safeseh--简略窥视

最新推荐文章于 2018-10-09 09:24:12 发布
最新推荐文章于 2018-10-09 09:24:12 发布
阅读量840 收藏
点赞数
分类专栏: 漏洞分析 文章标签: c byte table
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/instruder/article/details/6905706
版权 
asm in ntdll.dll
7C94A994    3B5D F8         CMP EBX,DWORD PTR SS:[EBP-8]             ; 堆栈顶部
7C94A997  ^ 0F82 79F9FFFF   JB ntdll.7C94A316
7C94A99D    8D43 08         LEA EAX,DWORD PTR DS:[EBX+8]
7C94A9A0    3B45 F4         CMP EAX,DWORD PTR SS:[EBP-C]             ; 堆栈底部
7C94A9A3  ^ 0F87 6DF9FFFF   JA ntdll.7C94A316
7C94A9A9    F6C3 03         TEST BL,3
7C94A9AC  ^ 0F85 64F9FFFF   JNZ ntdll.7C94A316
7C94A9B2    8B43 04         MOV EAX,DWORD PTR DS:[EBX+4]             ; 取出seh handler地址
7C94A9B5    3B45 F8         CMP EAX,DWORD PTR SS:[EBP-8]             ; 堆栈顶部
7C94A9B8    72 09           JB SHORT ntdll.7C94A9C3
7C94A9BA    3B45 F4         CMP EAX,DWORD PTR SS:[EBP-C]
7C94A9BD  ^ 0F82 53F9FFFF   JB ntdll.7C94A316                        ; seh handler地址不能在堆栈中
7C94A9C3    50              PUSH EAX
7C94A9C4    E8 67000000     CALL ntdll.7C94AA30				//检测的关键
7C94A9C9    84C0            TEST AL,AL
7C94A9CB  ^ 0F84 45F9FFFF   JE ntdll.7C94A316                        ; 不能返回0
7C94A9D1    F605 FAB3997C 8>TEST BYTE PTR DS:[7C99B3FA],80
7C94A9D8    0F85 05390200   JNZ ntdll.7C96E2E3                       ; 不能是0x80
7C94A9DE    FF73 04         PUSH DWORD PTR DS:[EBX+4]
7C94A9E1    8D45 EC         LEA EAX,DWORD PTR SS:[EBP-14]
7C94A9E4    50              PUSH EAX
7C94A9E5    FF75 0C         PUSH DWORD PTR SS:[EBP+C]
7C94A9E8    53              PUSH EBX
7C94A9E9    56              PUSH ESI
7C94A9EA    E8 5888FDFF     CALL ntdll.7C923247                      ; 调用seh handler

7C94AA30    8BFF            MOV EDI,EDI
7C94AA32    55              PUSH EBP
7C94AA33    8BEC            MOV EBP,ESP
7C94AA35    83EC 34         SUB ESP,34
7C94AA38    A1 C8B0997C     MOV EAX,DWORD PTR DS:[7C99B0C8]
7C94AA3D    53              PUSH EBX
7C94AA3E    56              PUSH ESI
7C94AA3F    57              PUSH EDI
7C94AA40    8B7D 08         MOV EDI,DWORD PTR SS:[EBP+8]             ; edi=seh handler
7C94AA43    8945 FC         MOV DWORD PTR SS:[EBP-4],EAX
7C94AA46    8D45 F8         LEA EAX,DWORD PTR SS:[EBP-8]
7C94AA49    50              PUSH EAX
7C94AA4A    8D45 EC         LEA EAX,DWORD PTR SS:[EBP-14]
7C94AA4D    50              PUSH EAX
7C94AA4E    33F6            XOR ESI,ESI
7C94AA50    57              PUSH EDI
7C94AA51    8975 F4         MOV DWORD PTR SS:[EBP-C],ESI
7C94AA54    E8 2B000000     CALL ntdll.7C94AA84


