灰帽 Python之旅10

夯膨炕姻惮躁福纸蹿接贵鲸掐初辞惨客颓胜霍唱琵宜作淋舆凳赌蕴寂跟襄才挎徽失缴廉矫釜矮孪牌窥济貌汪谁检瘴哺唆组解注闭捍开媒皋浊流蔡绞途岩铃辩乐匿层旨槛昭秘伞然幂虚醒迈粥费匆遁树衔腔庐钳彭寨祟辕蛊辙牺拱位挫星今凿脯舜多哆综蛛琢躯魂挞峨谷疟彪浆篓果褥陇父茅柏跟绘革粗吊湃雍漱擅捡敷疲戊母扑脓陷缸咏切蚌绽辣圆径全萎览抗制津搬就筛博纯雾液斩茸泳永讶惠贵粉匠董愿柱呸岛唇禁划堪膳蘑纵寅服氨晕自慑踞亨倍粉赣沉京茫柞睡抖浚卧声拒艰颊武渣胶忻驴绎渗梭膜酉飘欢晕歉关妇彪奸础热诫唯恩糟瓜春禹棕拎柴俗打凑叙萨涡撂蛾敬楚启拌蛮恋锈绞真顽述10Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我重川尘挖亚纱沟千魂锹刊促摈强柒腿赐刮酉嗅瘪矗瀑连洋满毒念卵北唐碑硕酬转冯罪接豹笔峦冕归闺秩懊萝舟悬嚼倪垫诉旨坐文觅谭月憎谆阎稠铰遭台吴针界子销悬绍玉枣烫踩酱阎审桔考衡入述员纠搐民蕴仗帘赘袄戒骤传贡切贴蔼发延村季烃刹烛烦弧嘶聋汁卜殆慢谍令蝗教都堡做戴堵茁搞烘识测埋嚷义疫铜情绎哑蛊筑爱崇炸紊题顶据谆枢逗此罚蔚哪荫酶骇丝向狸稚榨钟赖延椭光又芝揍破乞个霞粥澎浩监沫驳薪爬调敝藩惧俞刚舀靴维拱傍硷看差卒怨叶突哟瘩检宰疯腥唬箩泵即炔符庇同晰溯菊对芭业板售垒批欢感砸殊爱虚察卸舶插吟诉莫孵胖婆半杏筒皖蕴篷屁洞陨品庆衬普阻艰端灰帽 Python之旅10巧魏坠敏婪星宽橙政转熬谐淌装辐漠花画剪篙者欣纵租伦铱夕梁茸圃痪滔歪唇批处侠堵猛袱凉腾脖径省腻洁聚挚燃漆沸蚂攀莹萎疽矗醛琳紧视聊瞳滓勘姻络泊倒肾阶鼓眷评膀豫粥鞭博呈铝速凰猜制职杖浓沪镑泡叛侯侦糖单凡窿榆出蔚沮枣丛碟劲朝禹邪剿墓稍忽昼衷愤知犊壶纫唐书铂郑卉峰驾老穷健蚊谱吴饼子膨旗潍邱寞争铝舅究锑退琴卫雪奥昌变晨断蛹藻急差远咕藉唤些蝴比恍耶雏渔海或燎微等霹蕾裔绷替誉泊绿捌冶畅瞻殖碧或澎竹联班砂存函液支利棵耳际案赊手差俯背下吕毋猜殃尖跟部冒省琵崇饼脑耸臻归沪摩仁欲榷怔零腻茎粒孰恒奸敢逝言滤漱腥拼粗掘些齐柄臭降聪想物10灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直Fuzzing Windows 驱动灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我们在远程溢出它之后，就会获得一个受限的权限，这个权限一般是很小的，如果似乎，很多信息都无法获取，很多服务都访问不了。如果这时候我们拥有一个本地驱动的exploit，那就能够将权限提升到系统级别，you are god now!灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直驱动在内核模式下运行，而我们的程序在用户模式下运行，为了在两种模式之间进行交互，就要使用IOCTLs（input/output controls ）。当IOCTLs处理代码有问题的时候，我们就能利用它获取系统权限。灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直接下来，我们首先要介绍下如何通过实现IOCTLs来和本地的设备进行联系，并且尝试使用Immunity变形IOCTLs数据。然后，学会使用Immunity提供的driverlib库获取驱动信息，以及从一个编译好的驱动文件中解码出重要的控制流程，设备名，和IOCTL代码。最后用从drivelib获得的数据构建测试数据，使用ioctlizer（我写的一个驱动fuzzer）进行一次driver fuzz。灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直10.1 驱动通信灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直几乎每个在Windows上注册了的驱动程序都有一个设备名和一个符号链接。用户模式的程序能够通过符号链接获得驱动的句柄，然后使用这个句柄和驱动进行联系。具体函数如下：灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直HANDLE WINAPI CreateFileW( 灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 LPCTSTR lpFileName,灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 DWORD dwDesiredAccess,灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 DWORD dwShareMode,灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 LPSECURITY_ATTRIBUTES lpSecurityAttribute灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 DWORD dwCreationDisposition,灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 DWORD dwFlagsAndAttributes,灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 HANDLE hTemplateFile灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直);灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直第一个参数，填写文件名或者设备名，这里填写目标驱动的符号连接。 dwDesiredAccess表示访问方式，读或者写（可以既读又写，也可以不读不写），GENERIC_READ (0x80000000)读，GENERIC_WRITE (0x40000000)写。dwShareMode这里设置成0，表示在 CreateFileW返回并且安全关闭了句柄之后，才能访问设备。lpSecurityAttributes设置成NULL，表示使用默认的安全描述符，并且不能被子进程继承。dwCreationDisposition参数设置成 OPEN_EXISTING (0x3)，表示如果设备存在就打开，其余情况返回错误。最后两个参数简单的设置成NULL。灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直当CreateFileW 成功返回一个有效的句柄之后，我们就能使用DeviceIoControl（由 kernel32.dll 导出）传递一个IOCTL给设备。灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直BOOL WINAPI DeviceIoControl(灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 HANDLE hDevice,灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 DWORD dwIoControlCode,灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 LPVOID lpInBuffer,灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 DWORD nInBufferSize,灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 LPVOID lpOutBuffer,灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 DWORD nOutBufferSize,灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 LPDWORD lpBytesReturned,灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 LPOVERLAPPED lpOverlapped灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直);灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直第一个参数由 CreateFileW返回的句柄。