在栈溢出和堆溢出中利用SEH

最新推荐文章于 2024-01-04 21:20:02 发布
最新推荐文章于 2024-01-04 21:20:02 发布
阅读量1.1k 收藏 2
点赞数 2
分类专栏: 0day安全笔记 文章标签: 栈溢出 堆溢出 SEH
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangtiankuo/article/details/83657015
版权

本文总结自《0day安全:软件漏洞分析技术》

1.TEB

该部分参考自https://bbs.pediy.com/thread-223816.htm 作者:AperOdry 

ntdll.NtCurrentTeb()函数返回当前线程的TEB结构体指针。

 

fs:[0x18]处存放当前线程TEB结构体指针,值009BF00,即fs:[0x0]是TEB的起始地址。

此处介绍第一个结构体成员NtTib(线程信息块)

typedef struct _NT_TIB          //sizeof  1ch  
{  
 00h   struct _EXCEPTION_REGISTRATION_RECORD  *ExceptionList; 
 04h   PVOID                            StackBase;
 08h   PVOID                            StackLimit;
 0ch   PVOID                            SubSystemTib;  
       union {  
           PVOID                FiberData;  
 10h       DWORD                Version;  
       };  
 14h   PVOID                            ArbitraryUserPointer;  
 18h   struct _NT_TIB                   *Self; 
}NT_TIB;  
ExceptionList:即为指向_EXCEPTION_REGISTRATION_RECORD结构体的链表指针(SEH)

2.windows异常处理机制(S.E.H) 

S.E.H异常处理结构体,包含两个DWORD指针。

  1. S.E.H结构体存放在系统栈中
  2. 线程初始化时会在栈中安装一个S.E.H,程序中使用了__try{}__except{}等异常处理机制,向当前函数栈帧中安装一个S.E.H。
  3. 当异常发生时,操作系统会中断程序,并首先从TEB的0字节偏移处取出距离栈顶最近的SEH,使用异常处理函数句柄所指向的代码来处理异常。

3.在栈溢出中利用S.E.H

buf的起始位置为0x12FE94

在View->SEH chain,查看SEH链。离栈顶最近的SEH位于0x12FF68,0x12FF68指向下一个SEH的链表指针,0x12FF6C存储异常处理函数句柄。我们需要将异常处理函数句柄利用栈溢出覆盖成shellcode的起始地址。

 利用一个除0异常,调用离栈顶最近的异常处理函数,0x12FF6C,即可跳转到shellcode起始地址,执行shellcode。

4.堆溢出中利用S.E.H

原理:利用堆溢出,将下一空闲堆块的空表指针覆盖为shellcode起始地址和SHE异常回调函数地址,从而将SHE的异常回调函数地址替换为shellcode的起始地址。

同样是在程序开始处写int 断点,运行后OD捕捉异常自动附加。

运行到HeapAlloc结束,程序产生异常,查看SEH链,第一个SEH位于0x12FF30,其异常回调函数地址应为0x12FF34。

 将下一空闲堆块的空表指针修改为shellcode起始地址和0x12FF34。

 