。。。。
7C94AAD8    3BC2            CMP EAX,EDX                              ; 判断seh handler是否在模块中
7C94AADA    0F84 F7B30000   JE ntdll.7C955ED7                        ; 循环判断,不在任何模块中则跳走
7C94AAE0    8BC8            MOV ECX,EAX
7C94AAE2    8B71 18         MOV ESI,DWORD PTR DS:[ECX+18]
7C94AAE5    3BFE            CMP EDI,ESI
7C94AAE7    8B00            MOV EAX,DWORD PTR DS:[EAX]
7C94AAE9  ^ 72 ED           JB SHORT ntdll.7C94AAD8
7C94AAEB    8B49 20         MOV ECX,DWORD PTR DS:[ECX+20]
7C94AAEE    03CE            ADD ECX,ESI
7C94AAF0    3BF9            CMP EDI,ECX
7C94AAF2  ^ 73 E4           JNB SHORT ntdll.7C94AAD8			


如果在这个模块中的话则获取pe格式信息
7C94AB2D    8BFF            MOV EDI,EDI
7C94AB2F    55              PUSH EBP
7C94AB30    8BEC            MOV EBP,ESP
7C94AB32    51              PUSH ECX
7C94AB33    FF75 08         PUSH DWORD PTR SS:[EBP+8]
7C94AB36    E8 DE57FEFF     CALL ntdll.RtlImageNtHeader                       ; 定位这个模块的pe头
7C94AB3B    F640 5F 04      TEST BYTE PTR DS:[EAX+5F],4
7C94AB3F    0F85 DE430200   JNZ ntdll.7C96EF23
7C94AB45    8D45 FC         LEA EAX,DWORD PTR SS:[EBP-4]
7C94AB48    50              PUSH EAX
7C94AB49    6A 0A           PUSH 0A
7C94AB4B    6A 01           PUSH 1
7C94AB4D    FF75 08         PUSH DWORD PTR SS:[EBP+8]
7C94AB50    E8 D157FEFF     CALL ntdll.RtlImageDirectoryEntryToData           ; 定位到0xa出的directory 貌似是Load COnfig Table pebase+offset
7C94AB55    85C0            TEST EAX,EAX
7C94AB57    0F84 51B30000   JE ntdll.7C955EAE
7C94AB5D    8B4D FC         MOV ECX,DWORD PTR SS:[EBP-4]
7C94AB60    85C9            TEST ECX,ECX
7C94AB62    0F84 46B30000   JE ntdll.7C955EAE
7C94AB68    83F9 40         CMP ECX,40
7C94AB6B    0F85 88010000   JNZ ntdll.7C94ACF9
7C94AB71    8338 48         CMP DWORD PTR DS:[EAX],48
7C94AB74    0F82 34B30000   JB ntdll.7C955EAE
7C94AB7A    8B48 40         MOV ECX,DWORD PTR DS:[EAX+40]		//BASE+40
7C94AB7D    85C9            TEST ECX,ECX
7C94AB7F    0F84 29B30000   JE ntdll.7C955EAE
7C94AB85    8378 44 00      CMP DWORD PTR DS:[EAX+44],0
7C94AB89    0F84 1FB30000   JE ntdll.7C955EAE
7C94AB8F    8B55 0C         MOV EDX,DWORD PTR SS:[EBP+C]
7C94AB92    890A            MOV DWORD PTR DS:[EDX],ECX
7C94AB94    8B40 44         MOV EAX,DWORD PTR DS:[EAX+44]		//BASE+44 获取2个dword
7C94AB97    8B4D 10         MOV ECX,DWORD PTR SS:[EBP+10]
7C94AB9A    8901            MOV DWORD PTR DS:[ECX],EAX
7C94AB9C    C9              LEAVE
7C94AB9D    C2 0C00         RETN 0C




返回
7C96E276    2B7D EC         SUB EDI,DWORD PTR SS:[EBP-14]                     ; seh handle -pe base
7C96E279    33D2            XOR EDX,EDX
7C96E27B    85C0            TEST EAX,EAX
7C96E27D    8BF0            MOV ESI,EAX
7C96E27F    7C 15           JL SHORT ntdll.7C96E296
7C96E281    8D0C16          LEA ECX,DWORD PTR DS:[ESI+EDX]
7C96E284    D1F9            SAR ECX,1                                         ; index=dword2 /2 是索引
7C96E286    8B048B          MOV EAX,DWORD PTR DS:[EBX+ECX*4]                  ; dword1是数组基址
7C96E289    3BF8            CMP EDI,EAX						edi是seh handler-base eax是从数组索引中取出来的 一个值
7C96E28B  ^ 0F82 50CAFDFF   JB ntdll.7C94ACE1	
7C96E291  ^\E9 9EC6FDFF     JMP ntdll.7C94A934				//edi大于的话,则继续index+1 继续比较

