突破SafeSEH机制之二——利用未启用SafeSEH模块绕过SafeSEH

最新推荐文章于 2024-04-09 14:37:00 发布
最新推荐文章于 2024-04-09 14:37:00 发布
阅读量762 收藏 2
点赞数 1
分类专栏: 漏洞调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yx0051/article/details/76803514
版权
本文探讨如何在遇到SafeSEH保护机制时,通过布置shellcode并利用未启用SafeSEH的模块中的跳转指令,如pop pop ret,来绕过该机制并恢复控制权。在调试过程中,发现覆盖的SEH头在执行pop pop ret后返回到shellcode的低地址,但实际上shellcode始于返回地址之后16个字节的位置。
摘要由CSDN通过智能技术生成
敲黑板敲黑板~~今天我们继续~
上次讲到SafeSEH的突破,介绍了一个简单的利用堆绕过SafeSEH 突破SafeSEH机制之一——利用堆绕过SafeSEH
本篇总共遇到了3个问题还没有解决,有没有大神帮我解答一下,我都把问题背景给标黄了。
突破思路:
那么有3种情况,系统可以允许异常处理函数执行:
1、异常处理函数位于加载模块内存范围之外,DEP关闭
2、异常处理函数位于加载模块内存范围之内,相应模块未启用SafeSEH(SafeSEH表为空),不是纯IL(本次要调试的)
3、异常处理函数位于加载模块内存范围之内,相应模块启用SafeSEH,异常处理函数地址包含在SafeSEH表中( 放弃

可以看到,我们突破SafeSEH的方法分为3种
1、排除DEP干扰,在加载模块内存范围外找一个跳板指令就可以转入shellcode执行
2、利用未启用SafeSEH模块中的指令作为跳板,转入shellcode执行
3、由于SafeSEH表加密,对于新手的我暂时不考虑了。

今天我们一起调试 第2种 ,加载模块未启用SafeSEH,啥意思?
简单来说,就是... 知道LoadLibrary吧,知道dll吧?系统会在程序运行的时候提供各种各样的模块供程序加载调用(kernel32.dll,user32.dll等),这些程序加载的模块由于某种原因没有启用SafeSEH,这样就可以为我们所用!一般来说,这些系统提供的dll都会有启用SafeSEH,为了本次实验,我们自己制作一个没有启用SafeSEH的dll。

第一步 编写一个包含异常处理的漏洞程序
环境:
XP SP3
VS 2008
禁止优化选项(C/C++------optimization:disable)
Release版本编译
关闭DEP(还是那个问题,我在vs2008里并没有关闭DEP(截图在上一个帖子),可是执行结果却没有影响,有没有遇到相同问题的同学??)


