Ring0

[fl3a]

Jakie sposoby znacie na osiagniecie Ring0 w Windows NT (w 9x to jest zbyt proste!)? Ktory jest z nich najlepszy i dlaczego?

 

[goliat]

no najprosciej chyba zaladowac driver :mrgreen:
rzecz jasna trzeba miec do tego pewne prawa.

mozna tez probowac znalezc blad w obsludze IOCTL drivera, czyli po prostu zexploitowac.
sprawa jest dosc ciekawa bo coraz wiecej serwerow uslug korzysta z kodu w kernel mode, co z uwagi na ich dotychczasowe osiagniecia ( IIS

), daje duze prowdopodobienstwo sukcesu.

 

[fl3a]

Tak jak wspomniales najprosciej jest zaladowac ten driver tylko ten Admin przeszkadza. Innym sposobem jest infekcja pliku sterownika oraz wspominana juz metoda w arcie z phrack - /dev/kmem jak i IDT/LDT... Wszystkie rootkity na tym bazuja (driverze) faktem jest ze posiadaja prawa Admina. Jeszcze jedno pytanie mi sie nasunelo - czy z poziomu Ring0 mozna ladowac sterowniki? Oraz czy jest mozliwe przejscie z System na Admina bez znajomosci jego hasla?

 

[goliat]

Originally posted by fl3a+--><div class='quotetop'>CYTAT(fl3a)</div>

Tak jak wspomniales najprosciej jest zaladowac ten driver tylko ten Admin przeszkadza.[/b]

z konta SYSTEM/NT_AUTHORITY tez mozna ladowac driver. przynajmniej tak zawsze bylo.

<!--QuoteBegin-fl3a
Wszystkie rootkity na tym bazuja (driverze)

no nie zapominajmy o rootkitach w user mode

Originally posted by fl3a
faktem jest ze posiadaja prawa Admina.

nie rozumie, driver wykonuje sie w ring0, tam nie ma czegos takiego jak konta

z ring0 powinno sie dac zaladawac driver za pomoca SYSTEM_LOAD_AND_CALL_IMAGE, co prawda jeszcze tego nie robilem.

jezeli chodzi o przejscie z SYSTEM na admina to FU rootkit robi takie cuda

 

[fl3a]

Tak wiem ze sa rootkity userland - Ntillusion

Ale jak ktos kiedys wspomnial na rootkit.com prawdziwy rootkit powinien dzialac na najwyzszym poziomie uprzywilejowania.

nie rozumie, driver wykonuje sie w ring0, tam nie ma czegos takiego jak konta[/b]

Chodzilo mi o to iz rootkity kernelmode zawsze moga zostac uruchomione poniewaz taka jest juz ich idea - umozliwic dostep intruzowi na zdobytym koncie Admina. Zatem nie ma problemu z zaladowaniem sterownika. Ciekawia mnie za to wszystkie inne sposoby przechodzenia na Ring0 z kont nieuprzywilejowanych (zwyklych userow). Czyli taka mieszanka trojana z mozliwosciami rootkita

Najprzyjemniej by bylo znalezc i zexploitowac jakas dziure w kodzie kernelmode (jak wspomniales) ale do tego celu jeszcze daleka droga!

 

[fl3a]

Wstepnie poruszylismy w tym temacie problem z Ring0 lecz wydaje mi sie wiele osob nie zna mozliwosci i zastosowania tego dobrodziejstwa. Zatem podeje tu kilka linkow ktore pomoga Wam dokladniej zapoznac sie z tematem. Na koncu pozostaje Wam tylko przeanalizowac zrodelka z tematu Delphi expert i napisac cos ciekawego

Kilka przydatnych artow:
- Playing with windows /dev/(k)mem
- Detection of the hidden processes
- Protected Mode
- Ring0
- Going Ring0 in Windows 9x
- Entering Ring-0 Using Win32 Api: Context Modification
- Description of the win98/INT 2E services
- Adding LDT entries in Win2K
- Writing into kernel from ring-3: Lets fuck pagetable

Najciekawsze tematy (pytania i odpowiedzi):
- calling ring3 code from ring0
- Whats real and protected mode and ring0 and ring3?
- Interrupt hooking in ring0
- Ring0? Kernel Mode Driver?
- ring0 <- how to get there and why?
- Ring 0 access
- IDT Question

Przydatne linki:
- Yoda
szereg przydatnych narzedzi i zrodel!
- Kernel Mode Driver Development Kit for MASM32 programmers
skoro mowa o KMD nie moze zabraknoc tutorka
- Delphi Driver Development Kit
i nie tylko!
- EliCZ
duzo materialow i swietne forum
- Omega Red's garbage heap
troche rupieci

To tyle na dzisiaj - jak znajde cos jeszcze ciekawego to dorzuce tu...