Windows内核漏洞利用：从Windows 7到Windows 10（下）<\/h1>

前言<\/h2>
本文是Windows内核漏洞利用系列的第六篇，重点讨论在Windows 10 RS1、RS2和RS3版本中的利用技术。我们将分析微软引入的缓解措施以及相应的绕过方法。<\/p>

回顾：Windows 7到Windows 8.1 1503的利用<\/h2>

在之前的版本中，我们主要利用bitmap对象实现读写原语：<\/p>

泄露hmanager bitmap和hworker bitmap地址<\/li>
泄露出它们的pvScan0地址<\/li>
利用write-what-where将hmanager的pvScan0改为hworker pvScan0地址<\/li>

读操作：

对hmanager setbitmapbits使worker的pvScan0变为任意地址<\/li>
使用hworker getbitmapbits对任意地址进行读操作<\/li> <\/ul> <\/li>

写操作：

对hmanager setbitmapbits使worker的pvScan0变为任意地址<\/li>

使用hworker getbitmapbits对任意地址进行写操作<\/li> <\/ul> <\/li> <\/ol>

Windows 10 RS1（1607）的缓解措施<\/h2>

在RS1版本中，微软修改了GdiShreadHandleTable<\/code>的行为：<\/p>


1511版本：GdiShreadHandleTable<\/code>指向真实指针<\/li>
1607版本：GdiShreadHandleTable<\/code>不再指向真实指针，导致之前的利用方法失效<\/li>
<\/ul>
绕过方法：泄露bitmap地址<\/h3>
虽然直接获取bitmap地址的方法失效，但我们可以通过gSharedInfo<\/code>结构来泄露内核地址：<\/p>

gSharedInfo<\/code>结构包含aheList<\/code>表，存放与句柄关联的信息<\/li>
每个HANDLE_ENTRY<\/code>结构包含指向该句柄的内核地址<\/li>
通过计算可以获取内核对象地址<\/li>
<\/ol>
具体实现步骤<\/h3>


使用CreateAcceleratorTable<\/code>和DestroyAcceleratorTable<\/code>进行堆喷<\/p>

不断分配和释放pool，观察地址重用情况<\/li>
bitmap对象也位于paged pool session，大小相似<\/li>
<\/ul>
<\/li>

通过分配相同大小的bitmap，利用地址重用泄露bitmap地址<\/p>

实验表明，传入参数700时重用稳定性较好<\/li>
<\/ul>
<\/li>

泄露基地址<\/p>

使用NtQuerySystemInformation<\/code>获取内核模块信息<\/li>
第二个参数指定查询类型（内核模块信息）<\/li>
<\/ul>
<\/li>
<\/ol>
Windows 10 RS2的利用<\/h2>
在RS2版本中，微软进一步限制了信息泄露：<\/p>

HANDLE_ENTRY<\/code>结构体的pkernel<\/code>字段被禁用<\/li>
gSharedInfo<\/code>泄露bitmap地址的方法失效<\/li>
<\/ul>
替代方法：使用tagCLS对象<\/h3>

利用tagCLS<\/code>对象及其lpszMenuName<\/code>字段<\/li>
方法与第四章中描述的类似<\/li>
通过精心构造的对象布局实现信息泄露<\/li>
<\/ol>
Windows 10 RS3的利用<\/h2>
在RS3版本中，微软对bitmap对象做了重大修改：<\/p>

将pvScan0<\/code>和pvBits<\/code>指向的对象移到heap中<\/li>
传统的bitmap利用技术失效<\/li>
<\/ul>
替代方法：使用Palette对象<\/h3>

Palette对象具有与bitmap类似的结构<\/li>
即使在RS3版本上仍然可用<\/li>
利用步骤：

创建Palette对象<\/li>
研究其pool分配大小关系（类似第四章对bitmap的分析）<\/li>
实现类似的读写原语<\/li>
<\/ul>
<\/li>
<\/ol>
总结与思考<\/h2>
项目经验<\/h3>

从Windows 7到Windows 10各版本都找到了可利用的方法<\/li>
通过阅读paper+调试+阅读源码的方式完成研究<\/li>
后期项目可以直接复用代码，专注于WWW（write-what-where）构造<\/li>
<\/ol>
缓解措施演进<\/h3>
绕过思路的演进过程：<\/p>