代码:
[C]  纯文本查看  复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
char shellcode[]=
"\x90\x90\x90\x90... ..."
DWORD MyException( void )
{
         printf ( "There is an exception" );
         getchar ();
         return 1;
}
void test( char * input)
{
         char str[200];
         strcpy (str,input);       
最低0.47元/天 解锁文章
Yx0051
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
绕过SafeSEHS机制第一招
m0_64973256的博客
08-18 703
作者:黑蛋1.简述在 Windows XP SP2 及后续版本的操作系统中,微软引入了 S.E.H 校验机制SafeSEHSafeSEH 的原理很简单,在程序调用异常处理函数前,对要调用的异常处理函数进行一系列的有效性校验,当发现异常处理函数不可靠时将终止异常处理函数的调用。如果我们采用缓冲区溢出淹没SEH处理函数,让SEH处理函数直接指向我们栈中的shellcode,会被SafeSEH发现,并拒绝执行此处理函数。
突破SafeSEH机制之三——利用加载模块之外的地址绕过SafeSEH
Yx0051的博客
08-09 764
敲黑板敲黑板~睡着的同学醒醒了!! 今天我们继续突破SafeSEH,上次讲到第二种思路利用启用SafeSEH模块绕过SafeSEH 今天来实现最后一个突破思路:       异常处理函数位于加载模块内存范围之外,DEP关闭------->>>在加载模块内存范围外找一个跳板指令就可以转入shellcode执行 上次我们是找到了一个加载模块内存范围内找到的一个指令,今天我们要在加载内存范围外
POP POP RET指令序列在绕过SafeSEH中的必要性
houjingyi的博客
11-19 3394
这篇文章的目的是解释POP POP RET指令序列的必要性。你经常读到或听到漏洞利用编写者搜索这个指令序列,因为它是它们的漏洞的一个重要部分。但为什么?什么对这个指令序列如此有用,它是如何使用的?这些将是我会尝试回答的问题。 对于以下分析,我将假设在一台32位小端结构的机器上进行。我也会省略很多细节,以便只关注一些概念。还要记住,ESP( Extended Stack Pointer)是扩展堆栈
ROP技术绕过DEP--MPlayer栈溢出漏洞
weixin_30251587的博客
06-02 465
一、前言 1.1 DEP介绍 数据执行保护 (DEP) 是一套软硬件技术,能够在内存上执行额外检查以防止在不可运行的内存区域上执行代码。 在 Microsoft Windows XP Service Pack 2、 Microsoft Windows Server 2003 Service Pack 1 、 Microsoft Windows XP Tablet PC Edition 2005...
Windows内存保护机制绕过方法
sinat_31054897的博客
07-31 2595
0 目录 GS编译 SafeSEH机制 SEH覆盖保护 数据执行保护(DEP) 地址随机化(ASLR) 1 GS编译 1.1 基本原理 Windows操作系统为解决栈溢出漏洞的问题引入了一个对策——GS编译保护技术。 GS编译保护技术是通过编译时添加相关代码而实现的,开启GS 编译选项后会在函数的开头和结尾添加代码...
突破SafeSEH机制之一——利用绕过SafeSEH
Yx0051的博客
08-05 808
文章是发在吾爱破解的,这里直接转过来了 我也是个新手,刚学漏洞调试,发现要学的东西太多,想要把漏洞学好,必须精通各类系统底层机制,汇编,PE等等等等太多太多,所以不可能把这些东西都学会了,再去调试漏洞,只能一步步慢慢从简单开始,另外也要学会忽略那些你现在所力不能及的地方,如果实在不懂,就跳过,可能到哪一天你忽然就明白了。所以这里,也是希望同学们想学习的不要被这个东西吓到,静下心来慢慢看,如果有不
《0Day》之突破SafeSEHS
binghupo的博客
12-07 437
上一篇记录的通过虚函数突破GS,其实也可以通过SEH来突破GS,具体的原理和利用虚函数的方式类似,只是通过覆盖SEH异常处理函数地址来实现的,就不多说了。不过微软后来对SEH也做了防护,具体的做了哪些防护可以去看《0Day》。这里只记录突破SafeSEH的方式。 虽然微软对SEH做了防护,但也有例外,比如SEH中异常处理函数指针位于堆中,则不论是否通过安全校验,都会被调用,所以我们可以在堆中申请
内存保护机制绕过方案——利用启用SafeSEH模块绕过SafeSEH
weixin_30509393的博客
05-06 140
