利用未开启SafeSEH的模块绕过SafeSEH机制的细节问题

最新推荐文章于 2022-10-22 14:52:42 发布
最新推荐文章于 2022-10-22 14:52:42 发布
阅读量445 收藏
点赞数 4
分类专栏: 二进制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Joliph/article/details/88412807
版权

SafeSEH机制及绕过方式简介
1.SafeSEH会在程序编译的时候保存一份程序所使用的所有异常处理函数的地址
如列表
table[0]:0x40000100 handler1
table[1]:0x40000200 handler2
table[2]:0x40000300 handler3
2.且在进行异常处理的时候会检测handle地址所在的PE文件的异常处理函数的地址表
因为只有开启了SafeSEH选项编译的PE文件才会有这个安全地址表,那么当1.exe中的的handler指向其他2.dll空间地址的时候
不可能说系统在1.exe的地址表中查询这个地址,因为1.exe肯定不会写2.dll空间的地址,所以系统会查询handler指向的PE文件的地址表(及若handler指向2.dll空间,系统查询2.dll未开启SafeSEH,则放行),以此绕过SafeSEH机制

使用SEH攻击执行Shellcode时候通常使用 "jmp 06 pop pop ret"覆盖SEH结构,网上说明不太详细

SEH在栈中的结构:
xxx
NEXT指针------->下一个此结构
handler指针------>处理函数地址
xxx

若我们有机会溢出攻击覆盖从next指针向上(栈向下生长)的区域,那么直接覆盖handler指向他的下一句,此时栈结构为
xxx
被破坏的NEXT指针------->???
handler指针------>Shellcode开始位置
Shellcode开始位置

那么此时遇到异常会直接执行到Shellcode开始位置,但是由于SafeSEH机制,Shellcode开始位置所在的空间为1.exe空间,查询1.exe安全异常处理函数地址表发现此地址不在其中,拒绝执行

所以我们的攻击方式需要转换为 jmp 06 pop pop ret的方式,栈空间覆盖为:
xxx
EB 06------>jmp Shellcode开始位置
handler指针------>2.dll中的pop pop ret指令串位置
Shellcode开始位置

假设2.dll中含有此指令串
pop eax
pop ecx
ret
那么handler指针指向的2.dll未开启SafeSEH,成功绕过SafeSEH机制,然后问题就是如何控制EIP转到原NEXT指针(现EB 06处)从而进入Shellcode

利用的就是pop pop ret

首先需要知道异常处理函数形式:
EXCEPTION_DISPOSITION __cdecl _except_handler (
EXCEPTION_RECORD *ExceptionRecord,
EXCEPTION_REGISTRATION_RECORD *EstablisherFrame,
CONTEXT *pContext,
PVOID pValue
);
返回值EXCEPTION_DISPOSITION 是个枚举类型(0/1/2/3)
异常分发函数负责调用异常处理函数
push pValue
push *pContext
push *EstablisherFrame
push *ExceptionRecord
call _except_handler
进入_except_handler函数后会使得栈空间布局如下
call产生的返回EIP
*ExceptionRecord
*EstablisherFrame------>指向SEH链的原NEXT指针(现EB 06处)
*pContext
pValue
所以两个pop一个ret就完成转入shellcode工作了

