【转】NVIDIA Driver Helper Service栈溢出简单说明

2013-01-03 19:34:16 13 1562
最近传出NVIDIA显卡存在远程溢出漏洞,其实没有传说中那么严重,有很大的局限性。
1、限于win7系统
2、远程溢出需要系统账号才行
以下转自看雪
【转】NVIDIA Driver Helper Service栈溢出简单说明      
--------------------------------------------------------------------------------

详情见36x新闻,本来不想发出来的,不过看到36x的人又在放屁吓人.还是发出来吧.
首先这个洞和nvidia的驱动没有一毛钱关系,不是内核级的漏洞.
NVIDIA Driver Helper Service,是一个r3层的服务.
程序是nvvsvc.exe(win7)或nvvsvc32.exe(xp)
这个程序启动后会创建一个命名管道\\pipe\nsvr,比较特别的是这个管道的dacl是空,也就是说
everyone都可以访问.
然后重要的是这个洞其实只针对win7 x64版有效.在win7 x32版上只能够做到infoleak.
xp x32版下0x52命令不支持,同时老版本的xp版nvvsvc32.exe根本没建命名管道.所以也就没360x吹的那么凶,另外这个洞远程利用的情况下对于win7系统关闭了空连接共享所以必须要一个
用户名密码(且密码不能为空).
下面来看洞:win7 32位版nvvsvc
loc_4035D8:             ; 取后面数据的长度
lea     eax, [ebp-4022h]
push    ebx             ; ebx=2000h
push    eax
mov     [ebp+nNumberOfBytesToWrite], ecx ; ecx=3h
call    sub_43132C      ; 返回时如果5200后面是4000h个41h,那么eax=2000h
pop     ecx
lea     eax, [ebp+eax*2+var_4020] ; eax=ebp+4000h-4020h=ebp-20h
pop     ecx
mov     ecx, [eax]      ; [ebp-20]=00000000h,ecx=0
add     eax, 8          ; eax=lea [ebp-18h]
mov     [ebp+nNumberOfBytesToWrite], ecx
mov     ecx, [eax-4]    ; eax=lea [ebp-1ch],[eax]中的值为00004078h
push    eax             ; eax为地址,地址中的值是收到的数据中4078h后面的41 41 ..
mov     [ebp+dwType], eax
lea     eax, [ebp+nNumberOfBytesToWrite]
push    eax             ; [eax]的值为0
lea     eax, [ebp-4022h]
mov     [ebp+lpData], ecx ; ecx=00004078h
push    eax             ; eax为地址,地址中的值为41 00 41 00....
cmp     dword_491550, edi ; edi=0
jle     short loc_403632

然后在下面触发
loc_40363D:
mov     esi, [ebp+lpData]
add     esp, 0Ch
push    esi             ; 4078h,copy的长度
push    [ebp+dwType]    ; 地址中的值是收到的数据中4078h后面的41 41 ..
lea     eax, [ebp+Buffer] ; 地址中的值会发送回攻击者
push    eax
call    loc_430720      ; bug!!!
add     esp, 0Ch
mov     [ebp+nNumberOfBytesToWrite], esi
jmp     loc_403900

最后再来看内存布局:
ebp-8044h response buffer ---目的
------------------------------recivebuf
ebp-4024h 52 00
ebp-4022h 41 41
......... 41 41
ebp-0024h 41 41
ebp-0022h 00 00
ebp-0020h 00 00 00 00
ebp-001ch 20 00 00 00  -->length
ebp-0018h 41 41 41 41 --->源
ebp-0014h 41 41 41 41
ebp-0010h 41 41 41 41
ebp-000ch 41 41 41 41
ebp-0008h 41 41 41 41
-----------------------------recivebuf
ebp-0004h cookie

漏洞原理:有漏洞的nvvsvc会读recivebuf,判断头两字节是否为52h,如果是跳过52 00后面
的字符串,然后读ebp-1c处的长度(没有任何效验),源为length的偏移往后ebp-18h,并把这些数据移到ebp-8044处的responsebuf,然后调用writefile把数据发给攻击者.如果length定义大点
就会读出ebp-4h处的stack cookie并发给攻击者.
由于32位版下局部变量的内存布局源地址在目的地址的高位,所以这个洞只能造成infoleak.
64位的情况刚好相反,所以能够利用,具体可以见老外的exp不多说.



注:
让win7 32位版的nvvsvc在xp 32位版上运行要改exe的四个地方
1
改引入表的reggetvaluew为regclosekey,因为xp下没这个函数
2
程序入口getcommandlinea调用后改为jmp 00403988
3
8D 4D EC                lea     ecx, [ebp+ThreadId]
51                      push    ecx             ; lpThreadId
6A 04                   push    4               ; CREATE_SUSPENDED
FF 75 F8                push    [ebp+hObject]   ; lpParameter
89 45 EC                mov     [ebp+ThreadId], eax
68 75 34 40 00          push    offset StartAddress ; lpStartAddress
50                      push    eax             ; dwStackSize
50                      push    eax             ; lpThreadAttributes
FF 15 98 B0 46 00       call    ds:CreateThread
89 45 F0                mov     [ebp+hThread], eax
E8 F0 E8 FF FF          call    sub_402313      ; 这个call要注解掉

4
loc_403632:
lea     edi, [ebp+lpData]
call    sub_4025D0      ; nop掉

附件说明:
nvvsvc32.rar是把win7 32位版的nvvsvc改了下让其可以在xp和win下运行不管你是否有nvidia的显卡
exp是改的老外的攻击程序,读32位版的cookie.(ps:老外还是很牛的)
攻击成功效果:
C:\Documents and Settings\mj0011\桌面\新建文件夹\ms0x-0xx\nvidia pipe>exp local
  ** Nvvsvc.exe Nsvr Pipe Exploit (Local/Domain) **
                 [ () peterwintrsmith]
- Win7 x64 DEP + ASLR + GS Bypass - Christmas 2012 -

        Action 1 of 9:  - CONNECT

        Action 2 of 9:  - CLIENT => SERVER
                Written 16416 (0x4020) characters to pipe

        Action 3 of 9:   - SERVER => CLIENT
                Read 32 (0x20) characters from pipe

        Action 4 of 9: Building exploit ...
                 => Stack cookie 0xb5b04abd:

        Action 5 of 9:  - CLIENT => SERVER
                Written 16416 (0x4020) characters to pipe

        Action 6 of 9:   - SERVER => CLIENT
                Read 16384 (0x4000) characters from pipe

        Action 7 of 9:  - CLIENT => SERVER
                Written 16416 (0x4020) characters to pipe

        Action 8 of 9:   - SERVER => CLIENT
!! Error reading from pipe (at least, no data on pipe)

关于作者

评论13次

要评论?请先  登录  或  注册