敲黑板敲黑板~~今天我們繼續(xù)~
上次講到SafeSEH的突破，介紹了一個簡單的利用堆繞過SafeSEH突破SafeSEH機(jī)制之一——利用堆繞過SafeSEH
本篇總共遇到了3個問題還沒有解決，有沒有大神幫我解答一下，我都把問題背景給標(biāo)黃了。
突破思路：
那么有3種情況，系統(tǒng)可以允許異常處理函數(shù)執(zhí)行：
1、異常處理函數(shù)位于加載模塊內(nèi)存范圍之外，DEP關(guān)閉
2、異常處理函數(shù)位于加載模塊內(nèi)存范圍之內(nèi)，相應(yīng)模塊未啟用SafeSEH（SafeSEH表為空），不是純IL（本次要調(diào)試的）
3、異常處理函數(shù)位于加載模塊內(nèi)存范圍之內(nèi)，相應(yīng)模塊啟用SafeSEH，異常處理函數(shù)地址包含在SafeSEH表中（放棄）

可以看到，我們突破SafeSEH的方法分為3種
1、排除DEP干擾，在加載模塊內(nèi)存范圍外找一個跳板指令就可以轉(zhuǎn)入shellcode執(zhí)行
2、利用未啟用SafeSEH模塊中的指令作為跳板，轉(zhuǎn)入shellcode執(zhí)行
3、由于SafeSEH表加密，對于新手的我暫時不考慮了。

今天我們一起調(diào)試第2種，加載模塊未啟用SafeSEH，啥意思？
簡單來說，就是... 知道LoadLibrary吧，知道dll吧？系統(tǒng)會在程序運(yùn)行的時候提供各種各樣的模塊供程序加載調(diào)用（kernel32.dll,user32.dll等），

這些程序加載的模塊由于某種原因沒有啟用SafeSEH，這樣就可以為我們所用！一般來說，這些系統(tǒng)提供的dll都會有啟用SafeSEH，為了本次實(shí)驗(yàn)，

我們自己制作一個沒有啟用SafeSEH的dll。

第一步 編寫一個包含異常處理的漏洞程序
環(huán)境:
XP SP3
VS 2008
禁止優(yōu)化選項(xiàng)（C/C++------optimization：disable）
Release版本編譯
關(guān)閉DEP（還是那個問題，我在vs2008里并沒有關(guān)閉DEP（截圖在上一個帖子），可是執(zhí)行結(jié)果卻沒有影響，有沒有遇到相同問題的同學(xué)？？）


代碼：

現(xiàn)將shellcode用90來進(jìn)行填充，從代碼我們可以看出，通過向str進(jìn)行超長字符串溢出，覆蓋SEH鏈，劫持異常程序處理流程。
那么我們將程序劫持到哪里呢？shellcode？恐怕不行，因?yàn)樵谶M(jìn)行有效性檢查之前，會查看這個地址，如果這個指針指向棧，就會直接終止調(diào)用。
所以，我們必須將程序劫持到一個棧外的地址，并且沒有SafeSEH表的模塊中，執(zhí)行這個模塊的某一個指令（一般是跳板指令），再跳回到shellcode執(zhí)行。完美~

第二步 找地址！
找什么地址？
shellcode字符串在棧中的首地址A
需要溢出的異常處理函數(shù)指針位置，也就是溢出點(diǎn)B
根據(jù)B-A+4確定（溢出點(diǎn)上半部分的）shellcode的大小（劃重點(diǎn)，劃重點(diǎn)了！！！）
為什么說，這次B-A+4不是shellcode 的大小？因?yàn)閟hellcode的布置不再是shellcode+若干90+覆蓋地址
因?yàn)楦采w的指針不能直接跳往shellcode啊，所以我們得用一個棧外地址、并且沒有SafeSEH的模塊中的跳轉(zhuǎn)指令跳到shellcode，這樣的話shellcode的布置就不再

像以往那么簡單，就想到j(luò)mp esp這種類似的跳轉(zhuǎn)指令了，

考慮用pop pop ret之類的指令，后面調(diào)試的時候告訴你為什么。
shellcode布置200個90，調(diào)試：
 
還是直接運(yùn)行到strcpy后面，搜索9090，記下shellcode首地址A：0x0012FE84


拉到棧下面，就是200個字節(jié)覆蓋的盡頭~查看還有多遠(yuǎn)才能覆蓋到SEH：
 
得到B地址 溢出點(diǎn)地址：0x0012FF60
B-A=220字節(jié)

第三步 布置shellcode
我們遇到了無法直接跳往shellcode的情況，考慮跳板指令，用跳板指令，一般shellcode就在覆蓋地址的后面，要不就是jmp esp 或者ret
在調(diào)試的時候，我們發(fā)現(xiàn)在test函數(shù)剛進(jìn)入的時候，會在Security cookie+4的地方壓入一個-2，在準(zhǔn)備出try{}的時候，又把這個值改動成0。原理我也不

太清楚，只要我們知道，這里有一個值，他是在溢出點(diǎn)B下方（+8的高地址）
 
這就出現(xiàn)問題了，我們?nèi)绻�想把shellcode布置在溢出點(diǎn)后面，用跳板指令跳到接下來的地址，但是shellcode有可能被這樣一個機(jī)制修改，導(dǎo)致shellcode被破壞，怎么辦？
幸虧shellcode被破壞的地方不多，也是僅僅溢出點(diǎn)后面2個DWORD，所以這兩個DWORD我們用無關(guān)的90填充，接下來再填充shellcode。

接下來就是跳轉(zhuǎn)指令的選擇了，怎么能在執(zhí)行溢出點(diǎn)的異常處理函數(shù)后，再跳回來呢，這就需要我們的SafeSEH OFF的模塊了
如果shellcode緊鄰著溢出點(diǎn)B，我們可以直接找ret指令的函數(shù)，跳回來繼續(xù)執(zhí)行shellcode，由于用了兩個DWORD填充shellcode前兩個字節(jié)，所以考慮選擇pop pop ret指令
shellcode布置如下：
220字節(jié)0x90||4字節(jié)pop pop ret地址||8字節(jié)0x90||168字節(jié)shellcode內(nèi)容

好了，還剩最后一個問題了，跳板指令地址哪里來？我們自己構(gòu)造一個dll，包含這個指令的。

第四步 制作SafeSEH OFF的DLL
環(huán)境：
XP SP3
VC 6.0（編譯器不會啟用SafeSEH）
鏈接選項(xiàng)：/base:"0x11120000"(這里是防止跳轉(zhuǎn)指令地址出現(xiàn)0x00截?cái)嘧址�串，問題：如果跳轉(zhuǎn)指令必須有00，怎么處理，大神快告訴我)