If someone is new in exploit development, where do you recommend to find bugs?
windows 10 and windows server 2016-2019
windows 10 and windows server 2016-2019
-
XSS.stack #1 – первый литературный журнал от юзеров форума
where is best location for find vulnerability in windows kernel
- Автор темы ccs
- Дата начала
i don't know , but iam interested , i guess if you search in google for windows kernel vulnerabilities and get the most finded vulnerability i guess this will give you and overview at least , GL its seems a good question to ask .
В ядре имеется в виду ntoskrnl.exe или целиком контекст ядра? В ntoskrnl.exe самой очевидной целью для анализа являются сисколы (функции с Nt* префиксом), многое уже было публично выдрочено j00ru примерно в 2018 году, но с тех пор появилось и появляются новые сисколы, которые, вероятно, еще никто глубоко не анализировал. Как часто бывает в новой функциональности кроются баги.
Если целиком рассматривать контекст ядра, то в тренде сейчас фаззинг драйверов типа cng.sys, clfs.sys, по-прежнему актуальна графическая подсистема - win32k.sys, dxgkrnl.sys. Эти драйвера примечательны тем, что у них есть юзермодные библиотеки с экспортируемыми функциями или теми же сисколами (win32u.dll, например), которые удобно фаззить.
Есть еще большая поверхность атаки для подсистемы WSL, но она также косвенно связана с dxgkrnl.sys.
В общем концептуально логично анализировать любой код (в виде разных dll), который позволяет передавать подконтрольные данные через user mode -> kernel mode security boundary. Упомяну еще I/O Request Packet интерфейс, но для новичка тестирование драйверов посредством этого интерфейса через DeviceIoControl может быть трудной задачей, а иногда, если права драйвера корректно настроены, то позволяет взаимодействовать с устройством только от админа, что не очень интересно.
В любом случае, patch diffing должен стать твоим другом, чтобы иметь возможность не только выявлять исправления, но и новую функциональность. Bindiff позволяет это делать.
Собственно, вот пример свежей уязвимости в подсистеме ALPC - http://www[.]whsgwl.net/images/NtosKrnl_ALPC_UAF_AlpcpMapLegacyPortView.pdf
Если целиком рассматривать контекст ядра, то в тренде сейчас фаззинг драйверов типа cng.sys, clfs.sys, по-прежнему актуальна графическая подсистема - win32k.sys, dxgkrnl.sys. Эти драйвера примечательны тем, что у них есть юзермодные библиотеки с экспортируемыми функциями или теми же сисколами (win32u.dll, например), которые удобно фаззить.
Есть еще большая поверхность атаки для подсистемы WSL, но она также косвенно связана с dxgkrnl.sys.
В общем концептуально логично анализировать любой код (в виде разных dll), который позволяет передавать подконтрольные данные через user mode -> kernel mode security boundary. Упомяну еще I/O Request Packet интерфейс, но для новичка тестирование драйверов посредством этого интерфейса через DeviceIoControl может быть трудной задачей, а иногда, если права драйвера корректно настроены, то позволяет взаимодействовать с устройством только от админа, что не очень интересно.
В любом случае, patch diffing должен стать твоим другом, чтобы иметь возможность не только выявлять исправления, но и новую функциональность. Bindiff позволяет это делать.
Собственно, вот пример свежей уязвимости в подсистеме ALPC - http://www[.]whsgwl.net/images/NtosKrnl_ALPC_UAF_AlpcpMapLegacyPortView.pdf
Последнее редактирование:
kernel32.dll
It's user-mode dll, not the actual Windows kernel. Could you remember abused vulns, finded in this lib?