导航：首页 > 网络安全 >

如何解析Windows XP版永恒之蓝中的Bug

发表于：2024-09-24 作者：千家信息网编辑

千家信息网最后更新 2024年09月24日，这期内容当中小编将会给大家带来有关如何解析Windows XP版永恒之蓝中的Bug，文章内容丰富且以专业的角度为大家分析和叙述，阅读完这篇文章希望大家可以有所收获。背景黑掉Windows 7已经没什么

千家信息网最后更新 2024年09月24日如何解析Windows XP版永恒之蓝中的Bug

这期内容当中小编将会给大家带来有关如何解析Windows XP版永恒之蓝中的Bug，文章内容丰富且以专业的角度为大家分析和叙述，阅读完这篇文章希望大家可以有所收获。

背景

黑掉Windows 7已经没什么挑战了，我这一次打算重新回顾一下那个针对Windows XP永恒之蓝漏洞的漏洞利用代码，之前这份Exploit就没成功过，而且我尝试了各种版本的补丁和服务包，但这份漏洞利用代码要么无法工作，要么就让设备蓝屏。因此我打算继续研究一下，因为FuzzBunch有太多没有被挖掘出来的"潜力"了。

但是在一次针对其他Windows XP设备的渗透测试过程中，我本来对FuzzBunch没抱希望的，但可怕的是，它竟然能用…

所以我问自己，为什么它能用到外界的Windows XP设备上，却没办法在我的实验环境中使用呢？（长话短说：因为单核/多核/PAE CPU中的NT/HAL存在差别，导致FuzzBunch的XP Payload在单核设备上会终止运行。）

多个漏洞利用链

请记住，永恒之蓝有很多个版本。但是FuzzBunch针对Windows XP的漏洞利用链却和针对其他版本的Exploit有着很大区别，具体请参考DerbyCon 8.0的相关资料：【幻灯片】【视频】。

Payload方法论

原来，漏洞利用代码根本没问题，有问题的是FuzzBunch的Payload。

主要阶段的Shellcode执行的是下列活动：

1.利用KdVersionBlock技术获取&nt和&hal；

2.解析某些必要的函数指针，比如说hal!HalInitializeProcessor；

3.恢复Boot处理器KPCR/KPRCB，因为它会在漏洞利用过程中崩溃；

4.运行DoublePulsar，在SMB服务中植入后门；

5.将nt!PopProcessorIdle的运行状态恢复到正常状态。

单核分支异常

在IdleFunction上设置多个硬件断点，并向Shellcode中设置偏移量+0x170，我们会发现多核设备安装分支的情况跟单核设备的不同。

kd>ba w 1 ffdffc50 "ba e 1 poi(ffdffc50)+0x170;g;"

多核设备会要求获取一个指向hal!HalInitializeProcessor的函数指针。

这个函数估计是用来清理KPRCB的半崩溃状态的。

单核设备无法找到hal!HalInitializeProcessor，sub_547会返回NULL值。Payload将无法继续运行，然后通过数据清零来进行自毁，并且会设置ROP链来释放某些内存，恢复执行流程。

根本原因分析

sub_547这个Shellcode函数无法在单核CPU主机上找到hal!HalInitializeProcessor的地址，从而导致Payload的执行过程被强制终止。因此我们需要对这个Shellcode函数进行逆向分析，找到导致攻击Payload运行失败的根本原因。

这里的内核Shellcode存在一个问题，即没有考虑到Windows XP上所有可用的不同类型的NT内核可执行文件。比如说，多核设备的NT程序（例如ntkrnlamp.exe）可以正常工作，但单核设备（例如ntoskrnl.exe）就会出现问题。除此之外，halmacpi.dll和halacpi.dll也存在类似的问题。