突破SafeSEH机制之三——利用加载模块之外的地址绕过SafeSEH

最新推荐文章于 2022-10-28 22:32:27 发布
最新推荐文章于 2022-10-28 22:32:27 发布
阅读量790 收藏
点赞数 1
分类专栏: 漏洞调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yx0051/article/details/76964926
版权
本文介绍了如何在遇到SafeSEH保护机制时,通过利用加载模块外部的地址来规避这一安全措施。通过具体的案例和图片(success.jpg),详细展示了实施过程。
摘要由CSDN通过智能技术生成
敲黑板敲黑板~睡着的同学醒醒了!!
今天我们继续突破SafeSEH,上次讲到第二种思路 利用未启用SafeSEH模块绕过SafeSEH
今天来实现最后一个突破思路:
      异常处理函数位于加载模块内存范围之外,DEP关闭------->>>在加载模块内存范围外找一个跳板指令就可以转入shellcode执行
上次我们是找到了一个加载模块内存范围内找到的一个指令,今天我们要在加载内存范围外找一个跳板指令了。

预告:今天会有一个漏洞利用中很重要很常用的技巧,那就是跳板指令的选择与查找。(而且是那种,你只需要知道是什么,不需要知道为什么的方法。)


环境:
XP SP3
vs 2008
optimization disable
release
DEP关闭(这个问题我想明白了,XP默认就会关闭,不用vs专门关闭)


