Sekai CTF ProcessFlipper.sys 驱动漏洞分析与利用

文章预览

challenge 简介 目标是成为 NT Authority/System 并读取旗帜。玩家需要通过一个网页前端提交编译的代码，自动化的漏洞利用器运行这些代码，并将截图返回给玩家。该挑战使用了 windows 11 24H2 版本的 Windows，提供了驱动文件 ProcessFlipper.sys 。作者还提到挑战与 抽卡游戏 有关。 摘自作者博客文章 ：该挑战灵感来自于驱动程序 wfshbr64.sys ，该驱动程序存在一个可以操纵 EPROCESS 结构中任意位的漏洞，从而导致本地权限提升。 逆向驱动 首先在 IDA 中打开驱动程序。 DriverEntry 是驱动程序的入口，就像二进制文件的 main 函数一样。打开反汇编窗口，你可以看到 WdfDriverCreate 、 WdfBindInfo ...... 这些表明这是一个 KMDF 驱动程序。因此， WDM 是 Windows 的传统驱动程序，最终所有驱动程序都是 WDM 驱动程序，它们也更容易逆向。KMDF 是 内核模式驱动程序框架 ，它 ………………………………