6.调用门
1、調用門執行流程指令格式:
CALL CS:EIP(EIP是廢棄的)cs:真正執行的代碼下面解釋
執行步驟:.
1)根據CS的值查GDT表,找到對應的段描述符,這個描述符是一個調用門
2)在調用門描述符中存儲另一個代碼段段的選擇子
3)選擇子指向的段 ,段.Base +偏移地址就是真正要執行的地址.
當s位為0的時候說明是系統描述符了, type域為1100這時后就是一個門描述符。
它的低16~31位才是代碼真正要調用的代碼存在哪個段中(Segment Selector)
低0~15位存著一段偏移,高16-31位也存著一段偏移(Offset in Segment),兩段偏移組成一個32位地址
(Segment Selector).Base + (Offset in Segment)兩段組成的一段偏移,才是這個指令真正要執行的位置
windows并沒有使用調用門,做實驗要自己構造調用門
高位: 0000(31~16)我們并不知道要跳到哪里先填0 E p位必須為1,DPL為11,s位為0 C TYPE 1100 00 5~7位默認0,0~4也0因為不需要傳參低位: 0008 真正選擇子(Segment Selector) 0000 (Offset in Segment)合成:0000EC00`00080000測試代碼:
void _declspec(naked) GetRegister() { //這里的代碼執行位ring0權限 //int 3會中斷到windbg_asm{int 3retf //注意返回不能是ret} }int main() {//GetRegister();char buff[6];//長調用*(DWORD*)&buff[0] = 0x12345678;*(WORD*)&buff[4] = 0x48;//cs:_asm{call fword ptr[buff]}getchar(); }windbg修改如下
執行后堆棧變化
r3讀取高2g內存
BYTE GDT[6] = {0}; DWORD dwH2GValue;void _declspec(naked) GetRegister() {_asm{pushadpushfdmov eax,0x80b95048mov ebx,[eax]mov dwH2GValue,ebxsgdt GDTpopfdpopadretf //注意返回不能是ret}}void Print() {DWORD gdt_addr = *(PDWORD)(&GDT[2]);WORD gdt_limit = *(PWORD)(&GDT[0]);printf("r0數據:%X gdt_addr:%X gdt_limit:%X", dwH2GValue, gdt_addr,gdt_limit ); }int main() {_asm{mov ebx,ebxmov ebx,ebx}char buff[6];//長調用*(DWORD*)&buff[0] = 0x12345678;*(WORD*)&buff[4] = 0x48;//cs:_asm{call fword ptr[buff]}Print();getchar(); }上面的都是無參數的,下面來看看有參的
只需要修改參數位
0000EC03`00080000
參數位為3說明要傳入3個參數
自己構建門
測試代碼
DWORD x; DWORD y; DWORD z;void _declspec(naked) GetProc() {_asm{pushadpushfd//將參數讀出來mov eax, [esp + 0x24 + 0x8 + 0x8]mov dword ptr ds : [x], eaxmov eax, [esp + 0x24 + 8 + 4]mov dword ptr ds : [y], eaxmov eax, [esp + 0x24 + 8 + 0]mov dword ptr ds:[z],eaxpopfdpopadretf 0xC //平衡堆棧,3個參數}}void Print() {printf("%X %X %X", x, y, z); }int main() {char buff[6];//長調用*(DWORD*)&buff[0] = 0x12345678;*(WORD*)&buff[4] = 0x48;//cs:_asm{push 1push 2push 3call fword ptr[buff]}Print();getchar(); }ESP+0x4到ESP+0x20為8個通用寄存器(pushad)
ESP+0x24為返回地址
ESP+0x24+0x4為調用者CS
ESP+0x24+0x8為第三個參數
ESP+0x24+0x8+0x4為第二個參數
ESP+0x24+0x8+0x8為第一個參數
成功讀取到參數
總結