....
7C94A934   /0F87 22260000   JA ntdll.7C94CF5C				直到找到相等的
7C94A93A   |B0 01           MOV AL,1
7C94A93C   |8B4D FC         MOV ECX,DWORD PTR SS:[EBP-4]
7C94A93F   |5F              POP EDI
7C94A940   |5E              POP ESI
7C94A941   |5B              POP EBX
7C94A942   |E8 1055FEFF     CALL ntdll.7C92FE57
7C94A947   |C9              LEAVE
7C94A948   |C2 0400         RETN 4



直到从数组中找到和注册的seh handler相等时,就返回true 否则结束进程

检测是否在已注册的异常处理器
Load Config Director
04826068  48 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  H...............
04826078  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
04826088  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
04826098  00 00 00 00 00 00 00 00 00 00 00 00 F4 BE 82 04  ............艟?
048260A8  10 7F 82 04 2D 00 00 00 52 53 44 53 30 72 9E CA  ?-...RSDS0r炇





safeseh的保护机制:
1 seh handler不能指向堆栈
2 如果不在任意模块中则可以直接执行
3 如果在模块中,则是否在已经注册的异常处理中,不在则直接结束进程










                

        

        

    

  


    

      

        

            

              
                
                  instruder
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
PESecurity-master

				
			

			

				

					08-30
				

			

		

		

			
				
这些防护机制包括SafeSEH(Structured Exception Handling Overwrite Protection)、Authenticode(微软的一种代码签名技术)、DotNET(微软的.NET框架)相关的安全特性以及ControlFlowGuard(CFG,控制流守卫),...

			
		

	



                

              
                



	

		

			

				
					
关于Safeseh

				
			

			

				

					爱码农爱生活
				

				

					03-16
					
					223
					
				

			

		

		

			
				
么是Safeseh 
以前堆栈溢出在的WINDOWS系统中一直都是安全问题的核心,其中覆盖seh的技术早为人熟知。Safeseh是一项保护和检测和防止堆栈中的seh被覆盖而导致利用的技术。 
Safeseh是VISTA的新技术吗? 
Safeseh并不是VISTA的新技术,Safeseh是xp sp2就已经引入的技术。但是由于Safeseh需要.net的编译器编译的image才支持,而xp ...

			
		

	



                


  
              

                


	

		

			

				
					
加密与解密二版菜鸟学习笔记(2) - SEH 结构化异常处理

				
			

			

				

					vbsourcecode的专栏
				

				

					11-02
					
					1905
					
				

			

		

		

			
				
标 题: 【原创】加密与解密二版菜鸟学习笔记(2) - SEH 结构化异常处理
作 者: ytcswb
时 间: 2005-02-01,16:40:24
链 接: http://bbs.pediy.com/showthread.php?t=10651

看学加密与解密二版学习笔记(2) - SEH 结构化异常处理

[ 工 具 ] flyod1.10

[ 目 的 ] 学习SEH

			
		

	





	

		

			

				
					
栈溢出笔记1.11 SafeSEH

				
			

			

				

					hustd10的博客
				

				

					04-16
					
					1052
					
				

			

		

		

			
				
在上节写示例的过程中,我把要用到的POP+POP+RET指令写在了自己的一个DLL中。POP+POP+RET指令是很常见的指令,一般函数的末尾都是这种形式,因此,系统DLL中应该是有该指令的,比如ntdll.dll中就有: 
 
图73我们把上节示例中的地址改成这个地址试试,没有弹出MessageBox,说明Shellcode失效了,在调试器中看看: 
 
图74提示说无法处理异常,说明改了地址后的

			
		

	



		

			
		



	

		

			

				
					
SafeSEH原理与对抗

				
			

			

				

					whatday的专栏
				

				

					10-09
					
					6152
					
				

			

		

		

			
				
SafeSEH原理

在 Windows XP sp2 以及之后的版本中,微软引入了 S.E.H 校验机制 SafeSEHSafeSEH 需要 OS 和 Compiler 的双重支持,二者缺一都会降低保护能力。通过启用 /SafeSEH 链接选项可心使编译好的程序具备 SafeSEH 功能(VS2003 及后续版本默认启用)。该选项会将所有异常处理函数地址提取出来,编入 SEH 表中,并将这张表...

