Try   HackMD

Windows Exploit Development - Structured Exception Handler (SEH)

tags: exploitation

Fuzzy Security 第三部分教學,主要就是如何利用 SEH 機制來 exploit

2020-2-19 :從頭再看過後發現網路上的說法不太一致,我覺得還是要看具體狀況再覺得怎麼覆蓋,光是 fuzzy security 、 aaaddr 大大、 CSDN 上的說明都有些出入。

SEH 概念

SEH 簡單來講就是 ms 為 exception 狀況時可以撰寫處理程序的機制,因為 exception 情況有不少種,所以針對每個 function 內不同的 exception handler 用 linked list 串連,如果遇到 overwrite return address 會觸發 SEH 則再覆蓋掉 SEH address ,此時程式就會執行已經被我們覆蓋掉的 fake SEH ,這就是 SEH基本原理。

環境

基本上跟第一篇差不多,但這次用 DVD X Player 5.5 Pro 來當 target ,我就不贅述

流程

因為這次不是 remote target ,需要 victim 去手動打開文件來 exploit ,操作上比較麻煩一點:

確認 payload 長度:

這邊跟以前差不多,就是放 cyclic 當 payload 交由程式去計算長度,但是有一點非常重要,要用 metasploit 的 pattern create 去弄出一個 cyclic 不能直接用 pwntools 的,我猜這跟 mona 的 code 有關
但是很不幸的,我的 pattern_create.rb 卡在一個奇怪的問題生不出 cyclic ,所以上網找了 online 版的:
Overflow Exploit Pattern Generator - Online Tool
1. 首先透過上面的網址(或 pattern_create ) 來生出個 100 bytes 的 payload
2. 用 python 生出帶有 cyclic 的 plf 檔案:

    #!/usr/bin/env python
    buf = 'pattern'
    with open('evil.plt', 'w') as f:
        f.write(buf)
  1. 丟給 DVD player
  2. 出錯的時候在 immunity debugger command 打上:
    !mona findmsp
    會出現像是
    [+] Examing SEH chain
    SEH record (nseh field) at ??????(address) overwritten with normal pattern: ???????(pattern)(offset: 608)

主要關注的就是 offset ,代表幾個 byte 後會蓋到 nseh
這邊我發現教學和實際跑出來的結果不大一樣,我的出來是 nSEH 教學的則是 SEH ,反正這邊要自己注意

到這邊基本可以確定 SEH 的位置

Overwrite SEH:

把上面的 payload 改下, 前 608 照樣塞 padding ,後面開始就是 nseh, seh ,首先 exception handling 會先給 seh , 如果 seh 無法 handle 再交由 nseh ,所以第一個執行的是 seh

seh 可以被我們蓋到要好好利用,考慮到進入 exception 階段有些 register 會清空為 0 無法利用 jmp esp ,這樣無法確定 shellcode 地址讓我們跳過去,但是我們可以利用 nseh 地址在 esp + 8 這個特性,利用 pop; pop; ret gadget 放在 seh 並且在 nseh 填上一小段 jmp code 跳到 shellcode 上

找 pop pop ret 的方法:
!mona seh
就會出現一堆藏在各種 dll 內的 gadget ,挑個能用不會 ASLR 的即可

nseh 的 \xeb\x06\x90\x90 前兩個是 jmp 到 6byte 之後, \x90 則是 padding

  • 注意: padding 不要用 a ,原因是其中一個 dll 載入地址會是 0x61XXXXX 附近,如果用 aaaa 蓋過 return address 將觸發其他 exception 導致跑不進 SEH 那邊,為了這個我卡好久QQ

shellcode

前面補上大概 20 bytes 的 nop 後面就 shellcode

照舊:
msfvenom -a x86 --platform -p windows/exec CMD='calc.ece' -b '\x00\x09\x0a\x0d\x1a\x20' --format python

如此這次的利用就算結束了~

Last changed by 
starPt
0
1
653

Read more

C 語言黑魔法

learn from Few lesser known tricks, quirks and features of C

Jan 7, 2025
惡意代碼分析

開始看 PracticalMalwareAnalysis 中文版, vm 是 win10 跟書中的實驗環境有點差別...希望可以順利做實驗 >< 如果書中任何技術已經很熟悉,我應該會快快做完簡單做個紀錄就好,沒見過的再詳細記錄 靜態分析基本技術 主要教授幾種分析方法: anti-virus engine scan check hash check file infomation (header, function, string)

Aug 1, 2024
debug process hanging when stat a disconnected nfs server

這篇記錄的預期會有點像流水帳,希望能完整重現我的 debug 過程和遇到的困難 根據我同事的 debug 的結果是當對著 disconnected 的 nfs mount server 下指令 stat 會直接卡住,而 enine 的實作剛好是會用 stat 去訪問該路徑,所以卡住也是合情合理,但我的困惑點是我從手冊上看不出 stat 會是 block function ,手冊中提到 block 字眼都是在描述資料大小的 block 而不是卡住的 block ,所以對這個結果產生疑惑,所以想一探究竟 debug 完後再搜尋其實有發現不少人問過對著一個 disconnected 的 nfs mount point 下指令會卡住的問題,例如:An NFS client hangs on various operations, including "df". Hard vs Soft NFS mounts. 因為 stat 基本上就是用 syscall 去拿該 directory 的資訊,所以進行 kernel debug 是必須的,我的預想是開兩台機器,一台是 nfs-server 另一台當 client ,當兩邊建立好連線資料夾都 mount 上去後關掉 server ,然後對著 mounted directory 下指令 stat ,觀察其流程 或許其他 tool 說不定也可以,但不太熟 XD

Feb 15, 2024
Introduction to Hardware Efficiency in Cpp

video Making software fast 效能提升來自於方方面面: 軟體架構 減少不必要的工作 使用更高效的語言 善用硬體

Dec 28, 2022
Read more from starPt
Published on HackMD