wangtiankuo
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《0day安全》——利用 S.E.H
weixin_50287973的博客
09-07 207
利用 Windows 异常处理机制的基本思路 (1)S.E.H 存放在栈内,故溢出缓冲区的数据有可能淹没 S.E.H。 (2)精心制造的溢出数据可以把 S.E.H 异常处理函数的入口地址更改为 shellcode 的起始地址。 (3)溢出后错误的栈帧或块数据往往会触发异常。 (4)当 Windows 开始处理溢出后的异常时,会错误地把 shellcode 当作异常处理函数而执行。 在栈溢出利用 S.E.H 代码 #include "stdio.h" #include <windows.h>
二进制菜鸟之栈溢出漏洞利用思路
Blood_Pupil的博客
08-06 941
作为一只二进制菜鸟,不,应该是作为一只各安全领域的菜鸟,感觉二进制学的还是蛮开心的,每天也都能学到点新的东西,调试代码的过程也是非常令人开心。今天总结下目前学到的栈溢出漏洞的利用思路 栈溢出漏洞简介 我们知道C语言有些字符串操作函数不会对字符串的长度进行检查,比如strcpy。 #include<stdio.h> #include<string.h> char nam...
栈溢出笔记1.9 认识SEH
aoe41606的博客
08-19 126
从本节開始,我们就要研究一些略微高级点的话题了,如同在1.2节看到的,Windows为抵抗栈溢出做了非常多保护性的检查工作,编译的程序默认开启了这些保护。假设我们不能绕过这些保护。那么我们的Shellcode也就是一个玩具而已,什么都做不了。 我们从SEH(结构化异常处理)開始。 这篇文章讲SEH简洁易懂:http://www.securitysift.com...
从零开始学winpwn(3)--SEH
azraelxuemo的博客
02-11 969
文章目录什么是SEHSEH相关数据结构EXCEPTION_REGISTRATION _RECORD结构异常处理调用栈SEH默认保护攻击如果payload写在栈上会怎么样? 什么是SEH 在没有调试器参与的情况下,系统主要依靠SEH机制(用户态,内核态都可用)和VEH机制(仅支持用户模式)进行异常处理 SEH(Structed Exception Handling 结构化异常处理)是windows操作系统用于自身除错的一种机制,也是开发人员处理程序错误或异常的武器,它告诉系统当程序运行出现异常或错误由谁处理。
Windows NT内核函数大全
qq_42577465的博客
06-06 1557
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
0day安全第6章在栈溢出利用SEH.zip
04-03
《0day安全:软件漏洞分析技术》第6章在栈溢出利用SEH,自己写的例子,有兴趣的同学可以调试下。
TY.rar_visual c_批量溢出
09-24
1. **溢出原理**:在C/C++,栈空间是线性分配的,如果一个函数申请了一个固定大小的缓冲区,然后接收了一个超过该大小的输入,那么输入的数据就会覆盖栈上的其他变量,甚至可以覆盖返回地址,使得程序执行恶意代码...
栈溢出攻击技术 windows linux下的都有
08-27
理解进程的内存布局,特别是栈、和全局变量的分布,有助于找出潜在的溢出位置。同时,掌握如何利用编译选项来控制代码优化和安全特性,如开启ASLR(Address Space Layout Randomization)和FORTIFY_SOURCE,可以...
Windows下缓冲区溢出漏洞的利用
03-10
在Windows操作系统,由于其内核结构与用户地址空间管理的独特性,缓冲区溢出利用方式与Linux系统有所不同,这使得Windows下的漏洞利用成为一个复杂且具有挑战性的领域。 #### 二、缓冲区溢出原理详解 缓冲区...
7_3_SEH_heap.rar_SEH
09-24
**SEH(结构化异常处理)与溢出利用详解** ...通过"7_3_SEH_heap.rar"的代码和实验,初学者可以深入理解SEH溢出的工作原理,并掌握利用技巧。同时,这也提醒开发者在编写代码时要重视安全性,避免引入此类漏洞。
NtCurrentTeb()->ReservedForOle
最新发布
ma_de_hao_mei_le的博客
01-04 414
这个结构体有很多成员,我在这里慢慢记录。啥时候碰到就来这里更新一下。
溢出栈溢出
weixin_45682305的博客
11-20 115
Java虚拟机规范》明确允许Java虚拟机实现自行选择是否支持栈的动态扩展,而HotSpot虚拟机的选择是不支持扩展,所以除非在创建线程申请内存时就因无法获得足够内存而出现OutOfMemoryError异常,否则在线程运行时是不会因为扩展而导致内存溢出的,只会因为栈容量无法容纳新的栈帧而导致StackOverflowError异常。在《Java虚拟机规范》的规定里,除了程序计数器外,虚拟机内存的其他几个运行时区域都有发生OutOfMemoryError(OOM)异常的可能。
TEB(线程环境块)学习
weixin_44156885的博客
09-11 5056
文章目录TEBTEB结构的两个重要成员NtTib成员PEB成员PEB.BeingDebuggedPEB.ImageBaseAddressPEB.LdrPEB.ProcessHeap & PEB.NtGolbalFlag TEB TEB结构的两个重要成员 +0x000 NtTib :_NT_TIB . . . +0x30 ProcessEnvironmentBlock ...
栈溢出利用SEH
W Blog
12-15 5426
结构化异常处理(SEH)         操作系统或程序在运行,难免会遇到各种各样的错误,如除零,非法内存访问,文件打开错误,内存不足,磁盘读写错误,外设操作失败。为了保证系统在遇到错误时不至于崩溃,仍能够健壮稳定地继续运行下去,windows会对运行在其的程序提供一次补救的机会来处理错误这种机制就是异常处理机制。 S.E.H即异常处理结构体(Structure Exception Handl
线程的创建过程
weixin_30916125的博客
07-16 532
由于这两天在研究调试机制,所以记录下被调试线程的创建过程,如果哪里有遗漏,以后会再补充 线程创建过程分为两部分:    第一部分:CreateThread->NtCreateThread->PspCreateThread->KeInitThread->KiInitializeContextThread->KiThreadStartUp    ...
什么是栈溢出溢出
西部壮仔的博客
06-14 6758
栈溢出是由于C语言系列没有内置检查机制来确保复制到缓冲区的数据不得大于缓冲区的大小,因此当这个数据足够大的时候,将会溢出缓冲区的范围。 溢出的产生是由于过多的函数调用,导致调用栈无法容纳这些调用的返回地址,一般在递归产生。溢出很可能由无限递归(Infinite recursion)产生,但也可能仅仅是过多的栈层级。 int f(int x) { int a[10]; a[11] = x...
栈溢出溢出
qq_46046431的博客
05-24 2131
文章目录栈溢出溢出总结 注:我的笔记风格,可能不会特别官方,不会晦涩难懂,而是以一个初学者能看懂的方式把知识呈现出来,用最简单的语言把抽象的概念表达出来~ 栈溢出溢出 栈溢出溢出的简单理解: 栈溢出:无限循环,无限递归,因为递归会把参数和局部变量放到栈,无限递归导致栈溢出 溢出:一直new对象,达到内存的上限,如果可以动态扩容,那就是达到内存申请上限 总结 简单的介绍了栈溢出溢出的区别。 本系列为基础知识分享,日更,有任何问题可以私聊或评论博主哦! 希望给各位找工作和工作
写代码实现溢出栈溢出、永久代溢出、直接内存溢出
热门推荐
根号三
03-18 2万+
1. 栈溢出(StackOverflowError) 2. 溢出(OutOfMemoryError:Java heap space) 3. 永久代溢出(OutOfMemoryError: PermGen space) 4. 直接内存溢出
内存泄漏、内存溢出、段错误、溢出栈溢出
jiaomubai的博客
10-22 3248
内存泄漏 内存泄漏(memory leak)是指由于疏忽或错误造成了程序未能释放掉不再使用的内存的情况。内存泄漏并非指内存在物理意义上的消失,而是应用程序分配某段内存后,由于设计错误,失去了对该段内存的控制,因而造成了内存的浪费。 内存泄漏的分类: (1)内存泄漏(heap leak):内存指的是程序在运行根据通过malloc/new等从分配的一块内存,使用完成后必须通过调用相对应...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值