BypassDEP(数据执行保护)

已于 2022-02-18 14:20:19 修改
阅读量968 收藏
点赞数
分类专栏: 漏洞利用 文章标签: c++ 开发语言 后端
于 2022-02-17 16:41:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45012273/article/details/122981822
版权

介绍

DEP的主要作用是阻止数据页(默认的堆,栈以及内存池页)执行代码。用来弥补计算机对数据和代码混淆这一天然缺陷的。
DEP 的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入 shellcode 时,
程序会尝试在数据页面上执行指令,此时 CPU 就会抛出异常,而不是去执行恶意指令。

Vs设置DEP

在使用VS编译的时候也有DEP选项。(VS2019示例)默认情况下是开启的。
通过右键单击项目属性–>链接器–>高级–>DEP保护。

目标程序

#include<windows.h>
#include<tchar.h>
#include <iostream>
#define PASSWORD "1234"
void* VerifyPassword(byte* pRet, void* pszPassword, int nSize) {
    char szBuffer[50] = { 0 };
    *pRet = strcmp(PASSWORD, (char*)pszPassword);
    return memcpy(szBuffer, pszPassword, nSize); //通过拷贝溢出
}
int _tmain(int argc, _TCHAR* argv[]) {
    void* pszPassword = NULL;
    int   nFileSize = 0;
    byte  bFlag = FALSE;
    FILE* fp;
    LoadLibraryA("user32.dll");
    if (fopen_s(&fp, "password.txt", "rb")) {
        MessageBoxA(NULL, "打开文件失败", "error", NULL);
        return 0;
    }
    fseek(fp, 0, SEEK_END);
    nFileSize = ftell(fp) + 1;
    rewind(fp);
    pszPassword = ZeroMemory(malloc(nFileSize), nFileSize);
    fread(pszPassword, nFileSize, 1, fp);
    VerifyPassword(&bFlag, pszPassword, nFileSize);
    if (bFlag) printf("密码错误\n");
    else       printf("密码正确\n");
    fclose(fp);
    system("pause");
    return 0;
}

BypassDEP

由于程序开启了数据执行保护导致无法再栈执行代码,是因为栈上没有执行权限,所以我们调用virtualProtect函数来更改权限即可

//函数原型

BOOL VirtualProtect
(
LPVOID lpAddress, // 目标地址起始位置
DWORD dwSize, // 大小
DWORD flNewProtect, // 请求的保护方式
PDWORD lpflOldProtect // 保存老的保护方式
);

问题是该如何调用此函数,只能通过碎片化执行程序,在栈上放零散的我们需要执行指令的地址,利用ret就可以跑到程序原有的指令上,完成我们需要的功能

我们要完成的功能是调用 VirtualProtect函数 利用寄存器在栈上构建调用函数的栈环境,使用碎片化执行代码完成对寄存器的赋值,最后pushad即可入栈

执行pushad以后寄存器入栈顺序

所以我们如下安排寄存器的赋值

EDI    溢出点
ESI     VirtualProtect 
EBP    VirtualProtect 函数的返回地址
ESP    lpAddress
EBX     dwSize
EDX    flNewProtect
ECX    lpflOldProtect 
EAX     9090      //滑板指令
shellcode

接下来构建碎片化指令给寄存器赋值 EDI是溢出点 也就是返回地址 因为要给edi赋值所以 要找到

pop edi ret的指令 规律就是一句指令一句数据 

 程序测试

利用返回地址 执行我们构建好的碎片代码

 

 以此类推....................

