0day 第10章--10.4节:攻击异常处理突破GS(2)

最新推荐文章于 2020-09-09 21:11:08 发布
最新推荐文章于 2020-09-09 21:11:08 发布
阅读量315 收藏
点赞数
分类专栏: 0day
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15727809/article/details/83615230
版权

文章目录

实验原理:

传入参数过长,直到覆盖掉SEH句柄。将SHE句柄覆盖为shellcode地址即可。

实验环境:

Winxp sp3 vs2010
Release版本、禁用优化、多了后面2个“否”(这样编译的程序就出现strcpy和strcat函数了,便于分析)
仅仅是这两个否,之后的程序分析就和书中一样了!
在这里插入图片描述
传说中的关闭safeseh的方法。。。
在这里插入图片描述

源程序:

用200个’\x90’进行测试
在这里插入图片描述
OD载入程序,在调用test()函数之前,记录下此时的返回地址00141071和EBP为 0012FF7C
在这里插入图片描述
进入,首先单步看到security_cookie的值:0xAAA8d089
在这里插入图片描述
出现strcpy和strcat函数了。strcpy(buf,input)的的input地址是0x00403000,buf地址是0x0012FEA0
在这里插入图片描述
此时仔细观察右下角堆栈窗口,发现input的地址在0x0012FF78处,这样当接下来调用strcat时,如果shellcode过长就会覆盖strcat(buf,input)的地址,就会导致异常!
在这里插入图片描述
F7单步,果然,strcat()从0x0012FF78处调用取input的地址了!
在这里插入图片描述
F7单步继续,strcat(buf,input)buf的地址正确,
在这里插入图片描述
F8执行完strcat函数,发现程序直接调到ntdll.dll模块了。这时观察堆栈窗口,发现SHE句柄竟然被覆盖成0x90909090了!这是怎么回事呀?
在这里插入图片描述
仔细想一下……噢~明白了,原来刚strcat(buf,input)取地址的时候两个地址都是正确的,自然就将input的内容复制到buf的后面了,因为我们输入的input有200个字节长,因此当他们连接时,自然就覆盖了SEH句柄了,因为SHE句柄和buf末尾只相差了76个字节呀!
程序一会肯定会报错!
单步继续,果然由于90909090不可读导致出错了!
在这里插入图片描述
这下分析完了导致异常的原因,那我们就构造200+76个字节的shellcode,然后跟上shellcode的地址让其覆盖掉SHE句柄,观察是否能shellcode成功!
在这里插入图片描述
啊噢,运行直接报缓冲区溢出错误。。。。
在这里插入图片描述
查资料发现原来winxp sp2及后续版本中加入了对SHE的校验,因此失败了。
这就没办法了。
#end