最初使用bitmap（通过GDISHAREDHANDLETABLE）<\/li>
GDISHAREDTABLE被限制 → 改用gSharedInfo<\/li>
gSharedInfo被限制 → 改用fengshui预判<\/li>
bitmap被限制 → 改用palette对象<\/li>
<\/ol>
关于RS4和RS5<\/h3>
在RS4\/RS5中：<\/p>

HmValidateHandle<\/code>失去效果，失去泄露GDI对象的直接方法<\/li>
可能有新的思路待验证（作者提到有想法但尚未实验）<\/li>
<\/ol>
关键代码与技术要点<\/h2>
RS1泄露bitmap地址<\/h3>
\/\/ 堆喷加速器表
<\/span><\/span><\/span><\/span>for<\/span>(int<\/span> i=<\/span>0<\/span>; i<<\/span>1000<\/span>; i++<\/span>) {
<\/span><\/span>    hAccel =<\/span> CreateAcceleratorTable(accel, 1<\/span>);
<\/span><\/span>    DestroyAcceleratorTable(hAccel);
<\/span><\/span>}
<\/span><\/span>
<\/span><\/span>\/\/ 分配bitmap
<\/span><\/span><\/span><\/span>hManager =<\/span> CreateBitmap(0x1000<\/span>, 0x1000<\/span>, 1<\/span>, 8<\/span>, NULL);
<\/span><\/span>hWorker =<\/span> CreateBitmap(0x1000<\/span>, 0x1000<\/span>, 1<\/span>, 8<\/span>, NULL);
<\/span><\/span>
<\/span><\/span>\/\/ 通过gSharedInfo泄露地址
<\/span><\/span><\/span><\/span>PSHAREDINFO gSharedInfo =<\/span> GetSharedInfo();
<\/span><\/span>PHANDLEENTRY entry =<\/span> &<\/span>gSharedInfo-><\/span>aheList[handle_index];
<\/span><\/span>ULONG_PTR kernelAddr =<\/span> entry-><\/span>phead;
<\/span><\/span><\/code><\/pre>RS3使用Palette对象<\/h3>
\/\/ 创建Palette对象
<\/span><\/span><\/span><\/span>HPALETTE hPal =<\/span> CreatePalette(pal);
<\/span><\/span>
<\/span><\/span>\/\/ 利用Palette实现读写原语
<\/span><\/span><\/span>\/\/ 类似bitmap的操作，但使用Palette特有字段
<\/span><\/span><\/span><\/code><\/pre>调试技巧<\/h2>

使用调试器验证gSharedInfo<\/code>结构<\/li>
观察pool分配和重用模式<\/li>
比较不同Windows版本中关键结构的变化<\/li>
使用!pool<\/code>命令检查对象内存布局<\/li>
<\/ol>
后续研究方向<\/h2>

RS4\/RS5版本的利用方法探索<\/li>
新的信息泄露技术<\/li>
绕过最新缓解措施的其他思路<\/li>
从利用技术反推漏洞分析技术<\/li>
<\/ol>
结论<\/h2>
Windows内核漏洞利用是一个不断演进的过程，随着微软引入新的缓解措施，研究者需要不断寻找新的绕过方法。从bitmap到palette的转变展示了漏洞利用技术的适应性和创造性。理解这些技术的演进过程对于开发新的利用方法至关重要。<\/p>

Windows内核漏洞利用：从Windows 7到Windows 10（下）<\/h1>

前言<\/h2> 本文是Windows内核漏洞利用系列的第六篇，重点讨论在Windows 10 RS1、RS2和RS3版本中的利用技术。我们将分析微软引入的缓解措施以及相应的绕过方法。<\/p>

总结与思考<\/h2>

关键代码与技术要点<\/h2>

前言<\/h2>
本文是Windows内核漏洞利用系列的第六篇，重点讨论在Windows 10 RS1、RS2和RS3版本中的利用技术。我们将分析微软引入的缓解措施以及相应的绕过方法。<\/p>