寄存器入栈 构建执行virtualprotect函数的栈环境 

 

 返回地址的指令 直接跳到栈顶执行代码

 当前栈顶 执行自己的shellcode

很酷很爱笑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《Windows安全机制》之DEP(数据执行保护)
weixin_43742894的博客
06-02 5586
Windows安全机制第二弹——DEP保护,上一篇《Windows安全机制——ASLR(地址随机化)及如何关闭ASLR》,地址如下:https://blog.csdn.net/weixin_43742894/article/details/105702886 ...
c语言fread()函数,关于C语言fread()函数的问题
weixin_35775969的博客
05-21 2641
feof这个是判断fread是否越界读取了,读完到文件结尾他还是返回0的,之后再读取的时候才返回1。我改成了:void print_putout() {int i = 0, n;FILE *fp;BOOK *p1;fp = fopen("list。bok", "rb");print_list_menu();p1 = &book;while (!feof(fp)) {fread(p1, si...
DEP(数据执行保护)介绍
私_有_云
03-28 2770
简介 DEP - 数据执行保护的缩写,Data Execution Prevention。 数据执行保护 (DEP) 是一套软硬件技术,能够在内存上执行额外检查以帮助防止在系统上运行恶意代码。在 Microsoft Windows XP Service Pack 2、 Microsoft Windows Server 2003 Service Pack 1 、Microsoft Win
Windows下DEP保护机制详解及其绕过
最新发布
WdIg-2023的博客
04-09 730
在开始DEP保护机制的介绍之前,想一想没有开保护时我们的攻击过程,以及开了我们前面介绍的GS和SafeSEH保护的攻击过程,相信大家都能发现一个问题:就是我们本来写入数据区的数据被当作代码执行了,那么站在一个开发者的角度,我们该如何避免这种问题?
数据执行保护
蝈蝈的博客
02-26 1366
    程序在一波函数中修改函数返回地址跳到栈区去执行代码,而在DEP保护开启情况下堆和栈是无法执行代码,这也是缓冲区溢出保护机制之一。程序崩溃没有调用栈,内存没溢出。 -------解决方法:在VS项目--》属性--》高级 :找到“数据执行保护” -------将 数据执行保护(DEP)  设置为 否 (/NXCOMPAT:NO)  ...
Visual Studio 2017编译选项Debug的用法
xuyouqiang1987的博客
11-05 2800
概要 /DEBUG选项为可执行文件创建调试信息。链接器将调试信息放入程序数据库(PDB)文件中。它在程序的后续构建期间更新PDB。 用于调试而生产的可执行文件(.exe文件或DLL)包含相应PDB文件的名称和路径。在调试程序时,调试器将读取嵌入的名称并使用PDB文件。链接器使用程序的基本名称和扩展名.pdb命名程序数据库,并将其创建路径嵌入其中。要覆盖此默认值,请设置/PDB并指定其他文件名。 具体选项 /DEBUG:FASTLINK 选项在Visual Studio 2017和更高版本中可用。该选
9.1 DEP机制的保护原理
qq_55202378的博客
11-03 1267
DEP工作原理
DLL/OCX文件的注册与数据执行保护DEP
imherer的博客
04-03 408
注册/反注册dll或ocx文件时,无论是用regsvr32还是DllRegisterServer/DllUnregisterServer,可能会遇到【内存位置访问无效】的问题: 此时把操作系统的数据执行保护(Data Execution Prevention,下称DEP)彻底关掉,重启,应该就能解决问题。操作: NT6.x系统:运行bcdedit /set nx alwaysoff NT5.x系统:修改 %systemdrive%\boot.ini 文件,将当前操作系统条目的/noexecute参...
缓冲区溢出与数据执行保护DEP实验
qq_38217427的博客
04-20 1040
1 实验目的 构造shellcode代码,Linux系统平台上在关闭数据执行保护机制情况下实现缓冲区溢出攻击。 2 缓冲区溢出原理 缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上。程序员通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用...
DEP bypass
samohyes的博客
09-26 359
Because I am using Ubuntu in English so I can't type chinese now. But here is a useful paper about bypassing DEP. I will put it here and polish this blog later.
