在栈溢出和堆溢出中利用SEH

最新推荐文章于 2024-01-04 21:20:02 发布
最新推荐文章于 2024-01-04 21:20:02 发布
阅读量1.1k 收藏 2
点赞数 2
分类专栏: 0day安全笔记 文章标签: 栈溢出 堆溢出 SEH
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangtiankuo/article/details/83657015
版权

本文总结自《0day安全:软件漏洞分析技术》

1.TEB

该部分参考自https://bbs.pediy.com/thread-223816.htm 作者:AperOdry 

ntdll.NtCurrentTeb()函数返回当前线程的TEB结构体指针。

 

fs:[0x18]处存放当前线程TEB结构体指针,值009BF00,即fs:[0x0]是TEB的起始地址。

此处介绍第一个结构体成员NtTib(线程信息块)

typedef struct _NT_TIB          //sizeof  1ch  
{  
 00h   struct _EXCEPTION_REGISTRATION_RECORD  *ExceptionList; 
 04h   PVOID                            StackBase;
 08h   PVOID                            StackLimit;
 0ch   PVOID                            SubSystemTib;  
       union {  
           PVOID                FiberData;  
 10h       DWORD                Version;  
       };  
 14h   PVOID                            ArbitraryUserPointer;  
 18h   struct _NT_TIB                   *Self; 
}NT_TIB;  
ExceptionList:即为指向_EXCEPTION_REGISTRATION_RECORD结构体的链表指针(SEH)

2.windows异常处理机制(S.E.H) 

S.E.H异常处理结构体,包含两个DWORD指针。

  1. S.E.H结构体存放在系统栈中
  2. 线程初始化时会在栈中安装一个S.E.H,程序中使用了__try{}__except{}等异常处理机制,向当前函数栈帧中安装一个S.E.H。
  3. 当异常发生时,操作系统会中断程序,并首先从TEB的0字节偏移处取出距离栈顶最近的SEH,使用异常处理函数句柄所指向的代码来处理异常。

3.在栈溢出中利用S.E.H

buf的起始位置为0x12FE94

在View->SEH chain,查看SEH链。离栈顶最近的SEH位于0x12FF68,0x12FF68指向下一个SEH的链表指针,0x12FF6C存储异常处理函数句柄。我们需要将异常处理函数句柄利用栈溢出覆盖成shellcode的起始地址。

 利用一个除0异常,调用离栈顶最近的异常处理函数,0x12FF6C,即可跳转到shellcode起始地址,执行shellcode。

4.堆溢出中利用S.E.H

原理:利用堆溢出,将下一空闲堆块的空表指针覆盖为shellcode起始地址和SHE异常回调函数地址,从而将SHE的异常回调函数地址替换为shellcode的起始地址。

同样是在程序开始处写int 断点,运行后OD捕捉异常自动附加。

运行到HeapAlloc结束,程序产生异常,查看SEH链,第一个SEH位于0x12FF30,其异常回调函数地址应为0x12FF34。

 将下一空闲堆块的空表指针修改为shellcode起始地址和0x12FF34。

 