Angelki
关注
专栏目录
5.SEH(结构化异常处理
My classmates
10-30 1202
当用户异常产生后,内核函数KiDispatchException并不是像处理内核异常那样在0环直接进行处理,而是修正3环EIP为KiUserExceptionDispatcher函数后就结束了。 这样,当线程再次回到3环时,将会从KiUserExceptionDispatcher函数开始执行。 KiUserExceptionDispatcher会调用RtIDispatchException函数来查...
0day10--10.4攻击异常处理突破GS(1)
I have a dream
11-01 281
实验原理: 传入参数过长,直到覆盖掉SEH句柄。将SHE句柄覆盖为shellcode地址即可。 实验环境: Winxp sp3 vs2010 Release版本、禁用优化 根据网上把safeseh关闭了,但是没用。。。 入的坑:(找到原因了,但是不知道怎么改正。。。) 思考原因:很有可能是因为系统开启了safeseh,没有关闭导致的! 书上说,溢出原理是shellcode过程导致覆盖了strc...
虚函数绕过 GS保护 学习
weixin_30432179的博客
09-08 158
#pragma strict_gs_check(on) 强制设置 GS保护 VS2008 当缓冲区<=4字时 不被 GS保护 设置上面的 可以强制保护 #include "stdafx.h" #include <windows.h> #pragma strict_gs_check(on) void f(char str[]) { char ...
0Day》之通过覆盖虚表指针来突破GS
binghupo的博客
12-05 1072
对于栈溢出,微软做了GS防护,就是在函数栈帧初始化之后,生成一个随机的cookie,将其保存在EBP之前,同时在.data中也保存一份,在函数返回之前,先检测栈中cookie的值,如果我们还用之前栈溢出的方式,通过shellcode覆盖函数返回地址来达到溢出的目的,这时必然会覆盖掉栈中的cookie,这样的溢出就会被检测到,也就无法达到溢出的目的。但是正所谓你有张良计,我有过墙梯,GS的检测要在函
还原0day----覆盖虚函数突破GS
笔记本
05-12 459
接上一篇,与vc++6.0(并没有GS安全机制)不一样的是,vs2008启用GS后的实例内存布局有些不一样,结合0day代码探究下突破GS的具体细 C++代码:vs2008 release 优化禁用 #include "stdafx.h" #include "string.h" class GSVirtual { public : void gsv(char * src) ...
js中将中国标准时间格式、CST日期转换为yyyy-MM-dd HH:mm:ss格式总结
single0515的博客
12-20 9912
1.Wed Dec 18 2019 17:30:30 GMT+0800 (中国标准时间)格式转换为yyyy-MM-dd HH:mm:ss格式 var dictTime = new Date("${fns:getDictValue('zgh_seal_apl_1', 'zgh_change_date', '')}"); var changeDate=dictTime.getFullYear() ...
vue实时显示当前时间且转化为“yyyy-MM-dd hh:mm:ss”格式
weixin_33852020的博客
03-19 4290
在实际运用中时间格式“yyyy-MM-dd hh:mm:ss”用的最多,如果需要其他格式可根据需求自行修改,下面直接上代码: 引入相应的js即可运行 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>vue实时显示当前...
JS 判断input输入框日期时间格式是否符合YY-MM-DD HH:MM:SS和是否符合实际日期规范方法以及SQL时间日期格式转化存储
记HTML5 JS jquery 关于给自画页面传值问题
04-19 3768
JS 判断input输入框日期时间格式是否符合YY-MM-DD HH:MM:SS和是否符合实际日期规范方法以及SQL时间日期格式转化存储 先获取input文本框内输入值 <p>日 &nbsp &nbsp &nbsp 期:&nbsp;<input type="text" id="Edit_d_DateTime" name="Edit_d_DateTi...
安全基础:0-day漏洞
知行合一 止于至善
06-09 5808
这篇文以阿里巴巴的FastJSon来介绍一下Zero-day(0-day)漏洞的基础常识。
Caused by: java.lang.IllegalArgumentException: HOUR_OF_DAY: 2 -> 3
07-26 2623
开始以为是 某个时间参数有问题,后来google发现如果在数据库配置文件中加上 &serverTimezone=Asia/Shanghai 即可,可能是mysql驱动问题,没有验证 Caused by: java.lang.IllegalArgumentException: HO...
虚函数突破GS
weixin_30709929的博客
05-19 107
如何确定变量的内存布局 为什么不直接执行buff里面的shellcode,而要绕远 因为虚表指针指向buff,buff的地址还要指向另一个地址,没有办法直接执行buff。这是由虚函数与虚表性质决定。 为什么执行完call还必须返回shellcode,call不就是call进shellcode吗? call是必须的,见问题2.然后剩下的问题是怎么回到shellcod...
0day安全》栈中的守护天使:GS
weixin_50287973的博客
09-09 236