解决Delphi7数据执行保护
12-05
通过更新此代码,可以解决Delphi7编译出的程序在调用WebService时总是因windows数据执行保护而失败的问题。
Bypass Hardware DEP Tips
瞎几把学
12-11 964
<br />DEP数据执行保护),是windows针对溢出的一种保护措施,分软dep和硬dep,其中硬dep是需要cpu支持的,比较新的处理器一般都支持这个选项,可以在bios里去打开。简单来说,就是堆栈不可执行了,所以一般的在堆栈里执行shellcode的exploit,会攻击失败。<br /><br />bypass dep也不是新东西了,目前最好的一篇文档是skape和skywing发在uninformed上的一篇。<br />http://www.uninformed.org/?v=2&a=4&t
MS08-067通用bypass DEP的缓冲区溢出栈帧构造方法的学习
瞎几把学
12-11 1466
<br />标 题: 【原创】MS08-067通用bypass DEP的缓冲区溢出栈帧构造方法的学习<br />作 者:parachaos<br />时 间: 2009-02-09,12:32:46<br />链 接: http://bbs.pediy.com/showthread.php?t=81667<br /><br />【题目】一种在windows xp sp2 chs 和windows xp sp3 chs 系统中通用的能够bypass DEP的利用MS08-067漏洞缓冲区溢出的栈帧构造方法的学
windows环境下的heap spray+stack pivot gadget 实现绕过dep
weixin_30568715的博客
07-31 123
ASLR+DEP是windows平台下最为常见的两种保护手段。这两种手段使得最基础的jmp esp等手法不再适用,而单纯的堆喷也会因为堆内存不可执行而失效。那么这里就来介绍一下heap spray+stack pivot,我一般称为堆喷+换栈的手法。堆喷是一个较为经典的漏洞利用方法,比如我们通过一个内存破坏类漏洞控制了一个对象的内存内容,那么我们就可以构造伪虚表来把程序的执行流程控制到我们的手中...
如何关闭VS的DEP保护数据执行保护
大头的博客
07-26 6717
今天看到0day安全中栈溢出的示例,手痒就学习,程序在一波 函数中修改函数返回地址跳到栈区去执行代码,而在DEP保护开启情况下堆和栈是无法执行代码,这也是缓冲区溢出保护机制之一。 在一番太头疼之后终于在VS项目--》属性一堆长长的设置中找到“数据执行保护”的字样 他藏在了项目--》属性--》链接器--》高级--》数据执行保护(DEP)  设置为 否 (/NXCOMPAT:NO) 美滋滋 这...
服务器数据安全保护方案:服务器数据执行保护(DEP)如何开启?
PAINzw的博客
11-15 1274
服务器数据安全保护方案:服务器数据执行保护(DEP)如何开启? 数据执行保护(DEP)有助于防止电脑遭受病毒和其他安全威胁的侵害 应用会留出一部分电脑内存用于暂存数据,同时留出另一部分内存用于暂存应用使用的指令。黑客可能试图诱使应用运行(也称为执行)放置在电脑内存中伪装成指令的有害数据。这可能会让黑客得以控制你的电脑 DEP可以防止应用运行用于暂存指令的那部分内存中的数据,从而保护电脑。 如果DEP发现某个运行此类数据的应用,它将关闭该应用并通知你 一、Windows server ...
Windows 缓冲区溢出与数据执行保护DEP
MoreWindows Blog
10-19 2万+
缓冲区溢出与数据执行保护DEP介绍先看一个缓冲区溢出的C++实例程序,代码如下(VC6.0下编译通过): //by MoreWindows #include #include #include #include #include void foo(const char *input) { char buf[4]; //buf 占4字节,后4字节为ebp,再后4个字节为返回地址。
关掉该死的DEP数据执行保护,仅针对win7)
热门推荐
邹邹s的博客
11-27 4万+
关闭DEP的方法:(1)先找到“命令运行符”-〉右击“以管理员身份运行” (2)在CMD中输入:bcdedit.exe/set {current} nx AlwaysOff (3)“操作完成”就可以了,关闭并保存所有的东西。 (4)重新启动计算机生效。
开启和关闭数据执行保护执行命令
中级CV工程师,欢迎来扰!
08-24 6043
关闭数据执行保护:bcdedit.exe/set {current} nx AlwaysOff 开始->运行,cmd,确定 输入命令: bcdedit /set nx alwaysoff 关闭数据执行保护 bcdedit /set nx optin 开启数据执行保护

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值