先把今天实验代码贴出来
[C]  纯文本查看  复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
DWORD MyException( void )
{
         printf ( "There is an exception" );
         getchar ();
         return 1;
}
void test( char
最低0.47元/天 解锁文章
Yx0051
关注
专栏目录
Windows内存保护机制绕过方法
墨痕诉清风的博客
10-27 2632
0 目录 GS编译 SafeSEH机制 SEH覆盖保护 数据执行保护(DEP) 地址随机化(ASLR) 1 GS编译 1.1 基本原理 Windows操作系统为解决栈溢出漏洞的问题引入了一个对策——GS编译保护技术。 GS编译保护技术是通过编译时添加相关代码而实现的,开启GS 编译选项后会在函数的开头和结尾添加代...
突破SafeSEH机制之一——利用绕过SafeSEH
Yx0051的博客
08-05 819
文章是发在吾爱破解的,这里直接转过来了 我也是个新手,刚学漏洞调试,发现要学的东西太多,想要把漏洞学好,必须精通各类系统底层机制,汇编,PE等等等等太多太多,所以不可能把这些东西都学会了,再去调试漏洞,只能一步步慢慢从简单开始,另外也要学会忽略那些你现在所力不能及的地方,如果实在不懂,就跳过,可能到哪一天你忽然就明白了。所以这里,也是希望同学们想学习的不要被这个东西吓到,静下心来慢慢看,如果有不
0day 第11章--11.6节:利用加载模块之外地址绕过SafeSEH
I have a dream
10-10 198
实验环境:winxp sp3 vs2010 总结一下入的坑: (1) 变量zero的位置必须在strcpy()的后面,不然strcpy之后会将zero的值覆盖掉,导致zero不为0,触发不了异常。 void test(char * input) { char str[200]; strcpy(str,input); int zero=0; __try{ zero = 1/zer...
<Oday安全 11.6利用加载模块之外地址绕过SafeSEH>一节注记---jmp [ebp+N] (上)
lixiangminghate的专栏
01-10 1002
看到这一章我又抓狂了:作者提及从进程空间类型为Map的映射文件中寻找如下指令地址: call/jmp dword ptr[esp+0x8] call/jmp dword ptr[esp+0x14] call/jmp dword ptr[esp+0x1c] call/jmp dword ptr[esp+0x2c] call/jmp dword ptr[esp+0x44] call/jmp dwor
利用加载模块之外地址绕过 SafeSEH
weixin_30906671的博客
03-10 130
环境: xp ps3 VS 2008 release版本, 禁用优化 IDA OD 参考: 跳板 : http://blog.csdn.net/chenchong_219/article/details/17973935 ebp+x030是什么: https://www.cnblogs.com/LittleHann/p/3177829.html?utm_source=tuicool&utm...
突破SafeSEH机制之二——利用未启用SafeSEH模块绕过SafeSEH
Yx0051的博客
08-07 779
敲黑板敲黑板~~今天我们继续~ 上次讲到SafeSEH突破,介绍了一个简单的利用绕过SafeSEH突破SafeSEH机制之一——利用绕过SafeSEH 本篇总共遇到了3个问题还没有解决,有没有大神帮我解答一下,我都把问题背景给标黄了。 突破思路: 那么有3种情况,系统可以允许异常处理函数执行: 1、异常处理函数位于加载模块内存范围之外,DEP关闭 2、异常处理函数位于加载模块内存
《0day安全》——亡羊补牢:SafeSEH
sunr_的博客
08-27 341
启用该链接选项后,编译器在编译程序的时候将程序所有的异常处理函数地址提取出来,编入一张安全 S.E.H 表,并将这张表放到程序的映像里面。当程序调用异常处理函数的时候会将函数地址与安全 S.E.H 表进行匹配, 检查调用的异常处理函数是否位于安全 S.E.H 表中。 攻击返回地址绕过SafeSEH 没开GS,开了SafeSEH,直接攻击函数返回地址 利用虚函数绕过SafeSEH 不涉及异常处理,SafeSEH没有参与感 从堆中绕过SafeSEH ...
8.3 利用加载模块之外地址绕过SafeSEH
最新发布
qq_55202378的博客
10-28 1563
SafeSEH
PESecurity:PowerShell模块,用于检查是否已使用ASLR,DEP,SafeSEH,StrongNaming和Authenticode编译Windows二进制(EXEDLL)
03-03
PE安全 用于检查Windows二进制文件(EXE / DLL)是否已通过ASLR,DEP,SafeSEH,StrongNaming,Authenticode,Control Flow Guard和HighEntropyVA编译的PowerShell脚本。 Import the module Import-Module .\Get-PESecurity.psm1 Check a single file C:\PS> Get-PESecurity -file C:\Windows\System32\kernel32.dll Check a directory for DLLs & EXEs C:\PS> Get-PESecurity -directory C:\Windows\System32\ Check a directory for DLLs & EXEs recrusively
利用未启用SafeSEH模块绕过SafeSEH
weixin_30433075的博客
09-09 122
此方法可以说不是方法了·········必须程序要加载一个没用开启SafeSEH的DLL 才能去突破产生对话框 DLL模块编译: /base:"0x11120000" #include "stdafx.h" BOOL APIENTRY DllMain( HANDLE hModule,DWORD ul_reason_for_call, LPVOID lpReserved)...
利用未开启SafeSEH模块绕过SafeSEH机制的细节问题
笔记本
03-12 445
SafeSEH机制绕过方式简介 1.SafeSEH会在程序编译的时候保存一份程序所使用的所有异常处理函数的地址 如列表 table[0]:0x40000100 handler1 table[1]:0x40000200 handler2 table[2]:0x40000300 handler3 2.且在进行异常处理的时候会检测handle地址所在的PE文件的异常处理函数的地址表中 因为只有开启了S...
绕过SafeSEHS机制第一招
m0_64973256的博客
08-18 714
作者:黑蛋1.简述在 Windows XP SP2 及后续版本的操作系统中,微软引入了 S.E.H 校验机制SafeSEHSafeSEH 的原理很简单,在程序调用异常处理函数前,对要调用的异常处理函数进行一系列的有效性校验,当发现异常处理函数不可靠时将终止异常处理函数的调用。如果我们采用缓冲区溢出淹没SEH处理函数,让SEH处理函数直接指向我们栈中的shellcode,会被SafeSEH发现,并拒绝执行此处理函数。
从堆中绕过 SafeSEH
weixin_30511039的博客
03-09 155
环境: xp ps3 VS 2008 release版本, 禁用优化 IDA 参考: https://www.52pojie.cn/thread-495464-1-1.html 《0day安全 软件漏洞分析技术》 11.4 漏洞代码: #include<stdafx.h> #include<stdlib.h> #include<string.h> char s...
内存保护机制绕过方案——利用未启用SafeSEH模块绕过SafeSEH
weixin_30509393的博客
05-06 145
前言:之前关于safeSEH保护机制的原理等信息,可在之前的博文(内存保护机制绕过方案中查看)。 利用未启用SafeSEH模块绕过SafeSEH ⑴. 原理分析: 一个不是仅包含中间语言(1L)且未启用SafeSEH模块中的异常处理,如果异常处理链在栈上,异常处理函数指针不在栈上,那么这个异常处理就可以被执行。 所以,我们能找到一个未启用SafeSEH模块,就可以利用它里面的指令作...
POP POP RET指令序列在绕过SafeSEH中的必要性
houjingyi的博客
11-19 3412
这篇文章的目的是解释POP POP RET指令序列的必要性。你经常读到或听到漏洞利用编写者搜索这个指令序列,因为它是它们的漏洞的一个重要部分。但为什么?什么对这个指令序列如此有用,它是如何使用的?这些将是我会尝试回答的问题。 对于以下分析,我将假设在一台32位小端结构的机器上进行。我也会省略很多细节,以便只关注一些概念。还要记住,ESP( Extended Stack Pointer)是扩展堆栈
SafeSEH原理及绕过技术浅析
热门推荐
magictong的专栏
04-27 1万+
SafeSEH原理及绕过技术浅析     作者:magictong 时间:2012年3月16日星期五   摘要:主要介绍SafeSEH的基本原理和SafeSEH绕过技术,重点在原理介绍。 关键词:SafeSEH绕过技术;异常处理   目录 前言 SafeSEH的保护原理 (1)      二进制层面 (2)      系统层面 怎么关掉编译器的SafeSEH支持
8.2 从堆中绕过SafeS.E.H
qq_55202378的博客
10-22 526
SafeS.E.H
绕过SEHOP安全机制:分析与Proof of Concept
"绕过SEHOP:一种针对Structured Exception Handling Overwrite Protection的安全漏洞利用技术。" SEHOP,即Structured Exception Handling Overwrite Protection,是微软为了增强Windows系统的安全性而引入的一种...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值