突破GS之理论篇

最新推荐文章于 2022-06-19 13:35:51 发布
最新推荐文章于 2022-06-19 13:35:51 发布
阅读量322 收藏
点赞数
原文链接:http://www.cnblogs.com/spenghui/p/7634858.html
版权

GS就是一个缓冲区溢出标志,如果发生缓冲区溢出,该标志会被覆盖,导致其值和其在.data区域的备份值不同,由此系统进入异常处理流程,函数不会正常返回,ret指令也不会执行。

以下情况VS不会开启GS:

  • 函数不包含缓冲区
  • 函数被定义为具有变量参数列表
  • 函数使用无保护的关键字标记
  • 函数在第一个语句中包含内嵌汇编代码
  • 缓冲区不是8字节类型且大小不大于4字节

开GS和不开GS的对比(此处均关闭了代码优化,防止变量位置被编译器调整):

#include "string.h"

#pragma strict_gs_check(on)  //此程序没有4字节以上的缓冲区,故函数不受GS保护,除非使用此句强制开启

int vulfunction(char* str){
    char arr[4];
    strcpy(arr,str);

    return 1;
}

int _tmain(int argc, _TCHAR* argv[])
{
    char *str="yeah,i'm a guy.";
    vulfunction(str);
    printf("hellworld");
    return 0;
}

657569-20171007152854802-205833921.png

以下是突破GS的几种策略:

  1. 专门攻击没有GS保护的函数 - -||
  2. 溢出覆盖虚表指针,将程序要调用的虚函数地址替换为我们的shellcode地址
    657569-20171007164150865-963207250.png
    利用覆盖虚表指针来突破GS的可行原因是:this_ptr存放在[ebp-0C]处,而cookie存放在[ebp-4]处,所以溢出会先覆盖this_ptr;恰好函数返回前(gs检查前)调用了虚函数,所以可以通过只篡改虚表指针达到调用shellcode、且gs保护丝毫不会察觉的效果
  3. 攻击异常处理机制
    溢出覆盖S.E.H中的异常处理函数地址,当发生异常时,就可以直接跳转执行!
  4. 同时替换栈中cookie和.data区域的备份
    在堆中申请数组空间,通过数组越界篡改.data区域的cookie备份,而栈中用到的cookie又是从.data区取的,所以此突破方式简直神不知鬼不觉啊。。。不过不同环境下,.data区的cookie位置可能有所不同。。。同时要注意cookie不是直接存于栈区、直接和备份进行比对的,参见上图中的cookie装载、cookie检测过程