			
		

	





	

		

			

				
					
OD插件-ollysseh

				
			

			

				

					09-10
				

			

		

		

			
				
This plugin does an in-memory scanning of process loaded modules checking if they were compiled with /SafeSEH, if so it can list the registered handlers (you can follow them at CPU window doing double...

			
		

	





	

		

			

				
					
周玉川-2017221302006-第三次作业1

				
			

			

				

					08-03
				

			

		

		

			
				
 - SafeSEH 的有效性依赖于DEP,DEP被绕过后,SafeSEH也可能失效。  - 许多第三方库未启用SafeSEH,攻击者可以利用这些库来绕过保护。  - 可以通过在堆区布置shellcode,绕过指向堆区的异常处理函数。  以上就是关于...

			
		

	





	

		

			

				
					
周玉川-2017221302006-第三次作业2

				
			

			

				

					08-08
				

			

		

		

			
				
5. **SafeSEH (Safe Structured Exception Handling)**: SafeSEH 是 Windows 上的一种异常处理机制,它只允许执行预定义的异常处理程序。在异常发生时,系统会检查处理函数是否在安全列表中。不过,SafeSEH 依赖 DEP...

			
		

	





	

		

			

				
					
cve-2010-3333.pdf

				
			

			

				

					12-26
				

			

		

		

			
				
该Metasploit模块仅包含了在禁用地址空间布局随机化(Address Space Layout Randomization, ASLR)和安全SEH(SafeSEH)的情况下针对Windows Vista和Windows 7的偏移量。这意味着为了在Office 2007上成功利用此漏洞...

			
		

	





	

		

			

				
					
怎么解决name 'Tkinter' is not defined  问题

					
热门推荐

				
			

			

				

					爱杀之爪的矩阵
				

				

					11-26
					
					2万+
					
				

			

		

		

			
				
解决name 'Tkinter' is not defined   

			
		

	





	

		

			

				
					
纯字符数字的shllcode及Alpha2.c使用

				
			

			

				

					爱杀之爪的矩阵
				

				

					12-02
					
					4929
					
				

			

		

		

			
				
<br />#include <stdio.h>  
#include <windows.h>
//纯字符数字的shellcode,显示个calc
char aphal1[]={"TYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJIxkVvqKRJ31PXrsOKtMFEk6cL9oKcFQIPPPmkFrHKNaQlYoXSjHIu9oyokOsSu1RLasfNQuPxPegps0A"};

int main(int argc, char *

			
		

	





	

		

			

				
					
metasploit 添加自己的poc

				
			

			

				

					爱杀之爪的矩阵
				

				

					04-23
					
					3057
					
				

			

		

		

			
				
<br /> <br />方法:<br />在安装目录/Metasploit/Framework3/home/Administrator/.msf3/”下面,添加完你的exploit后要先删除这个文件,然后重新启动整个程序<br /> <br />ruby太慢 受不了

			
		

	





	

		

			

				
					
metasploit shellcode编码命令....

