Ret2Libc学习NtSetInformationProcess DEP

最新推荐文章于 2023-04-22 23:48:05 发布
最新推荐文章于 2023-04-22 23:48:05 发布
阅读量3.6k 收藏 1
点赞数
分类专栏: 漏洞基础学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcc1414/article/details/11709405
版权
本文介绍了Ret2Libc攻击原理,并详细讲解如何利用NtSetInformationProcess函数在DEP保护下关闭DEP,从而执行shellcode。涉及到的关键步骤包括寻找特定指令序列、修改栈帧以及正确调整ESP和EBP。同时,文章提醒注意程序自身DEP策略的设置,以及开启全系统DEP的方法。
摘要由CSDN通过智能技术生成

DEP简要说明  链接·········································


DEP设置标示在KPROCESS 结构中  XP 下

nt!_KPROCESS
   +0x000 Header           : _DISPATCHER_HEADER
   +0x010 ProfileListHead  : _LIST_ENTRY
   +0x018 DirectoryTableBase : [2] Uint4B
   +0x020 LdtDescriptor    : _KGDTENTRY
   +0x028 Int21Descriptor  : _KIDTENTRY
   +0x030 IopmOffset       : Uint2B
   +0x032 Iopl             : UChar
   +0x033 Unused           : UChar
   +0x034 ActiveProcessors : Uint4B
   +0x038 KernelTime       : Uint4B
   +0x03c UserTime         : Uint4B
   +0x040 ReadyListHead    : _LIST_ENTRY
   +0x048 SwapListEntry    : _SINGLE_LIST_ENTRY
   +0x04c VdmTrapcHandler  : Ptr32 Void
   +0x050 ThreadListHead   : _LIST_ENTRY
   +0x058 ProcessLock      : Uint4B
   +0x05c Affinity         : Uint4B
   +0x060 StackCount       : Uint2B
   +0x062 BasePriority     : Char
   +0x063 ThreadQuantum    : Char
   +0x064 AutoAlignment    : UChar
   +0x065 State            : UChar
   +0x066 ThreadSeed       : UChar
   +0x067 DisableBoost     : UChar
   +0x068 PowerState       : UChar
   +0x069 DisableQuantum   : UChar
   +0x06a IdealNode        : UChar
   +0x06b Flags            : _KEXECUTE_OPTIONS
   +0x06b ExecuteOptions   : UChar             //_KEXECUTE_OPTIONS
lkd> DT _KEXECUTE_OPTIONS
nt!_KEXECUTE_OPTIONS
   +0x000 ExecuteDisable   : Pos 0, 1 Bit       //DEP开启时置1
   +0x000 ExecuteEnable    : Pos 1, 1 Bit       //DEP关闭时置为1
   +0x000 DisableThunkEmulation : Pos 2,
最低0.47元/天 解锁文章
pandamac
关注
专栏目录
NtSetInformationProcess设置硬盘ProcessIoPriority
weixin_30698527的博客
07-31 626
机械硬盘是目前大多机器的瓶颈。固态硬盘价格依然较贵,而且寿命太短,不适合长期高负荷写入。机械硬盘的问题在于,默认是按照最大速度写入,当连续写入错误达到一定值时,会造成降速,磁盘模式由UDMA6降低为UDMA2或PIO,windows操作系统不能有效的识别何时应该降速运转,以避免错误达到减速模式阈值,在变成降速模式后又很难恢复成UDMA6。另一问题是,当机械硬盘按默认最大速度写入时,会造成...
ret2lib bypass dep 学习笔记(0day2Edition NtSetInformationProcess)
Catch me if you can
04-21 2357
DEP绕过ROP(ret2lib)技术总结样本空间测试环境 操作系统:windows xp sp3 工具:immunity debugger 样本源码: #include <stdio.h> #include <string.h> #include <windows.h> char shellcode[]= "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x
使用 NtSetInformationProcess hook syscall
05-30
使用 NtSetInformationProcess hook syscall 文件是使用例子
DEP原理及关闭
热门推荐
dongyewolong的专栏
11-14 2万+
一、原理   DEP - 数据执行保护的缩写,Data Execution Prevention。 他是一套软硬件技术,能够在内存上执行额外检查以帮助防止在系统上运行恶意代码。其基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。如图所示           DEP 的主要作用是阻
利用ret2libc绕过DEP安全机制
_wells的博客
