基础知识 SafeSEH DEP ASLR SEHOP

大多是0day书上抄的

1.SafeSEH

　 机制：

　 首先：内存中有SEH表的备份（加密过的）

　　 在调用异常出来函数前，RtlDispatchException()函数中的行为：

　　Ⅰ.检查异常处理链是否位于当前程序的栈中,如果不在当前栈中，程序将终止异常处理函数的调用。

　　Ⅱ.检查异常处理函数指针是否指向当前程序的栈中，如图所示。如果指向当前栈 中，程序将终止异常处理函数的调用。

　　　　　　

　　Ⅲ.在前面两项检查都通过后，程序调用一个全新的函数 RtlIsValidHandler()，来对异常处 理函数的有效性进行验证

　　 RtlIsValidHandler()行为：

　　（1）判断程序是否设置了 IMAGE_DLLCHARACTERISTICS_NO_SEH 标识。如果设置了这个标识，这个程序内的异常会被忽略。

　　　　  所以当这个标志被设置时，函数直接返回校验失败。

　　（2）检测程序是否包含安全 S.E.H 表。如果程序包含安全 S.E.H 表，则将当前的异常处理 函数地址与该表进行匹配，匹配成功则返回校验成功，匹配失败则返回校验失败。

　　（3）判断程序是否设置 ILonly 标识。如果设置了这个标识，说明该程序只包含.NET 编译 人中间语言，函数直接返回校验失败。

　　（4）判断异常处理函数地址是否位于不可执行页（non-executable page）上。当异常处理函 数地址位于不可执行页上时，校验函数将检测 DEP 是否开启，如果系统未开启 DEP 则返回校 验成功，否则程序抛出访问违例的异常。

　　　　 如果异常处理函数的地址没有包含在加载模块的内存空间，校验函数将直接进行 DEP 相 关检测，函数依次进行如下校验。 　　　　

　　　　①判断异常处理函数地址是否位于不可执行页（non-executable page）上。当异常处理函 数地址位于不可执行页上时，

　　　　  校验函数将检测 DEP 是否开启，如果系统未开启 DEP 则返回校 验成功，否则程序抛出访问违例的异常。

　　　　②判断系统是否允许跳转到加载模块的内存空间外执行，如果允许则返回校验成功，否 则返回校验失败。

　　　　

　　 绕过检测的方法：

　  （1）异常处理函数位于加载模块内存范围之外，DEP 关闭。

　　  （2）异常处理函数位于加载模块内存范围之内，相应模块未启用 SafeSEH（安全 S.E.H 表为空），同时相应模块不是纯 IL。

　　  （3）异常处理函数位于加载模块内存范围之内，相应模块启用 SafeSEH（安全 S.E.H 表不为空），异常处理函数地址包含在安全 S.E.H 表中。

　　　 (4)  异常处理函数指向堆空间（原理不清楚）

　　　　

 2.DEP

　　机制：

　　将内存页标志为不可执行（比如说栈，.data区等）

　　  检测：DEP是否开启的标志

　　    _KEXECUTE_OPTIONS{

　　　　　　ExecuteDisable :1bit　　　　　　　　；DEP 开启时 ExecuteDisable 位被置 1

　　　　　　ExecuteEnable :1bit　　　　　　　　 ；DEP 关闭时 ExecuteEnable 位被置 1

　　　　　　DisableThunkEmulation :1bit

　　　　　　Permanent :1bit

　　　　　　ExecuteDispatchEnable :1bit

　　　　　　ImageDispatchEnable :1bit

　　　　　　Spare :2bit  }

　　　绕过：

　　1.Ret2Libc

　　　　解释：在加载的内存中找具有可读可写可执行属性的内存，在内存中搜索相应的指令（如pop retn），把指令地址填入栈中覆盖原跳转地址，使得程序跳到找的指令处执行。执行完再跳回到栈内的下一条执行。

　　　　例如：

　　　　①利用ZwSetInformationProcess函数修改DEP标志

　　　　　方法：ntdll.dll中,LdrpCheckNXCompatibility 函数中里面刚好会调用ZwSetInformationProcess地址，设置好前置条件就可以跳过去调用它，关掉DEP（前提是LdrpCheckNXCompatibility中没用GS）

　　　　②同理利用VirtualProtect修改指定地址的内存属性，或者VirtualAlloc+memcpy，把shellcode拷贝过去。

　　　　难点：构建参数，是动态获取的，必须通过巧妙的指令，使得参数的地址刚好可以调用shellcode的地址

　　　　　　必须保证调用函数前参数刚好在ESP

　　　　　一些指令：　

　　　　　　pop ret
　　　　　　push esp pop ebp ret
　　　　　　call [esp+-n]
　　　　　　call [ebp+-n]
　　　　　　retn :加esp
　　　　　　push esp pop esi retn == pop eax retn + push esp jmp eax （eax里面是 pop esi retn 地址）

　　　　　　③利用内存中已存在的拥有可读可写可执行属性内存。

3.ASLR

　　　　机制：

　　　1.内存映射地址随机化（每次系统重启时改变）

　　　2.PEB,TEB地址随机化

　　应对：

　　　 1.利用未随机化的模块作为跳板

　　　 2.栈内相对偏移未改变，可以修改地址的最后两个字节使得有限度的跳转

　　　 3.先跳到某个空闲位置，如0x0C0C0C0C（自己设置），使用堆喷射覆盖

4.SEHOP

　　机制：在异常处理前，遍历SEH链，直到最后一项（终极异常处理）

                  

 　　  检查流程：

　　　　　　

　　

 　　　应对：

　　　　注：不考虑SafeSEH，ALSR等其他保护

　　　　伪造终极SEH（必须四字对齐且在栈内） 使得当前栈中异常链的指针指向伪造的SEH（end of SEF chain，保存0xFFFFFFFF)

 

5.利用方式总结：

　　栈溢出：retn,ESH,虚函数,总之一切带跳转的都能利用，根据实际情况。