wangtiankuo
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过NtCurrentTeb获取系统版本
haojiexingbang的博客
11-14 561
通过NtCurrentTeb () 获取Windows10版本号
TEB和PEB
南宫封清的博客
04-11 3073
TEB(Thread Environment Block,线程环境块) 线程环境块存放着进程所有线程的各种信息 TEB的访问方法 ntdll.NtCurrentTeb() 函数用来返回当前线程的TEB结构体指针 NtCurrentTeb() 函数所返回的结构体指针即为 fs:[0x18] 的值,里面的值即为TEB的结构体指针,fs:[0]的值即为TEB的起始地址 nt!_TEB ...
四种方法获取Teb和Peb
QXinHan的博客
12-05 1550
TEB和PEB学习记录(一)
QXinHan的博客
11-07 487
TEB和PEB的学习记录
【免杀前置课——shellcode】二十二、使用PEB TEB查找核心模块Kernel32.dll user32.dll ntdll.dll,什么是PEB,TEB?通杀shellcode的思路
m0_62783065的博客
12-30 429
【免杀前置课——shellcode】二十二、使用PEB TEB查找核心模块Kernel32.dll user32.dll ntdll.dll,什么是PEB,TEB?通杀shellcode的思路
0day安全第6章在栈溢出利用SEH.zip
04-03
《0day安全:软件漏洞分析技术》第6章在栈溢出利用SEH,自己写的例子,有兴趣的同学可以调试下。
TY.rar_visual c_批量溢出
09-24
1. **溢出原理**:在C/C++,栈空间是线性分配的,如果一个函数申请了一个固定大小的缓冲区,然后接收了一个超过该大小的输入,那么输入的数据就会覆盖栈上的其他变量,甚至可以覆盖返回地址,使得程序执行恶意代码...
栈溢出攻击技术 windows linux下的都有
08-27
理解进程的内存布局,特别是栈、和全局变量的分布,有助于找出潜在的溢出位置。同时,掌握如何利用编译选项来控制代码优化和安全特性,如开启ASLR(Address Space Layout Randomization)和FORTIFY_SOURCE,可以...
Windows下缓冲区溢出漏洞的利用
03-10
在Windows操作系统,由于其内核结构与用户地址空间管理的独特性,缓冲区溢出利用方式与Linux系统有所不同,这使得Windows下的漏洞利用成为一个复杂且具有挑战性的领域。 #### 二、缓冲区溢出原理详解 缓冲区...
7_3_SEH_heap.rar_SEH
09-24
**SEH(结构化异常处理)与溢出利用详解** ...通过"7_3_SEH_heap.rar"的代码和实验,初学者可以深入理解SEH溢出的工作原理,并掌握利用技巧。同时,这也提醒开发者在编写代码时要重视安全性,避免引入此类漏洞。
windows 缓冲区溢出
06-13
缓冲区溢出是计算机安全领域的一个重要话题,尤其在Windows操作系统,由于其广泛的应用,对缓冲区溢出的理解和防范显得尤为重要。缓冲区溢出通常发生在程序处理数据时,当输入的数据超过了预分配的内存空间(即...
Windows_SEH.zip_SEH
09-23
本文将深入探讨SEH的工作原理、其在Windows程序设计的应用,以及如何有效地利用SEH来提高程序的健壮性。 ### 1. 结构化异常处理基础 #### 1.1 异常的概念 异常是程序执行过程遇到的非正常情况,它可以是硬件...
8.windows 溢出 (pdf电子书)
03-06
2. 喷射(Heap Spraying):预先在上填充大量相同的数据,使得溢出后可以精确控制程序的执行路径。 3. SEH(Structured Exception Handling)链篡改:Windows的异常处理机制,攻击者可以改变SEH链来控制异常...
MS Internet Explorer 7 DirectShow溢出源码
09-10
Written by SecureState R&D Team # # Authors: David Kennedy (ReL1K), John Melvin (Whipsmack), Steve Austin # ...# win32_bind EXITFUNC=seh LPORT=5500 Size=314 Encoder=ShikataGaNai Shell=bind
Windows NT内核函数大全
qq_42577465的博客
06-06 1553
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
逆向学习笔记(1)
谈成(C/C++)
04-12 269
1.TLS回调函数 1)TLS回调会在线程的创建和销毁时被调用,常用来做反调试。 2)TLS回调函数位于IMAGE_DATA_DIRECTORY[9](数据目录)的位置,即TLS table,与导入导出表类似。 3)其TLS table结构是IMAGE_TLS_DIRECTORY。而其的AddressOfCallback则表示回调函数地址的数组,也就是说可能会有多个TLS回调函数。 4)TLS回调函数定义: typedef VOID (NTAPI *PIMAGE_TLS_CALLBACK)(
NtCurrentTeb()->ReservedForOle
最新发布
ma_de_hao_mei_le的博客
01-04 414
这个结构体有很多成员,我在这里慢慢记录。啥时候碰到就来这里更新一下。
《0day安全》——利用 S.E.H
weixin_50287973的博客
09-07 207
利用 Windows 异常处理机制的基本思路 (1)S.E.H 存放在栈内,故溢出缓冲区的数据有可能淹没 S.E.H。 (2)精心制造的溢出数据可以把 S.E.H 异常处理函数的入口地址更改为 shellcode 的起始地址。 (3)溢出后错误的栈帧或块数据往往会触发异常。 (4)当 Windows 开始处理溢出后的异常时,会错误地把 shellcode 当作异常处理函数而执行。 在栈溢出利用 S.E.H 代码 #include "stdio.h" #include <windows.h>
Windows溢出与格式化字符串漏洞利用深度解析
作者强调,通常通过控制指令指针EIP或栈上结构(SEH)来利用栈溢出,但在本文,将介绍一种不直接依赖这些机制的方法,即通过覆盖可控制的内存地址,实现任意DWORD值的覆盖。 溢出利用的基础是在Windows XP SP1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值