Istaroth
关注
专栏目录
突破SafeSEH机制之二——利用启用SafeSEH模块绕过SafeSEH
Yx0051的博客
08-07 776
敲黑板敲黑板~~今天我们继续~ 上次讲到SafeSEH的突破,介绍了一个简单的利用绕过SafeSEH突破SafeSEH机制之一——利用绕过SafeSEH 本篇总共遇到了3个问题还没有解决,有没有大神帮我解答一下,我都把问题背景给标黄了。 突破思路: 那么有3种情况,系统可以允许异常处理函数执行: 1、异常处理函数位于加载模块内存范围之外,DEP关闭 2、异常处理函数位于加载模块内存
突破SafeSEH机制之一——利用绕过SafeSEH
Yx0051的博客
08-05 815
文章是发在吾爱破解的,这里直接转过来了 我也是个新手,刚学漏洞调试,发现要学的东西太多,想要把漏洞学好,必须精通各类系统底层机制,汇编,PE等等等等太多太多,所以不可能把这些东西都学会了,再去调试漏洞,只能一步步慢慢从简单开始,另外也要学会忽略那些你现在所力不能及的地方,如果实在不懂,就跳过,可能到哪一天你忽然就明白了。所以这里,也是希望同学们想学习的不要被这个东西吓到,静下心来慢慢看,如果有不
利用启用SafeSEH模块绕过SafeSEH
weixin_30433075的博客
09-09 121
此方法可以说不是方法了·········必须程序要加载一个没用开启SafeSEH的DLL 才能去突破产生对话框 DLL模块编译: /base:"0x11120000" #include "stdafx.h" BOOL APIENTRY DllMain( HANDLE hModule,DWORD ul_reason_for_call, LPVOID lpReserved)...
从堆中绕过 SafeSEH
weixin_30511039的博客
03-09 152
环境: xp ps3 VS 2008 release版本, 禁用优化 IDA 参考: https://www.52pojie.cn/thread-495464-1-1.html 《0day安全 软件漏洞分析技术》 11.4 漏洞代码: #include<stdafx.h> #include<stdlib.h> #include<string.h> char s...
突破SafeSEH机制之三——利用加载模块之外的地址绕过SafeSEH
Yx0051的博客
08-09 789
敲黑板敲黑板~睡着的同学醒醒了!! 今天我们继续突破SafeSEH,上次讲到第二种思路利用启用SafeSEH模块绕过SafeSEH 今天来实现最后一个突破思路:       异常处理函数位于加载模块内存范围之外,DEP关闭------->>>在加载模块内存范围外找一个跳板指令就可以转入shellcode执行 上次我们是找到了一个加载模块内存范围内找到的一个指令,今天我们要在加载内存范围外
绕过SafeSEHS机制第一招
m0_64973256的博客
08-18 711
作者:黑蛋1.简述在 Windows XP SP2 及后续版本的操作系统中,微软引入了 S.E.H 校验机制SafeSEHSafeSEH 的原理很简单,在程序调用异常处理函数前,对要调用的异常处理函数进行一系列的有效性校验,当发现异常处理函数不可靠时将终止异常处理函数的调用。如果我们采用缓冲区溢出淹没SEH处理函数,让SEH处理函数直接指向我们栈中的shellcode,会被SafeSEH发现,并拒绝执行此处理函数。
利用Adobe Flash Player ActiveX控件绕过SafeSEH
Yx0051的博客
08-05 1352
其实思路就是利用程序加载模块之外的内存地址,找到一个跳板指令绕过SafeSEH,flash9.2.124以前是没有SafeSEH的。 这一次试验因为涉及,mfc控件的构建,由于我虚拟机环境是vs 2008 express版本的,所以没有办法创建这种工程,直接拿别人做好的ocx文件用了。 1、第一步就是创建ActiveX mfc工程,创建一个test函数,函数中包含一个字符串覆盖的漏洞,同时注意
SafeSEH Exploit——利用启用SafeSEH的DLL
Re:Umiade.tr
03-21 590
实验内容和代码均修改自《0day安全》第二版 实验环境操作系统: Windows XP SP3 DEP关闭 EXE编译器: Visual Studio 2008 DLL编译器: VC++6.0 dll 基址设置 /base:”0x11120000” 编译选项: 禁用优化 (/0d) build版本: release版本实验原理结合之前的内容,可以了解到对于启用
内存保护机制绕过方法——利用启用SafeSEH模块绕过SafeSEH
weixin_30629977的博客
05-07 160
利用加载模块之外的地址绕过safeSEH 前言:文章涉及的概念在之前的文章中都有过详细的讲解 ⑴. 原理分析: 当程序加载进内存中后,处理PE文件(exe,dll),还有一些映射文件,safeSEH是不会对这些映射文件做安全检查。所以如果在这些映射文件中找到一些跳板地址(意义见之前的绕过利用/GS机制),就可以达到控制EIP的目的,执行恶意代码。 如上图,可以看到在PE文件之前有很...
内存保护机制绕过方案——利用启用SafeSEH模块绕过SafeSEH
weixin_30509393的博客
05-06 144