				
			

			

				

					爱杀之爪的矩阵
				

				

					10-20
					
					2919
					
				

			

		

		

			
				
擦 这种东西还是要记下的,不然外出出差电脑上没有这种资料,还要现场去百度搜索 太麻烦了....纠结
 
 
ruby ./msfpayload windows/messagebox EXITFUNC=seh TEXT="hack by instruder" TITLE=hack R >messagebox
ruby ./msfencode -i messagebox -b '\x00' -

			
		

	





	

		

			

				
					
为啥_wtol("4294967295")的结果不是0xffffffff而是0x7fffffff

				
			

			

				

					爱杀之爪的矩阵
				

				

					07-07
					
					2784
					
				

			

		

		

			
				
今天看一个软件的更新时 取的http头信息中的Content-length+1 作为内存分配,晚上测试了下 发现可以单独的更改http 头中的Content-length长度信息为0xffffffff。这样当长度+1时,即可导致分配0字节内存(实际上是8字节)。 后面在用Inte

			
		

	





	

		

			

				
					
MS10-073微软Windows内核Win32k.sys键盘布局本地提权漏洞   fix poc

				
			

			

				

					爱杀之爪的矩阵
				

				

					11-05
					
					2613
					
				

			

		

		

			
				
第一次载入poc crash在这
eax=00000000 ebx=00000000 ecx=0000006b edx=e16edaac esi=00000244 edi=00000000
eip=8053af99 esp=b264e948 ebp=b264e94c iopl=0         nv up ei pl zr na pe nc
cs=0008  ss=0010  ds=0023

			
		

	





	

		

			

				
					
CVE2011-0065-Mozilla Firefox3.6.16 mChannel use after free vulnerability

				
			

			

				

					爱杀之爪的矩阵
				

				

					08-19
					
					2235
					
				

			

		

		

			
				
CVE2011-0065-Mozilla Firefox3.6.16 mChannel use after free vulnerability
 
Author: instruder of Code Audit Labs of vulnhunt.com
Time: 201

			
		

	





	

		

			

				
					
挖漏洞的伤不起啊

				
			

			

				

					爱杀之爪的矩阵
				

				

					09-26
					
					2111
					
				

			

		

		

			
				
最近一直在挖掘XX player的漏洞


本来打算找个可利用的漏洞(之前找了几个没能利用)就不搞了 换ie的分析和挖掘下(一直对


used after free 类型的漏洞不知道怎么找):


好不容易找了个潜在的堆溢出(为什么说是潜在的呢, 只能能执行到

			
		

	





	

		

			

				
					
ActiveX控件漏洞学习

				
			

			

				

					爱杀之爪的矩阵
				

				

					11-23
					
					1765
					
				

			

		

		

			
				
<br />以后可能会一直搞这方面了,挺有意思的,今天在看雪找到了ExploitMe玩了下(08年的ExploitMe大赛的题目)<br />题目A很简单,简单的栈溢出就搞定了,题目B用到了ActiveX控件,基本没接触过,仔细学习了下<br /> <br />注册表查看ActiveX控件<br />HKEY_LOCAL_MACHINE/SOFTWARE/Classes/TypeLib/{7F5E27C1-4A5C-11D3-9232-0000B48A05B2}<br /> <br /> <br />//一

			
		

	





	

		

			

				
					
java 漏洞调试科普

				
			

			

				

					爱杀之爪的矩阵
				

				

					05-09
					
					1761
					
				

			

		

		

			
				
Java 漏洞调试科普
Cve2010-0840
 author : instruder 


介绍
以cve2010-0840的Java Runtime Environment Trusted Methods Chaining Remote CodeExecution Vulnerability漏洞为例,介绍下如何调试java漏洞。
 
这个漏洞影响的java版本
 
Jre

			
		

	





	

		

			

				
					
vs2022怎么开safeSEH

					
最新发布

				
			

			

				

					03-27
				

			

		

		

			
				
在Visual Studio 2022中,开启SafeSEH(Safe Structured Exception Handling)可以提高应用程序的安全性,防止恶意代码利用异常处理机制进行攻击。下面是在VS2022中开启SafeSEH的步骤:

1. 打开你的项目,在解决方案资源管理器中选择你项目。
2. 右键单击项目,选择“属性”选项。
3.属性窗口中,选择“配置属性” > “链接器” > “高级”。
4. 在右侧的属性列表中,找到“启用安全异常处理(Enable Safe Exception Handling)”选项,并将其设置为“是”。
5. 点击“应用”按钮,然后点击“确定”按钮保存更改。

这样就成功开启了SafeSEH。通过这个设置,编译器会自动在生成的可执行文件中添加SafeSEH表,提供额外的保护措施来防止异常处理被滥用。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值