03-29 1171
文中的例子是引用了别人的,计作转载吧,具体哪里引用的忘记了数据执行保护:           DEP就是将非代码段的地址空间设置成不可执行属性,一旦系统从这些地址空间进行取指令时,CPU就是报内存违例异常,进而杀死进程。栈空间也被操作系统设置了不可执行属性,因此注入的Shellcode就无法执行了     导向系统库函数执行(ret2libc)攻击方法:        系统函数库(
ret2libc2pwn 入门题
02-11
pwn 入门题
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8275
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
Ret2Libc 实战之利用 ZwSetInformationProcess
weixin_30237281的博客
03-11 399
参考 《0day安全软件漏洞分析技术第二版》第12章 攻击未开启DEP的程序 思路: 微软要考虑兼容性的问题,所以不能对所有进程强制开启 DEP(64 位下的 AlwaysOn 除外)。 DEP 保护对象是进程级的,当某个进程的加载模块中只要 有一个模块不支持 DEP,这个进程就不能贸然开启 DEP,否则可能会发生异常。 这种攻击手段不与 DEP 有着正面冲突,只是一种普通的溢出攻击。 利用 R...
内存保护机制及绕过方法——利用Ret2Libc绕过DEP之ZwSetInformationProcess函数
weixin_30911451的博客
05-11 475
1. DEP内存保护机制 1.1 DEP工作原理 分析缓冲区溢出攻击,其根源在于现代计算机对数据和代码没有明确区分这一先天缺陷,就目前来看重新去设计计算机体系结构基本上是不可能的,我们只能靠向前兼容的修补来减少溢出带来的损害,数据执行保护DEP就是用来弥补计算机对数据和代码混淆这一天然缺陷的。 DEP的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时...
shellcode弹出对话框
Linux方程式
11-11 3086
功能是弹出一个对话框。本段代码在VC6.0上编译通过,此shellcode能在所有windows系统上运行且屡试不爽。  char shellcode[]= "\xfc\x68\x6a\x0a\x38\x1e\x68\x63\x89\xd1\x4f\x68\x32\x74\x91\x0c" "\x8b\xf4\x8d\x7e\xf4\x33\xdb\xb7\x04\x2b\xe3\x66\x
0day 第12章--12.3.1节:Ret2Libc 实战之利用ZwSetInformationProcess
I have a dream
02-21 775
12.3.1 利用Ret2Libc挑战DEP 思想:通过跳转到 ZwSetInformationProcess 函数将DEP关闭后再转入shellcode 执行。 核心:利用LdrpCheckNXCompatibility函数检查SafeDisc来关闭DEP的流程。 核心是0x7C93CD24行代码,检查al是否等于1,如果等于1则执行关闭DEP的流程。 思路:由于DEP开启,堆栈不能直接写入,...
NtSetFileInformation和DeleteOnClose之前的关系。
fengkuangfj的专栏
03-16 2207
情况1: 1、线程T1,NtCreateFile,使用DeleteOnClose标记 2、线程T2NtCreateFile 3、线程T1,NtClose 4、线程T2NtClose,此时文件被删除 情况2: 1、线程T1,NtCreateFile,使用DeleteOnClose标记 2、线程T2NtCreateFile 3、线程T2NtClose 4、线程
[笔记]Windows核心编程《番外篇》常用的NT API及使用示例
二次元怪兽的博客
05-19 1444
文章目录前言NtQueryInformationProcess函数原型附录用例总结 前言 NTAPI:泛指ntdll.dll模块不对外提供的API接口 一般通过动态载入库的方式(LoadLibrary + GetProcAddress)调用 NtQueryInformationProcess NtQueryInformationProcess NtQueryInformationProcess用法 函数原型 NTSYSCALLAPI NTSTATUS NTAPI NtQueryInformationPro
Windows内存保护机制及绕过方法
sinat_31054897的博客
07-31 2665
0 目录 GS编译 SafeSEH机制 SEH覆盖保护 数据执行保护(DEP) 地址随机化(ASLR) 1 GS编译 1.1 基本原理 Windows操作系统为解决栈溢出漏洞的问题引入了一个对策——GS编译保护技术。 GS编译保护技术是通过编译时添加相关代码而实现的,开启GS 编译选项后会在函数的开头和结尾添加代码...
恶意代码分析常见Windows函数
weixin_30932215的博客
09-07 350
accept   用来监听入站网络连接,这个函数预示着程序会在一个套接字上监听入站网络连接。 AdjustTokenPrivileges   用来启用或禁用特定的访问权限。执行进程注入的恶意代码会经常调用这个函数 ,来取得额外的权限。 AttachThreadInput   将一个线程处理的输入附加到另一个线程上,使得第二个线程接收到输入事件。如键盘和鼠标事件。击键记录器和其他...
开启Windows进程效能(效率)模式,降低功耗大幅提升能效比
最新发布
Sun
04-22 9694
新版Windows 11提供了Efficiency Mode,在任务管理器中的小绿叶,那么如何在开发中实现呢?一起来看看吧!进程和线程关联服务质量(QoS),新增的 EcoQoS 状态对于没有显著性能和延迟要求的工作负载非常有效。开发者可调用 API 来将其进程和线程注明为 EcoQoS,其余的由 Windows 负责。适用场景:以能源效率为重点的后台服务、更新程序、同步引擎、索引服务等。本文中提供了C++和C#两种语言示例。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值