前言:之前关于safeSEH保护机制的原理等信息,可在之前的博文(内存保护机制绕过方案中查看)。 利用启用SafeSEH模块绕过SafeSEH ⑴. 原理分析: 一个不是仅包含中间语言(1L)且启用SafeSEH模块中的异常处理,如果异常处理链在栈上,异常处理函数指针不在栈上,那么这个异常处理就可以被执行。 所以,我们能找到一个启用SafeSEH模块,就可以利用它里面的指令作...
POP POP RET指令序列在绕过SafeSEH中的必要性
houjingyi的博客
11-19 3407
这篇文章的目的是解释POP POP RET指令序列的必要性。你经常读到或听到漏洞利用编写者搜索这个指令序列,因为它是它们的漏洞的一个重要部分。但为什么?什么对这个指令序列如此有用,它是如何使用的?这些将是我会尝试回答的问题。 对于以下分析,我将假设在一台32位小端结构的机器上进行。我也会省略很多细节,以便只关注一些概念。还要记住,ESP( Extended Stack Pointer)是扩展堆栈
模块对于SAFESEH 映像是不安全的 解决方法|有用的小知识
LLLLQZ的博客
04-05 472
前言 在使用vs的release时报错 模块对于SAFESEH 映像是不安全的 解决办法 1.打开该项目的“属性”对话框。 2.单击“链接器”文件夹。 3.单击“命令行”属性页。 4.将 /SAFESEH:NO 键入“其他选项”框中,然后点击应用。 ...
Windows内存保护机制绕过方法
sinat_31054897的博客
07-31 2654
0 目录 GS编译 SafeSEH机制 SEH覆盖保护 数据执行保护(DEP) 地址随机化(ASLR) 1 GS编译 1.1 基本原理 Windows操作系统为解决栈溢出漏洞的问题引入了一个对策——GS编译保护技术。 GS编译保护技术是通过编译时添加相关代码而实现的,开启GS 编译选项后会在函数的开头和结尾添加代码...
8.1 SafeSEH对异常处理的保护原理
qq_55202378的博客
10-22 721
SafeS.E.H
Delphi的try...except...end对SEH的封装
weixin_30869099的博客
02-12 215
先对SEH简要说明一下。寄存器FS:[0]存储着一个异常处理链表第一个元素的指针,该结构定义如下:PExcFrame=^TExcFrame;TExcFrame=recordnext:PExcFrame; desc:Pointer;end;其中TExcFrame.next指向下一个元素,TExcFrame.desc是处理异常的函数地址。当程序发生异常时,系统调用T...
SafeSEH基本概念+ 从堆区绕过SafeSEH学习
weixin_30628077的博客
09-09 131
SafeSEH 原理:在程序调用异常处理函数前,对要调用的的异常处理函数进行一系列的有效性检测 VS2003后续版本 默认启用的 编译器将所有的额SEH中所有的异常处理函数的值提取出来编入一张安全SEH 表 将这张表放到程序的映像中 当程序调用异常处理的时候会将函数地址与安全SEH表进行匹配 检查调用的异常处理函数是否位于安全SEH表 VS2008 命令行: 好像只有rele...
网络安全专家应该具有的安全能力
m0_73803866的博客
09-25 826
通过提供真实的训练环境,开放实战工具箱和资源,定制专属课程、 顶级黑客进行技术教学,依托长期积累,利用独有的技术人才优势,培养出具有顶级技术的 网络安全实战型人才,为行业提供强有力的人才保障,提升支撑安全业务的各项能力,应对 新形势下的网络安全挑战。GS 就是通过对缓冲区数据 的各种校验机制,防止缓冲区溢出攻击的发生。态势和层出不穷的攻击手段,补天平台采用 SRC、众测等方式 服务广大企业,以安全众包的形式让白帽子从模拟攻击者的角度发现问题,解决问题,帮助 企业树立动态、综合的防护理念,守护企业网络安全。
《0day安全》——亡羊补牢:SafeSEH
sunr_的博客
08-27 340
启用该链接选项后,编译器在编译程序的时候将程序所有的异常处理函数地址提取出来,编入一张安全 S.E.H 表,并将这张表放到程序的映像里面。当程序调用异常处理函数的时候会将函数地址与安全 S.E.H 表进行匹配, 检查调用的异常处理函数是否位于安全 S.E.H 表中。 攻击返回地址绕过SafeSEH 没开GS,开了SafeSEH,直接攻击函数返回地址 利用虚函数绕过SafeSEH 不涉及异常处理,SafeSEH没有参与感 从堆中绕过SafeSEH ...
SEH stack 结构探索(3)--- __exception_handler4() 探秘1
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-05 1637
SEH stack 结构探索(3)--- __exception_handler4() 探秘1 在我的环境里,用户的缺省的 exception handler 是 MSVCR100D!_except_handler4(),它是 VC/C++ 的调试版本运行库里的函数,当然如果是发行版的话是MSVCR100!_except_handler4() 在 WinNT.h 里定义的 exceptio
vs2022怎么开safeSEH
最新发布
03-27
在Visual Studio 2022中,开启SafeSEH(Safe Structured Exception Handling)可以提高应用程序的安全性,防止恶意代码利用异常处理机制进行攻击。下面是在VS2022中开启SafeSEH的步骤: 1. 打开你的项目,在解决...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值