接共享所以必须要一个
用户名密码(且密码不能为空).
下面来看洞:win7 32位版nvvsvc
loc_4035D8: ; 取后面数据的长度
lea eax, [ebp-4022h]
push ebx ; ebx=2000h
push eax
mov [ebp+nNumberOfBytesToWrite], ecx ; ecx=3h
call sub_43132C ; 返回时如果5200后面是4000h个41h,那么eax=2000h
pop ecx
lea eax, [ebp+eax*2+var_4020] ; eax=ebp+4000h-4020h=ebp-20h
pop ecx
mov ecx, [eax] ; [ebp-20]=00000000h,ecx=0
add eax, 8 ; eax=lea [ebp-18h]
mov [ebp+nNumberOfBytesToWrite], ecx
mov ecx, [eax-4] ; eax=lea [ebp-1ch],[eax]中的值为00004078h
push eax ; eax为地址,地址中的值是收到的数据中4078h后面的41 41 ..
mov [ebp+dwType], eax
lea eax, [ebp+nNumberOfBytesToWrite]
push eax ; [eax]的值为0
lea eax, [ebp-4022h]
mov [ebp+lpData], ecx ; ecx=00004078h
push eax ; eax为地址,地址中的值为41 00 41 00....
cmp dword_491550, edi ; edi=0
jle short loc_403632
然后在下面触发
loc_40363D:
mov esi, [ebp+lpData]
add esp, 0Ch
push esi ; 4078h,copy的长度
push [ebp+dwType] ; 地址中的值是收到的数据中4078h后面的41 41 ..
lea eax, [ebp+Buffer] ; 地址中的值会发送回攻击者
push eax
call loc_430720 ; bug!!!
add esp, 0Ch
mov [ebp+nNumberOfBytesToWrite], esi
jmp loc_403900
最后再来看内存布局:
ebp-8044h response buffer ---目的
------------------------------recivebuf
ebp-4024h 52 00
ebp-4022h 41 41
......... 41 41
ebp-0024h 41 41
ebp-0022h 00 00
ebp-0020h 00 00 00 00
ebp-001ch 20 00 00 00 -->length
ebp-0018h 41 41 41 41 --->源
ebp-0014h 41 41 41 41
ebp-0010h 41 41 41 41
ebp-000ch 41 41 41 41
ebp-0008h 41 41 41 41
-----------------------------recivebuf
ebp-0004h cookie
漏洞原理:有漏洞的nvvsvc会读recivebuf,判断头两字节是否为52h,如果是跳过52 00后面
的字符串,然后读ebp-1c处的长度(没有任何效验),源为length的偏移往后ebp-18h,并把这些数据移到ebp-8044处的responsebuf,然后调用writefile把数据发给攻击者.如果length定义大点
就会读出ebp-4h处的stack cookie并发给攻击者.
由于32位版下局部变量的内存布局源地址在目的地址的高位,所以这个洞只能造成infoleak.
64位的情况刚好相反,所以能够利用,具体可以见老外的exp不多说.
注:
让win7 32位版的nvvsvc在xp 32位版上运行要改exe的四个地方
1
改引入表的reggetvaluew为regclosekey,因为xp下没这个函数
2
程序入口getcommandlinea调用后改为jmp 00403988
3
8D 4D EC lea ecx, [ebp+ThreadId]
51 push ecx ; lpThreadId
6A 04 push 4 ; CREATE_SUSPENDED
FF 75 F8 push [ebp+hObject] ; lpParameter
89 45 EC mov [ebp+ThreadId], eax
68 75 34 40 00 push offset StartAddress ; lpStartAddress
50 push eax ; dwStackSize
50 push eax ; lpThreadAttributes
FF 15 98 B0 46 00 call ds:CreateThread
89 45 F0 mov [ebp+hThread], eax
E8 F0 E8 FF FF call sub_402313 ; 这个call要注解掉
4
loc_403632:
lea edi, [ebp+lpData]
call sub_4025D0 ; nop掉
附件说明:
nvvsvc32.rar是把win7 32位版的nvvsvc改了下让其可以在xp和win下运行不管你是否有nvidia的显卡
exp是改的老外的攻击程序,读32位版的cookie.(ps:老外还是很牛的)
攻击成功效果:
C:\Documents and Settings\mj0011\桌面\新建文件夹\ms0x-0xx\nvidia pipe>exp local
** Nvvsvc.exe Nsvr Pipe Exploit (Local/Domain) **
[ () peterwintrsmith]
- Win7 x64 DEP + ASLR + GS Bypass - Christmas 2012 -
Action 1 of 9: - CONNECT
Action 2 of 9: - CLIENT => SERVER
Written 16416 (0x4020) characters to pipe
Action 3 of 9: - SERVER => CLIENT
Read 32 (0x20) characters from pipe
Action 4 of 9: Building exploit ...
=> Stack cookie 0xb5b04abd:
Action 5 of 9: - CLIENT => SERVER
Written 16416 (0x4020) characters to pipe
Action 6 of 9: - SERVER => CLIENT
Read 16384 (0x4000) characters from pipe
Action 7 of 9: - CLIENT => SERVER
Written 16416 (0x4020) characters to pipe
Action 8 of 9: - SERVER => CLIENT
!! Error reading from pipe (at least, no data on pipe)
关于作者
评论13次
windbg测试看看
显卡溢出。。。牛逼啊
膜拜楼主
局限性确实很高 360爱扯淡
还是朦胧, 只能win7 64 就算鸡肋了
仅限于win7 用途不大吧 2008的还差不多
这个我看着很迷茫啊
MJ发现的?
留个记号 明天上班仔细看下!
360x的说法有点夸张了
C:\Documents and Settings\mj0011\桌面\新建文件夹\ms0x-0xx\nvidia pipe>exp local ** Nvvsvc.exe Nsvr Pipe Exploit (Local/Domain) ** - 低调求发展3 d$ f9 u7 C3 @. _ [ () peterwintrsmith]www.t00ls.net/ K& J# ]5 e) f7 _, b4 Q mj0011亮瞎我的钛合金
补上附件
强大的分析