前言:之前关于safeSEH保护机制的原理等信息,可在之前的博文(内存保护机制绕过方案中查看)。 利用启用SafeSEH模块绕过SafeSEH ⑴. 原理分析: 一个不是仅包含中间语言(1L)且启用SafeSEH模块中的异常处理,如果异常处理链在栈上,异常处理函数指针不在栈上,那么这个异常处理就可以被执行。 所以,我们能找到一个启用SafeSEH模块,就可以利用它里面的指令作...
Windows下SafeSEH保护机制详解及其绕过
最新发布
WdIg-2023的博客
04-09 903
我们知道通常情况下,异常处理机制都是系统帮我们写好,编译进程序里面的,那我们如何对这些异常处理地址进行保护呢?我们想想是不是可以像前面的GS那样,我们在另一个地方保存,然后在调用异常处理的时候进行验证呢?实际上是可以的,这张表我们称之为安全S.E.H表。当程序开启SafeSEH保护后,在编译期间,编译器将所有的异常处理地址提取出来,并且编入一张安全SEH表中,并且将这张表放到程序的映像里面。
SafeSEH原理与对抗
whatday的专栏
10-09 6127
SafeSEH原理 在 Windows XP sp2 以及之后的版本中,微软引入了 S.E.H 校验机制 SafeSEHSafeSEH 需要 OS 和 Compiler 的双重支持,二者缺一都会降低保护能力。通过启用 /SafeSEH 链接选项可心使编译好的程序具备 SafeSEH 功能(VS2003 及后续版本默认启用)。该选项会将所有异常处理函数地址提取出来,编入 SEH 表中,并将这张表...
C++之模块对于 SAFESEH 映像是不安全的
03-04 530
如下图: 修改vs配置如下: 编译之后就通过了
8.1 SafeSEH对异常处理的保护原理
qq_55202378的博客
10-22 693
SafeS.E.H
SafeSEH基本概念+ 从堆区绕过SafeSEH学习
weixin_30628077的博客
09-09 128
SafeSEH 原理:在程序调用异常处理函数前,对要调用的的异常处理函数进行一系列的有效性检测 VS2003后续版本 默认启用的 编译器将所有的额SEH中所有的异常处理函数的值提取出来编入一张安全SEH 表 将这张表放到程序的映像中 当程序调用异常处理的时候会将函数地址与安全SEH表进行匹配 检查调用的异常处理函数是否位于安全SEH表 VS2008 命令行: 好像只有rele...
SafeSEH
钞sir的博客
09-27 9896
简介 safeseh是在seh的基础上进行的改进, 是异常处理的关键结构, 不同的编译器可能使用的safeseh不一样, 但是基本的思想都一样; safeseh验证 异常处理链起始位置储存在fs:[0]的位置, 在进程的DEP是开启的情况,有两种异常处理函数被异常分发器认为是有效的: 异常处理函数在进程映像的SafeSEH表中,并且没有NO_SEH标志。 异常处理函数在进程映像的可执行页,并且没有NO_SEH标志,没有SafeSEH表,没有.NET的ILonly标志。 在进程的DEP关闭的情况下
利用开启SafeSEH模块绕过SafeSEH机制的细节问题
笔记本
03-12 438
SafeSEH机制绕过方式简介 1.SafeSEH会在程序编译的时候保存一份程序所使用的所有异常处理函数的地址 如列表 table[0]:0x40000100 handler1 table[1]:0x40000200 handler2 table[2]:0x40000300 handler3 2.且在进行异常处理的时候会检测handle地址所在的PE文件的异常处理函数的地址表中 因为只有开启了S...
SafeSEH原理及绕过技术浅析
Re:Umiade.tr
03-21 2398
修改整理自 http://blog.csdn.net/magictong/article/details/7517630 侵删 作者:magictong 时间:2012年3月16日星期五 摘要:主要介绍SafeSEH的基本原理和SafeSEH绕过技术,重点在原理介绍。 **关键词:**SafeSEH绕过技术;异常处理前言设计SafeSEH保护机制的目的,以为了防止那种攻击者
《0day安全》——亡羊补牢:SafeSEH
sunr_的博客
08-27 319
启用该链接选项后,编译器在编译程序的时候将程序所有的异常处理函数地址提取出来,编入一张安全 S.E.H 表,并将这张表放到程序的映像里面。当程序调用异常处理函数的时候会将函数地址与安全 S.E.H 表进行匹配, 检查调用的异常处理函数是否位于安全 S.E.H 表中。 攻击返回地址绕过SafeSEH 没开GS,开了SafeSEH,直接攻击函数返回地址 利用虚函数绕过SafeSEH 不涉及异常处理,SafeSEH没有参与感 从堆中绕过SafeSEH ...
"突破SafeSeh防线1:从零开始学习软件漏洞挖掘系列教程第五篇
实验的目的是通过了解绕过SafeSeh的方法,能够成功绕过SafeSeh执行shellcode,并学会如何编写更加安全的代码,提高网络安全意识。 在开始实验之前,需要先了解一些关于SafeSeh的基础知识。SafeSeh是一种保护机制,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值