从零开始学习winpwn(2)--GS保护

已于 2022-02-10 15:54:23 修改
阅读量1.1k 收藏 10
点赞数 3
分类专栏: 从零开始学习winpwn 文章标签: windows
于 2022-02-10 15:53:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/azraelxuemo/article/details/122860833
版权

文章目录

GS保护机制

学习windows pwn第一个要认识的保护机制就是GS,他对应于linux下的canary保护。
他的用途就是,在old_ebp之前插入一段数据,并且再pop ebp之前检查该数据,如果对不上,说明发生了栈溢出,那么就结束执行

如何开启GS保护

进入vs2022,点击项目
在这里插入图片描述
选择属性,可以看到启用安全检查![
在这里插入图片描述
可以选择禁用检查在这里插入图片描述

关闭GS的栈结构

以下面这个简单的函数为例
(注意,由于编译优化的问题,可能生成的代码不完全相同,但大体上保持一致)
在这里插入图片描述
在这里插入图片描述
对应的一般函数的调用就是

push ebp
mov ebp,esp

pop ebp
ret

当调用函数的时候,首先会push参数,然后call,对应的栈结构
在这里插入图片描述
接着我们push ebp,所以完整的结构
在这里插入图片描述

开启GS的栈结构

首先明确一定
并不是对所有的函数都应用GS,以下情况不会应用GS

  1. .函数不包含缓冲区
  2. 函数使用无保护的关键字标记
  3. 函数在第一个语句中包含内嵌汇编代码
  4. 缓冲区不是8字节类型且大小不大于4个字节
    比如说我们上面的函数,开启GS之后,没有变化
    在这里插入图片描述
    但是引入#pragma strict_gs_check(on)可以对任意类型的函数添加Security Cookie。(但证明,像我们这里的backdoor还是不会受影响)
    那么我们直接使用微软官方的例子
#pragma strict_gs_check(on)
void** ReverseArray(void** pData,
	size_t cData)
{
	void* pReversed[20];

	for (size_t j = 0, i = cData; i; --i, ++j)
		pReversed[j] = pData[i];

	for (size_t i = 0; i < cData; ++i)
		pData[i] = pReversed[i];

	return pData;
}

在这里插入图片描述
在这里插入图片描述
这里首先做了一个sub esp,60h因为我们参数,gs保护都是用ebp来寻址,所以当作看不见
这里通过汇编看到了GS的算法
data段的securiy_cookie^now_ebp就是当前的gs值
同理结束的时候,也是把gs^now_ebp然后调用__security_check_cookie()
这个代码很简洁,就是比较一下,不一样就跳转到failure
在这里插入图片描述
这就是添加GS保护后的栈结构
在这里插入图片描述

如何判断程序有没有GS保护

本来打算说用winchecksec
但是事实证明,一点都不可靠
还是老老实实自己看,因为有些函数就算开了GS保护他也不一定有
最关键还是看反汇编
最开头位置有没有xor 寄存器,ebp(寄存器一定要是security cookie)push寄存器
但要注意,这个GS的值不一定在ebp-4,如果设置了seh处理,这个gs位于ebp-0x1c处

如何bypass GS

格式化字符串漏洞

如果可以看到printf(buf),buf可控
那么就可以利用格式化字符串漏洞,传入多个%p(数量要回控制)即可
···
#define _CRT_SECURE_NO_WARNINGS
#include<stdio.h>
int main()
{
char tmp[20];
scanf("%s",tmp);
printf(tmp);

return 0;

}
···
在这里插入图片描述

通过调试,找到printf调用时候的堆栈,可以看到最上面的就是我们printf的参数,也就是地址,所以说里面的每一项都是从参数后面的下一个地址开始算,也就是00affc38的内容对应于第一个%p
那么00affc58是ebp,所以需要泄漏到00affc54的位置,也就是需要8个%p
那么重新运行,由于堆栈随机化,可能地址不同
在这里插入图片描述
当执行完push ebp之后,esp就指向当前参数
在这里插入图片描述
可以看到这次gs是0073fed0位置的值,看能否泄露出来
刚好最后一个,这个时候只需要用字符串截取一下就可以了
在这里插入图片描述
然后栈溢出的时候,我们可以直接把原来gs的值填进去,然后跳转到后门的地址就好

复制\x00截断

这里我用了类似web方向的\x00截断
因为我们经常看到这样的复制代码

int copy(char* a, int len) {
	setbuf(stdout, 0);
	setbuf(stdin, 0);
	int i;
	for (i = 0; i < len; i++) {
		char tmp = getchar();
		if (tmp == '\n') {
			*(char*)(a + i) = '\0';
			break;
		}
		else {
			*(char *)(a + i )= tmp;
		}
	}
	return i;
}

