红队战术学习:在C#使用syscall,翻车记
2020-06-02 20:12:14 Author: bbs.pediy.com(查看原文) 阅读量:449 收藏

​ 最近阅读到zoemurmure大佬的文章:红队战术:在C#中使用syscall之背景知识介绍,最初的想法是想使用powershell实现syscall的功能,后来需要在powershell里嵌入c#语言,然后着手开始编写调试一个调用syscall的C#程序,不经常使用这些语言,查阅了一些资料搭出了一个半成品,最终程序能执行出一点效果,没达到预期效果,在这里记录一下翻车的经过。

​ 首先从文章中指示的Windows X86-64系统调用表,查找一个目标函数进行测试,于是就找到一个比较简单的函数NtQuerySystemTime,用windbg查看该函数的汇编代码。

0:000> x ntdll!NtQuerySystemTime
00007ffc`370fcba0 ntdll!NtQuerySystemTime (NtQuerySystemTime)
0:000> u 00007ffc`370fcba0
ntdll!NtQuerySystemTime:
00007ffc`370fcba0 e93b88fdff      jmp     ntdll!RtlQuerySystemTime (00007ffc`370d53e0)
00007ffc`370fcba5 6666660f1f840000000000 nop word ptr [rax+rax]
ntdll!NtWaitForMultipleObjects:
00007ffc`370fcbb0 4c8bd1          mov     r10,rcx
00007ffc`370fcbb3 b85b000000      mov     eax,5Bh
00007ffc`370fcbb8 f604250803fe7f01 test    byte ptr [SharedUserData+0x308 (00000000`7ffe0308)],1
00007ffc`370fcbc0 7503            jne     ntdll!NtWaitForMultipleObjects+0x15 (00007ffc`370fcbc5)
00007ffc`370fcbc2 0f05            syscall
00007ffc`370fcbc4 c3              ret

​ 摘录下来得到

    public static byte[] bNtQuerySystemTime = {
    0x4c,0x8b,0xd1,               //mov     r10,rcx
    0xb8,0x5b,0x00,0x00,0x00,      //mov     eax,5Bh
    0x0f,0x05,                    //syscall
    0xc3                          //ret

​ 函数原型

__kernel_entry NTSTATUS NtQuerySystemTime(
  OUT PLARGE_INTEGER SystemTime
);

​ 传入long(64位) 通过C#的调用后返回值

名称 类型
status 0xc00000ef int

​ STATUS_INVALID_PARAMETER_1 无效参数作为第一个参数传递给服务或函数。

​ 调了很多次后,后来想着写入CC开调试器看堆栈,还没开始做,看了后续的文章红队战术:在C#中使用syscall之编写代码确认代码没有明显错误后研究是不是函数调用出问题了,于是搜索RtlQuerySystemTime查找相关信息想知道这个函数的返回值是什么,然后传给syscall,结果从https://github.com/hfiref0x/SyscallTables/issues/1上找到相关信息,说的是NtQuerySystemTime 不在syscall的队列里,因为它在用户模式执行RtlQuerySystemTime,NtAccessCheckByTypeAndAuditAlarm 服务号为89(0x59),NtWaitForMultipleObjects 服务号为91(0x5B),这里丢失了90(0x5a),微软资料说明NtQuerySystemTime在未来版本的 Windows 中,可能会更改或不可用。

函数名称/服务号 win10-1507 1511 1607 1703 1709 1803 1809 1903 1909 2004
NtQuerySystemTime 0x005a 0x005a 0x005a 0x005a 0x005a 0x005a 0x005a 0x005a 0x005a 0x005a

​ 然后到此我知道我错在哪里了。

0:000> x ntdll!NtWaitForMultipleObjects
00007ffc`370fcbb0 ntdll!NtWaitForMultipleObjects (NtWaitForMultipleObjects)
0:000> u 00007ffc`370fcbb0
ntdll!NtWaitForMultipleObjects:
00007ffc`370fcbb0 4c8bd1          mov     r10,rcx
00007ffc`370fcbb3 b85b000000      mov     eax,5Bh
00007ffc`370fcbb8 f604250803fe7f01 test    byte ptr [SharedUserData+0x308 (00000000`7ffe0308)],1
00007ffc`370fcbc0 7503            jne     ntdll!NtWaitForMultipleObjects+0x15 (00007ffc`370fcbc5)
00007ffc`370fcbc2 0f05            syscall
00007ffc`370fcbc4 c3              ret
00007ffc`370fcbc5 cd2e            int     2Eh
00007ffc`370fcbc7 c3              ret

正确示范代码请到zoemurmure的Github:SharpCall

贴一下我的部分核心代码,最终想完成powershell的实现,半成品错误示范:

delegate int NtQuerySystemTimeProc(out long SystemTime);
public class BasicTest2
{
    public static byte[] bNtQuerySystemTime = {
    0x4c,0x8b,0xd1,               //mov     r10,rcx
    0xb8,0x5b,0x00,0x00,0x00,      //mov     eax,5Bh
    0x0f,0x05,                    //syscall
    0xc3                          //ret
};

    public static LARGE_INTEGER li = new LARGE_INTEGER();
    public static long li2 = 0;
    [DllImport("Kernel32")] private static extern bool VirtualProtect(IntPtr lpAddress, int dwSize, int flNewProtect,out int lpflOldProtect);
    public static NTSTATUS NtQuerySystemTime()
    {

        IntPtr memoryAddress = IntPtr.Zero;
        IntPtr memoryAddress2 = IntPtr.Zero;
        byte[] syscall = bNtQuerySystemTime;
        NTSTATUS status = 0;

    unsafe
        {
            fixed (byte* ptr = syscall)
            {
                memoryAddress = (IntPtr)ptr;
            }
            fixed (long* ptr2 = &li2) {
                memoryAddress2 = (IntPtr)ptr2;
            }

        }
        if (IntPtr.Zero != memoryAddress)
        {
            if (Marshal.GetDelegateForFunctionPointer(memoryAddress, typeof(NtQuerySystemTimeProc)) is NtQuerySystemTimeProc QuerySystemTimeProc
                && memoryAddress2 != IntPtr.Zero
                )
            {
                int outMemProtect = 0;
                VirtualProtect(memoryAddress,bNtQuerySystemTime.Length,64, out outMemProtect);
                status = QuerySystemTimeProc(out li2);
            }
        }
        return status;
    }
}

【预售】物联网安全漏洞实战!离物联网安全研究员只有一个课程的距离!报名满30人开班!


文章来源: https://bbs.pediy.com/thread-259893.htm
如有侵权请联系:admin#unsafe.sh