针对缓冲区溢出时覆盖函数返回地址这一特征,微软在编译程序时使用了一个很酷的安全编译选项——GS,在 Visual Studio 2003 (VS 7.0)及以后版本的 Visual Studio 中默认启用了这个编译选项。 以下情况不会应用 GS: (1)函数不包含缓冲区。 (2)函数被定义为具有变量参数列表。 (3)函数使用无保护的关键字标记。 (4)函数在第一个语句中包含内嵌汇编代码。 (5)缓冲区不是 8 字类型且大小不大于 4 个字。 修改栈帧中函数返回地址的经典攻击将被 GS 机制有效遏制;
SEH溢出攻击
dasgk的专栏
10-14 1336
#include "stdafx.h" #include   #include #include using namespace std; int main() {     MessageBox(NULL,L"DSA",0,0);         char buf[10];     int eip=(int)main;     memcpy(buf+88,(int*)&eip
栈溢出防御之——Windows安全机制GS编译选项
BetaBin
10-14 8311
安全漏洞中有个重灾区:栈溢出。利用类似memset之类的字符串修改函数,输入超出正常长度的字符串,导致栈溢出,从而影响其它数据(返回地址、标志变量等)。 维基百科给出的资料http://zh.wikipedia.org/wiki/%E5%A0%86%E6%A0%88%E6%BA%A2%E5%87%BA主要是函数无限调用导致的堆栈溢出,下面给出个0day2里面的例子温习下栈溢出: #includ
[网络安全自学篇] 五十四.Windows系统安全之基于SEH异常处理机制的栈溢出攻击及防御解析
杨秀璋的专栏
03-02 8610
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记。前文分享了XP和Kali环境搭建,通过Windows漏洞实现栈溢出攻击,通过Metasploit反弹shell,从而Kali系统获取了XP系统的shell。本文将讲解基于SEH异常处理机制的栈溢出漏洞,XP系统通过连接Easy File Sharing Web Server 7.2文件传输服务,然后利用一个恶意的请求头部(HEAD或GET)引起缓冲区溢出,从而改写SEH链的地址并反弹Shell。基础性文,希望对您有所帮助。
关闭GS选项,解决注入后崩溃
acmumw248662的博客
10-27 834
利用CreateRemoteThread向进程注入远程代码时,一般会有以下两种做法: 利用LoadLibrary在目标进程加载指定的DLL 将代码复制到目标进程,然后启动这段代码 上面的第二种方法其实在使用上更加灵活。因为借用该方法,我们可以灵活地自定义函数(以下简称为启动函数)的参数。其使用流程一般为: 利用VirtualAllocEx / WriteProce...
安全编码实践一:GS编译选项和缓存溢出
12-16 5849
11期文申明。文仅代表个人观点,与所在公司无任何联系。 1.     概述函数堆栈缓存溢出,是操作系统和应用程序安全漏洞最常见,最严重的类型之一。它往往导致可以允许攻击者可以远程执行恶意代码。例如,以下这段代码[2,p147]就展示了Windows系统RPC调用中的函数堆栈缓存溢出类型的安全漏洞。它就是导致冲击波病毒(Blaster)爆发的根源。 HRESULT GetMachin
辽宁对外经贸学院在湖南2021-2024各专业最低录取分数及位次表.pdf
09-23
全国各大学在湖南2021-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
【SCI2区】基于matlab VMD-灰狼算法GWO-LSTM光伏预测【含Matlab源码 7666期】.zip
最新发布
09-23
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2023b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 VMD-智能优化算法优化LSTM回归预测系列程序定制或科研合作方向: 4.4.1 VMD-遗传算法GA/蚁群算法ACO优化LSTM回归预测 4.4.2 VMD-粒子群算法PSO/蛙跳算法SFLA优化LSTM回归预测 4.4.3 灰狼算法GWO/狼群算法WPA优化LSTM回归预测 4.4.4 VMD-鲸鱼算法WOA/麻雀算法SSA优化LSTM回归预测 4.4.5 VMD-萤火虫算法FA/差分算法DE优化LSTM回归预测 4.4.6 VMD-其他优化算法优化LSTM回归预测
前端将2024-05-23 10:20:03.0转换成2024-05-23 10:20:03
09-13
前端通常会使用JavaScript的Date对象来处理日期和时间的格式化。如果你有一个ISO 8601格式的字符串 "2024-05-23T10:20:03.000Z",想要转换成"2024-05-23 10:20:03"这种形式,你可以这样做: ```javascript var dateStr = "2024-05-23T10:20:03.000Z"; var date = new Date(dateStr); // 将字符串解析为Date对象 var formattedDate = date.toLocaleString("zh-CN", { // 格式化为本地日期时间 year: 'numeric', month: '2-digit', day: '2-digit', hour: '2-digit', minute: '2-digit', second: '2-digit' }); console.log(formattedDate); ``` 这将会得到 "2024年05月23日10时20分03秒" 的格式,注意浏览器可能会根据用户的设置显示不同的时间部分,如月份前缀可能是“五月”而不是“05”。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值