这个代码就是复制,然后如果\n就结束并换成\0,表面上看上去没有漏洞
那我们实际看一下

#define _CRT_SECURE_NO_WARNINGS
#include<stdio.h>
int copy(char* a, int len) {
	setbuf(stdout, 0);
	setbuf(stdin, 0);
	int i;
	for (i = 0; i < len; i++) {
		char tmp = getchar();
		if (tmp == '\n') {
			*(char*)(a + i) = '\0';
			break;
		}
		else {
			*(char*)(a + i) = tmp;
		}
	}
	return i;
}
int main()
{
	char tmp[20];
	copy(tmp, 20);
	printf("%s", tmp);

	return 0;
}

当输入20个0之后,可以看到,最后多个乱码,怎么回事呢,我们调试一下
在这里插入图片描述
当输入20个61之后,发现堆栈被填满了,但是没有00截断,所以一旦printf(*
%s")由于遇不见\x00,他会一直输出,把后面的数据全部输出了,直到遇见第一个\x00
在这里插入图片描述
这个可以利用winpwn的u32进行转化
大概代码如下

io.sendline("a"*19+"@")
io.recvuntil("@")
u32(io.recv(4))

既然知道了gs,那么就可以随便泄露了

azraelxuemo
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
winpwn学习(一)
qq_38843883的博客
01-28 1496
本系列记录winpwn学习的全过程,从最简单的栈溢出开始入门winpwn,后期会分析一些经典的cve,在学习安全之余修炼调试技巧 调试工具Nanocode(https://www.nanocode.cn/#/download),调试binaryhttps://www.root-me.org/en/Challenges/App-System/PE32-Stack-buffer-overflow-basic 可以自己编译源码文件,记得关掉相应的保护。 先用ida看看漏洞点,很明显0x041147A处的buff
WinPwn:内部Windows Penetrationtest AD-Security的自动化
04-29
WinPwn 在过去的许多内部渗透测试中,由于缺少代理支持,我经常遇到有关现有Powershell Recon / Exploitation脚本的问题。 我还经常一个接一个地运行相同的脚本,以获取有关当前系统和/或域的信息。 为了自动化尽...
关于Windows安全保护机制——栈守护天使GS的问题
sxr__nc的博客
03-13 529
首先,这次记录的是GS栈守护机制的一些理解和问题,并不是基于栈守护的原理,去做相关的突破和溢出,所以如果发现主题不对,还请及时退出,避免浪费您的时间。当然如果您不介意 给我看看哪里有出错的地方,也欢迎给出意见 ————————————————————分割线————————————————————— 我们都知道,所谓的缓冲区溢出的最重要的一个点就是,将返回地址覆盖为Shellcode执行的地址,也就...
winchecksec
01-12
winchecksec performs static detection of common Windows security features. The following security features are currently detected: ASLR: /DYNAMICBASE with stripped relocation entries edge-case /HIGHENTROPYVA for 64-bit systems Code integrity/signing: /INTEGRITYCHECK Authenticode-signed with a valid (trusted, active) certificate DEP (a.k.a. W^X, NX) Manifest isolation via (/ALLOWISOLATION) Structured Exception Handling and SafeSEH support Control Flow Guard and Return Flow Guard instrumentation Stack cookie (/GS) support
初识Linux栈溢出攻击
popvip44的博客
10-21 910
初识Linux栈溢出攻击0x00 限定条件1、关闭aslr(Address Space Layout Randomization)   开启aslr后,应用程序或动态链接库装载时,系统会随机设定其装载基址。这样就避免了攻击者事先预知特定函数的入口地址。ubuntu下的关闭命令为echo 0 >/proc/sys/kernel/randomize_va_space,该命令需要事先通过su提升到root
WinPwn自制iPhone1.1.4固件详细教程
The key to .Net
05-02 543
适用固件:1.1.4固件破解流程:自制你的iPhone → 自制一个1.1.4固件使用工具:Windows操作系统、1.1.4固件、iTunes、WinPwn注意事项:WinPwnWindows操作系统下自制iPhone1.1.4固件的工具,它暂时不能实现2.0固件的自制功能。在使用WinPwn之前,你需要安装.Net 2.0 Framework以及一个需要放在iTunes安装目录下
手把手教你使用WinPwn自制iPhone固件
The key to .Net
05-02 1902
  Pwn破解软件系列的windows版本终于发布,我们可以用这个软件在PC上制作自己的iPhone自制固件,不过根据开发小组介绍这个版本还属于测试版本,某些功能还不能实现,因此破解时需使用Installer下的Bootneuter。详细操作流程如下:第1步:下载WinPwn并保存至桌面。第2步:从此处下载.Net2.0程序第3步:双击桌面上已下载的.Net 2.0固件(dotne
windows pwn
sky123博客
07-13 1470
