0day 第10章--10.4节：攻击异常处理突破GS(2)

短命女 2022-04-22 00:40 158阅读 0赞

### 文章目录 ###

*   *  \*\*实验原理：\*\*
     *  实验环境：
     *  源程序：

## **实验原理：** ##

传入参数过长，直到覆盖掉SEH句柄。将SHE句柄覆盖为shellcode地址即可。

## 实验环境： ##

Winxp sp3 vs2010  
Release版本、禁用优化、多了后面2个“否”（这样编译的程序就出现strcpy和strcat函数了，便于分析）  
仅仅是这两个否，之后的程序分析就和书中一样了！  
![在这里插入图片描述][20181101092852487.png]  
传说中的关闭safeseh的方法。。。  
![在这里插入图片描述][20181101092919261.png]

## 源程序： ##

用200个’\\x90’进行测试  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE1NzI3ODA5_size_16_color_FFFFFF_t_70]  
OD载入程序，在调用test()函数之前，记录下此时的返回地址00141071和EBP为 0012FF7C  
![在这里插入图片描述][20181101092941272.png]  
进入，首先单步看到security\_cookie的值：0xAAA8d089  
![在这里插入图片描述][2018110109295183.png]  
出现strcpy和strcat函数了。strcpy(buf,input)的的input地址是0x00403000，buf地址是0x0012FEA0  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE1NzI3ODA5_size_16_color_FFFFFF_t_70 1]  
此时仔细观察右下角堆栈窗口，发现input的地址在0x0012FF78处，这样当接下来调用strcat时，如果shellcode过长就会覆盖strcat(buf,input)的地址，就会导致异常！  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE1NzI3ODA5_size_16_color_FFFFFF_t_70 2]  
F7单步，果然，strcat()从0x0012FF78处调用取input的地址了！  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE1NzI3ODA5_size_16_color_FFFFFF_t_70 3]  
F7单步继续，strcat(buf,input)buf的地址正确，  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE1NzI3ODA5_size_16_color_FFFFFF_t_70 4]  
F8执行完strcat函数，发现程序直接调到ntdll.dll模块了。这时观察堆栈窗口，发现SHE句柄竟然被覆盖成0x90909090了！这是怎么回事呀？  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE1NzI3ODA5_size_16_color_FFFFFF_t_70 5]  
仔细想一下……噢~明白了，原来刚strcat(buf,input)取地址的时候两个地址都是正确的，自然就将input的内容复制到buf的后面了，因为我们输入的input有200个字节长，因此当他们连接时，自然就覆盖了SEH句柄了，因为SHE句柄和buf末尾只相差了76个字节呀！  
程序一会肯定会报错!  
单步继续，果然由于90909090不可读导致出错了！  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE1NzI3ODA5_size_16_color_FFFFFF_t_70 6]  
这下分析完了导致异常的原因，那我们就构造200+76个字节的shellcode，然后跟上shellcode的地址让其覆盖掉SHE句柄，观察是否能shellcode成功！  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE1NzI3ODA5_size_16_color_FFFFFF_t_70 7]  
啊噢，运行直接报缓冲区溢出错误。。。。  
![在这里插入图片描述][20181101093138830.png]  
查资料发现原来winxp sp2及后续版本中加入了对SHE的校验，因此失败了。  
这就没办法了。  
\#end

[20181101092852487.png]: /images/20220422/33760df16b094981bf34048957803b4b.png
[20181101092919261.png]: /images/20220422/2a12a17a1ff640909cac9eb795c98c79.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE1NzI3ODA5_size_16_color_FFFFFF_t_70]: /images/20220422/aa800c900d1b4b42b186ef247e621494.png
[20181101092941272.png]: /images/20220422/2b768488b883485498436edee93bc6ef.png
[2018110109295183.png]: /images/20220422/deae5cdc340146b183bfa6aa56e16a6c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE1NzI3ODA5_size_16_color_FFFFFF_t_70 1]: /images/20220422/2222ccb09da8478db1db31a00e1a5805.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE1NzI3ODA5_size_16_color_FFFFFF_t_70 2]: /images/20220422/b4e327d10c25409688bb63c750d1454d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE1NzI3ODA5_size_16_color_FFFFFF_t_70 3]: /images/20220422/07d193dd316940f0937f355f3405db71.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE1NzI3ODA5_size_16_color_FFFFFF_t_70 4]: /images/20220422/e8b8288f43fd48f3945b5e2a8c459ab1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE1NzI3ODA5_size_16_color_FFFFFF_t_70 5]: /images/20220422/38a3f31e3bc14a7c941470f7bcc8dcfa.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE1NzI3ODA5_size_16_color_FFFFFF_t_70 6]: /images/20220422/413cc1bea072407d9f68e3da3ec4d31c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE1NzI3ODA5_size_16_color_FFFFFF_t_70 7]: /images/20220422/a1c153c1e2814e8d9cca3a1c36f3a46f.png
[20181101093138830.png]: /images/20220422/a9c91cb1c35b4161b6d58a083ff63efc.png