转载于:https://www.cnblogs.com/spenghui/p/7634858.html

anyingga7675
关注
[网络安全自学] 八十八.基于机器学习的恶意代码检测技术详解
杨秀璋的专栏
07-19 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这文章将介绍基于机器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代码检测技术,基础性文章,希望对
覆盖虚函数突破GS (踩坑)
weixin_30485291的博客
03-08 290
环境: xp sp3 vs 2008 参考文章: https://bbs.pediy.com/thread-211315.htm https://www.52pojie.cn/thread-490768-1-1.html 《0day安全软件漏洞分析技术》 10.3 节 代码: #include "stdafx.h" #include "string.h" class GSVirtual { pu...
还原0day----覆盖虚函数突破GS
笔记本
05-12 471
接上一,与vc++6.0(并没有GS安全机制)不一样的是,vs2008启用GS后的实例内存布局有些不一样,结合0day代码探究下突破GS的具体细节 C++代码:vs2008 release 优化禁用 #include "stdafx.h" #include "string.h" class GSVirtual { public : void gsv(char * src) ...
C++复习(第四节)内存泄漏 、this指针
weixin_33840661的博客
07-05 229
2019独角兽企业重金招聘Python工程师标准>>> ...
恶意样本分析手册——理论
iopoint的专栏
07-27 761
0x00写在最前面 开场白:快报快报!今天是2017 Pwn2Own黑客大赛的第一天,长亭安全研究实验室在比赛中攻破Linux操作系统和Safari浏览器(突破沙箱且拿到系统最高权限),积分14分,在11支队伍中暂居 Master of Pwn 第一名。作为热爱技术乐于分享的技术团队,我们开办了这个专栏,传播普及计算机安全的“黑魔法”,也会不时披露长亭安全实验室的最新研究成果。 安全领域博大精深,很多童鞋都感兴趣却苦于难以入门,不要紧,我们会从最基础的内容开始,循序渐进地讲给大家。技术长路漫漫,我们携.
c/c++成长之捷径
明月松间照,清泉石上流!
10-15 7216
c++成长之路不再迷茫!           不知不觉中进入计算机行业已有多个年头了,回首往事依然历历在目。今天我把我这段时间收集的书籍资料以及实例源码帖出来(部分资料太大了放不上去,理解下),与大家一起分享,我想其中的一些资料对大家会有帮助,并且我希望这些资料以及实例源码能对大家有一定的提升作用。帮助初学者快速进入VC++并且能融会贯通,那么我的目的也就达到了。 首先推荐的视频教
【历史上的今天】6 月 19 日:iPhone 3GS 上市;帕斯卡诞生;《反恐精英》开始测试
历史上的今天
06-19 3932
6 月 19 日,历史上的今天,机械计算器先驱 Blaise Pascal 出生;《反恐精英》的 1.0 版本发布;苹果发布了 iPhone 3GS
深度学习理论
Ramble Over The Cloud~
04-11 1903
《Brief History of Machine Learning》 介绍:这是一介绍机器学习历史的文章,介绍很全面,从感知机、神经网络、决策树、SVM、Adaboost 到随机森林、Deep Learning. 《Deep Learning in Neural Networks: An Overview》 介绍:这是瑞士人工智能实验室 Jurgen Schmidhuber 写的最新版本
「LSTM 之父」亲笔万字长文,只为向世人证明:深度学习不是在母语为英语的地方被发明的
喜欢打酱油的老鸟
11-12 1632
导语:最重要的并不是谁发明了某项技术,而是技术本身对于人类文明发展所具有的无上价值! 雷锋网 AI 科技评论按:毫无疑问,深度学习是影响当今世界科技发展的最重要的技术之一。2018 年,深度学习「三巨头」因其在这个领域的卓越贡献荣获图灵奖。在人们感慨人工智能迎来春天的同时,也有人为「LSTM 之父」Jürgen Schmidhuber 未能分享这份荣誉而感到遗憾。事实上,除了 LSTM 之外,深...
突破GS保护:利用SEH机制的漏洞挖掘实战教程
文章是"从零开始学习软件漏洞挖掘系列教程"的第三,专注于利用SEH(Structured Exception Handling,结构化异常处理)机制进行漏洞利用。此教程主要针对本科/专科网络和信息安全专业的学生,旨在帮助他们理解...
毕业论文GS125前压板复合模具的设计说明.doc
09-16
总的来说,这毕业论文详细分析了我国模具工业的技术进步、市场需求变化以及未来可能的发展方向,强调了技术创新和产业升级的重要性,为我国模具行业的持续发展提供了有力的理论依据和实践指导。
突破浏览器内存保护技术
在第一部分,论文将介绍这些内存保护机制的基本概念,解释它们的设计目的以及在理论上的有效性。GS(Guarded Stack)用于防止栈溢出攻击,SafeSEH(Structured Exception Handler)确保异常处理程序的完整性,DEP...
电子商务之价格优化算法:梯度下降:机器学习在价格优化中的角色.docx
11-05
电子商务之价格优化算法:梯度下降:机器学习在价格优化中的角色.docx
ToadforOracle与Oracle数据库版本兼容性教程.docx
11-05
ToadforOracle与Oracle数据库版本兼容性教程.docx
browser360-cn-stable-13.3.1016.4-1-amd64.deb
11-05
360浏览器银河麒麟版 for X86 适配兆芯 / 海光 / intel / AMD CPU
基于React.js和Material-UI个人作品集网站模板(附源码+说明文档).zip
11-05
使用React.js构建,提供多种主题可供选择,并且易于定制。该项目旨在帮助开发者和自由职业者创建自己的个性化投资组合。 主要功能点 多种主题可供选择,包括绿色、黑白、蓝色、红色、橙色、紫色、粉色和黄色 易于定制,可以在src/data文件夹中更新个人信息 包含主页、关于、简历、教育、技能、经验、项目、成就、服务、推荐信、博客和联系等多个部分 支持通过Google表单收集联系信息 提供SEO优化建议 支持多种部署方式,如Netlify、Firebase、Heroku和GitHub Pages 技术栈主要 React.js Material-UI Axios React-fast-marquee React-helmet React-icons React-reveal React-router-dom React-router-hash-link React-slick Slick-carousel Validator
中小型企业财务管理系统 SSM毕业设计 附带论文.zip
最新发布
11-05
中小型企业财务管理系统 SSM毕业设计 附带论文 启动教程:https://www.bilibili.com/video/BV1GK1iYyE2B
apsw-3.38.5.post1-cp39-cp39-win_amd64.whl.rar
11-05
python whl离线安装包 pip安装失败可以尝试使用whl离线安装包安装 第一步 下载whl文件,注意需要与python版本配套 python版本号、32位64位、arm或amd64均有区别 第二步 使用pip install XXXXX.whl 命令安装,如果whl路径不在cmd窗口当前目录下,需要带上路径 WHL文件是以Wheel格式保存的Python安装包, Wheel是Python发行版的标准内置包格式。 在本质上是一个压缩包,WHL文件中包含了Python安装的py文件和元数据,以及经过编译的pyd文件, 这样就使得它可以在不具备编译环境的条件下,安装适合自己python版本的库文件。 如果要查看WHL文件的内容,可以把.whl后缀名改成.zip,使用解压软件(如WinRAR、WinZIP)解压打开即可查看。 为什么会用到whl文件来安装python库文件呢? 在python的使用过程中,我们免不了要经常通过pip来安装自己所需要的包, 大部分的包基本都能正常安装,但是总会遇到有那么一些包因为各种各样的问题导致安装不了的。 这时我们就可以通过尝试去Python安装包大全中(whl包下载)下载whl包来安装解决问题。
电子商务之价格优化算法:线性回归:价格优化策略实施.docx
11-05
电子商务之价格优化算法:线性回归:价格优化策略实施.docx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值