附件下载链接程序保护如下,没有开 GS 保护。 程序是一个简单的栈溢出: 利用方法如下:这里有几个易错点: 64 位栈溢出 附件下载链接 和 32 位的程序相似,不过这里溢出字节数较少,需要栈迁移。 ORW 如果题目开启了 保护禁用了 ,那么我们就需要采用 ORW 的方式获取 flag 。Windows 中的 ORW 示例代码如下,其中 和 位于 , 位于 。 由于传递的参数过多 gadget 不好找并且会导致 ROP 过长,因此采取 修改内存属性写 shellcode 的方式 进行 OR
从零开始winpwn(3)--SEH
azraelxuemo的博客
02-11 936
文章目录什么是SEHSEH相关数据结构EXCEPTION_REGISTRATION _RECORD结构异常处理调用栈SEH默认保护攻击如果payload写在栈上会怎么样? 什么是SEH 在没有调试器参与的情况下,系统主要依靠SEH机制(用户态,内核态都可用)和VEH机制(仅支持用户模式)进行异常处理 SEH(Structed Exception Handling 结构化异常处理)是windows操作系统用于自身除错的一种机制,也是开发人员处理程序错误或异常的武器,它告诉系统当程序运行出现异常或错误由谁处理。
windows pwn 基础知识
sky123博客
06-21 4221
Win10 和 Win Server2016 版本之前,只有一种堆类型 NT Heap在 Win10 和 Win Server2016 之后,引入了 Segment Heap(段堆)在之后版本中,除了 UWP 程序之外 一般都继续使用 NT Heap 进行堆管UWP(Universal Windows Platform)是 Win10 引入的一种新的应用程序开发模型,他们采用了一套共享的 API。所以采用 UWP开发的程序,可以在所有 Win10 设备上运行。
GS保护技术
PwnGuo的博客
09-18 1914
GS保护检测栈溢出,在函数调用时向栈帧中压入一个额外的随机DWORD,就是常见的逆向代码中的Security Cookie. 带有Security_cookie的函数 Security Cookie 位于EBP之前,系统还将在.data的内存区域中存放一个Security Cookie的副本。 GS保护机制下的内存布局 系统比较栈帧中原先存放的Security Cookie和.data...
Python库 | winpwn-0.0.1-py2.py3-none-any.whl
05-11
资源分类:Python库 所属语言:Python 资源全名:winpwn-0.0.1-py2.py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Pentest-Tools-Collection
08-05
Import-Module .\WinPwn.ps1 iex(new-object net.webclient).downloadstring('https://raw.githubusercontent.com/S3cur3Th1sSh1t/WinPwn/master/WinPwn.ps1') 鬼包 安全带、KeeThief、Rubeus、SharpUp ... 强盗...
关闭GS选项,解决注入后崩溃
acmumw248662的博客
10-27 796
利用CreateRemoteThread向进程注入远程代码时,一般会有以下两种做法: 利用LoadLibrary在目标进程加载指定的DLL 将代码复制到目标进程,然后启动这段代码 上面的第二种方法其实在使用上更加灵活。因为借用该方法,我们可以灵活地自定义函数(以下简称为启动函数)的参数。其使用流程一般为: 利用VirtualAllocEx / WriteProce...
CTF crypto环境搭建
su1yu4n's Blog
04-15 1730
个人的配置 Windows 8.1 、 pycharm 、 python 3.5、 有关python版本的建议 以目前经验,建议使用python3.5(版本低或高都有库不能用)之前我用python2、3.4、3.8遇到无数麻烦。 常用库的安装 目前做crypto时用到的库 gmpy2、pycrypto、requests、winpwn 首先安装python3.5和pycharm 然后安装gm...
程序编译保护&堆栈溢出保护机制
wkshwbw的博客
12-11 1615
程序编译保护&堆栈溢出保护机制
VC++中利用/GS开关防止缓冲区溢出
08-17 648
缓冲区溢出通常表现为一个最为常见的漏洞而存在于今天的各种软件之中,黑客可以用恶意的输入,从而更改程序的执行流程,由此入侵相应的进程、电脑、或整个域。如果进程运行于一个高度受信的账户之下,如管理员或本地系统账户,那么黑客带来的破坏将是极其严重,并有潜在广泛传播的危险。近几年来爆发的一些"知名"病毒,如红色代码、冲击波、震荡波等等,都源于C/C++代码缓冲区溢出的结果。  从程序的角度来看,缓冲区溢出
/Gs(控制堆栈检查调用)
bytxl的专栏
09-08 1536
控制堆栈探测。 /Gs[size] 参数 size (可选)在启动堆栈探测之前局部变量可以占用的字节数。 如果在不指定 size 参数的情况下指定 /Gs 选项,则这与指定 /Gs0 的效果相同。 备注 堆栈探测是编译器插入到每个函数调用中的
mybatis-plus 开发中常用的
最新发布
hazhanglvfang的专栏
05-17 382
diagSrtNo(item.getDiagSrtNo()) //诊断排序号。.iptOtpNo(item.getIptOtpNo()) //门诊住院号。.mdtrtId(item.getMdtrtId()) //就诊 ID。.orgid(item.getOrgid()) //机构编码。// 调用 list 方法。// 假设有一个 User 实体对象,设置更新字段为 name,以及一个 whereWrapper 设置更新条件为 id = 1。
单链表的应用(快慢指针)
Frenemy__的博客
05-16 223
对于链表类题,我们可以使用创建链表额外设值存值来避免创建链表通过多指针来改变链表的指向一种比较巧妙的方法-----快慢指针......

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值