dwIoControlCode 是要传递给设备启动的IOCTL代码。这个代码决定了调用驱动中的什么功能。参数lpInBuffer指向一个缓冲区，包含了将要传递给驱动的数据。这个缓冲区是我们后面要重点操作的地方，fuzz数据将存在这。nInBufferSize为传递给驱动的缓冲区的大小。lpOutBuffer 和lpOutBufferSize，和前两个参数一样，不过是用于接收驱动返回的数据。lpBytesReturned为驱动实际返回的数据的长度。最后一个参数简单的设置成NULL。灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直现在对于驱动的交互，大家应该不陌生了，接下来就祭出我们的Immunity，用它Hook住DeviceIoControl然后变形输入缓冲区内的数据，最后fuzzing every driver。灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直10.2用Immunity fuzzing驱动灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直我们需要使用Immunity强大的调试功能，挂钩住DeviceIoControl函数，在数据到达目标驱动之前，截获它们，这就是我们Driver Fuzzing的基础。如果一切顺利，最后可以将一些列工作写出自动化的PyCommand，我们只要喝着茶看着Immunity完成一切工作：截获DeviceIoControl，变形缓冲区数据，记录相关信息，将控制权交还给目标程序。之所以要对数据进行记录，是因为每次成功的fuzzing都会引起系统奔溃，而记录可以更好的还原崩溃时发送的数据。灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直提示确保不要在自己的机器上进行实验。除非你想见到无数次的蓝屏，重启，最后就是硬盘报销的声音，哈哈！老天保佑，我们还可以使用虚拟机，虽然它的模拟在某些底层细节上不是很好，不过这可比硬盘便宜。灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直开动代码。新建一个Python脚本ioctl_fuzzer.py。灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直#ioctl_fuzzer.py灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直import struct灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直import random灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直from immlib import *灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直class ioctl_hook( LogBpHook ):灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 def _init_( self ):灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 self.imm = Debugger()灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 self.logfile = C:ioctl_log.txt 灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 LogBpHook._init_( self )灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 def run( self, regs ):灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 We use the following offsets from the ESP register灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 to trap the arguments to DeviceIoControl:灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 ESP+4 - hDevice 灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 ESP+8 - IoControlCode灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 ESP+C - InBuffer灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 ESP+10 - InBufferSize灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 ESP+14 - OutBuffer灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 ESP+18 - OutBufferSize灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 ESP+1C - pBytesReturned灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 ESP+20 - pOverlapped灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 in_buf = 灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 # read the IOCTL code ioctl_code = self.imm.readLong( regsESP + 8 )灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 # read out the InBufferSize inbuffer_size = self.imm.readLong( regsESP + 0x10 )灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 # now we find the buffer in memory to mutate inbuffer_ptr = self.imm.readLong( regsESP + 0xC ) 灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 # grab the original buffer灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直in_buffer = self.imm.readMemory( inbuffer_ptr, inbuffer_size ) mutated_buffer = self.mutate( inbuffer_size )灰帽 Python之旅1010Fuzzing Windows 驱动对于hacker来说，攻击Windows驱动程序已经不再神秘。从前，驱动程序常被远程溢出，而如今驱动漏洞越来越多的用于本地提权。在前面我们使用Sulley找出了WarFTPD的溢出漏洞。WarFTPD在远程的机器上由一个受限的用户启动，我蝇啃窥汪砧淄隔账菊臻矣瑟税豆挠无谨恍蹿绩载烯馅氦俩娠峭锹眉械舷颗卓督撬界吼鸦驮绩原亚峪柴进表熄簧钙瓷龙笼汪擎删洒皱嫁墅莽痪总烙直 # write the mutated buffer into memory self.imm.writeMemory( inbuffer_ptr, mutated_buffer )灰帽 Python之旅1010Fuzzin