6.调用门
1、調(diào)用門執(zhí)行流程指令格式:
CALL CS:EIP(EIP是廢棄的)cs:真正執(zhí)行的代碼下面解釋
執(zhí)行步驟:.
1)根據(jù)CS的值查GDT表,找到對應(yīng)的段描述符,這個描述符是一個調(diào)用門
2)在調(diào)用門描述符中存儲另一個代碼段段的選擇子
3)選擇子指向的段 ,段.Base +偏移地址就是真正要執(zhí)行的地址.
當(dāng)s位為0的時候說明是系統(tǒng)描述符了, type域?yàn)?100這時后就是一個門描述符。
它的低16~31位才是代碼真正要調(diào)用的代碼存在哪個段中(Segment Selector)
低0~15位存著一段偏移,高16-31位也存著一段偏移(Offset in Segment),兩段偏移組成一個32位地址
(Segment Selector).Base + (Offset in Segment)兩段組成的一段偏移,才是這個指令真正要執(zhí)行的位置
windows并沒有使用調(diào)用門,做實(shí)驗(yàn)要自己構(gòu)造調(diào)用門
高位: 0000(31~16)我們并不知道要跳到哪里先填0 E p位必須為1,DPL為11,s位為0 C TYPE 1100 00 5~7位默認(rèn)0,0~4也0因?yàn)椴恍枰獋鲄⒌臀?#xff1a; 0008 真正選擇子(Segment Selector) 0000 (Offset in Segment)合成:0000EC00`00080000測試代碼:
void _declspec(naked) GetRegister() { //這里的代碼執(zhí)行位ring0權(quán)限 //int 3會中斷到windbg_asm{int 3retf //注意返回不能是ret} }int main() {//GetRegister();char buff[6];//長調(diào)用*(DWORD*)&buff[0] = 0x12345678;*(WORD*)&buff[4] = 0x48;//cs:_asm{call fword ptr[buff]}getchar(); }windbg修改如下
執(zhí)行后堆棧變化
r3讀取高2g內(nèi)存
BYTE GDT[6] = {0}; DWORD dwH2GValue;void _declspec(naked) GetRegister() {_asm{pushadpushfdmov eax,0x80b95048mov ebx,[eax]mov dwH2GValue,ebxsgdt GDTpopfdpopadretf //注意返回不能是ret}}void Print() {DWORD gdt_addr = *(PDWORD)(&GDT[2]);WORD gdt_limit = *(PWORD)(&GDT[0]);printf("r0數(shù)據(jù):%X gdt_addr:%X gdt_limit:%X", dwH2GValue, gdt_addr,gdt_limit ); }int main() {_asm{mov ebx,ebxmov ebx,ebx}char buff[6];//長調(diào)用*(DWORD*)&buff[0] = 0x12345678;*(WORD*)&buff[4] = 0x48;//cs:_asm{call fword ptr[buff]}Print();getchar(); }上面的都是無參數(shù)的,下面來看看有參的
只需要修改參數(shù)位
0000EC03`00080000
參數(shù)位為3說明要傳入3個參數(shù)
自己構(gòu)建門
測試代碼
DWORD x; DWORD y; DWORD z;void _declspec(naked) GetProc() {_asm{pushadpushfd//將參數(shù)讀出來mov eax, [esp + 0x24 + 0x8 + 0x8]mov dword ptr ds : [x], eaxmov eax, [esp + 0x24 + 8 + 4]mov dword ptr ds : [y], eaxmov eax, [esp + 0x24 + 8 + 0]mov dword ptr ds:[z],eaxpopfdpopadretf 0xC //平衡堆棧,3個參數(shù)}}void Print() {printf("%X %X %X", x, y, z); }int main() {char buff[6];//長調(diào)用*(DWORD*)&buff[0] = 0x12345678;*(WORD*)&buff[4] = 0x48;//cs:_asm{push 1push 2push 3call fword ptr[buff]}Print();getchar(); }ESP+0x4到ESP+0x20為8個通用寄存器(pushad)
ESP+0x24為返回地址
ESP+0x24+0x4為調(diào)用者CS
ESP+0x24+0x8為第三個參數(shù)
ESP+0x24+0x8+0x4為第二個參數(shù)
ESP+0x24+0x8+0x8為第一個參數(shù)
成功讀取到參數(shù)
總結(jié)
