各种保护机制绕过手法

一.绕过GS编译选项

●原理:通过VC++编译器在函数前后添加额外的处理代码，前部分用于由伪随机数生成的cookie并放入.data节段，当本地变量初始化，就会向栈中插入cookie，它位于局部变量和返回地址之间

●绕过方法:

1.猜测/计算cookie

  Reducing the Effective Entropy of GS Cookies：http://www.uninformed.org/?v=7&a=2&t=html

  至从覆盖SEH的方法出现后，这种方法目前已基本不用了，它没有后面的方法来得简便

2.覆盖SEH

  由于当security_check_cookie()函数检测到cookie被更改后，会检查是否安装了安全处理例程，也就是SEH节点中保存的指针，如果没有，那么由系统的异常处理器接管，因此我们可以通过(pop pop ret)覆盖SEH来达到溢出的目的。但对于受SafeSEH保护的模块，就可能会导致exploit失效，关于它的绕过在后续部分再述

辅助工具：OD插件safeSEH、pattern_create、pattern_offset、msfpescan、memdump

3.覆盖虚表指针

堆栈布局：[局部变量][cookie][入栈寄存器][返回地址][参数][虚表指针]

当把虚表指针覆盖后，由于要执行虚函数得通过虚表指针来搜索，即可借此劫持eip

4.利用未被保护的内存突破

5.替换.data中的Cookie突破GS

二.SafeSEH

●原理:

为了防止SEH节点被攻击者恶意利用，微软在.net编译器中加入/sdeseh编译选项引入SafeSEH技术。编译器在编译时将PE文件所有合法的异常处理例程的地址解析出来制成一张表，放在PE文件的数据块(LQAJ)一C0N—FIG)中，并使用shareuser内存中的一个随机数加密，用于匹配检查。

如果该PE文件不支持safesEH，则表的地址为0。当PE文件被系统加载后，表中的内容被加密保存到ntdl1．dll模块的某个数据区。在PE文件行期间，如果发生异常需要调用异常处理例程，系统会逐个检查该例程在表中是否有记录：如果没有则说明该例程非法，进而不执行该异常例程

●绕过方法:

1.利用没有启动SafeSEH保护的模块(比如漏洞软件本身自带的dll文件,可以借助OD插件SafeSEH来查看进程中各模块是否开启SafeSEH保护)

2.攻击没有开启GS的函数

3.覆盖虚表指针

4.利用堆绕过

5.利用某些ActiveX控件绕过

三.DEP绕过(数据执行保护)

●绕过方式:

1.某些程序没有启动DEP保护

2.Ret2Libc(最后可以执行ZwSetInfomationProcess,VirtualProtect,VitualAlloc)(ROP)

3.某些可以执行的内存(比如,Java Applet中动态申请中动态申请的内存空间具有可执行属性)

4.利用某些.Net控件和Java控件来绕过

5.利用TEB突破DEP(局限于XP SP2以下的版本)

6.利用WPN与ROP技术

ROP（Return Oriented Programming）:连续调用程序代码本身的内存地址，以逐步地创建一连串欲执行的指令序列.WPM（Write Process Memory）：利用微软在kernel32.dll中定义的函数比如：WriteProcess Memory函数可将数据写入到指定进程的内存中。但整个内存区域必须是可访问的，否则将操作失败

7.利用SEH绕过DEP

启用DEP后，就不能使用pop pop ret地址了，而应采用pop reg/pop reg/pop esp/ret 指令的地址，指令 pop esp 可以改变堆栈指针，ret将执行流转移到nseh 中的地址上（用关闭NX 例程的地址覆盖nseh，用指向pop/pop /pop esp/ret 指令的指针覆盖异常处理器）

四.ASLR绕过(地址随机化)

●绕过方式:

1.基地址泄露漏洞,某个dll模块的某个内存地址的泄露,进而可以泄露该DLL的基地址,进而可以得到任意DLL的基地址

2.某些没有开启地址随机化的模块

   当浏览器加载一个带try location.href = ‘ms-help://’ 语句的页面时,HXDS.DLL就会被加载,而该DLL并没有开启地址随机化

利用该方法的CVE-2013-3893， CVE2013-1347， CVE-2012-4969， CVE-2012-4792

3.堆喷射需要配合没有开启地址随机化的模块

4.覆盖部分返回地址

    虽然模块加载基地址发生变化，但是各模块的入口点地址的低字节不变，只有高位变化

对于地址0×12345678，其中5678部分是固定的，如果存在缓冲区溢出，可以通过memcpy对后两个字节进行覆盖，可以将其设置为0×12340000 ~ 0x1234FFFF中的任意一个值。

   如果通过strcpy进行覆盖，因为strcpy会复制末尾的结束符0×00，那么可以将0×12345678覆盖为0×12345600，或者0×12340001 ~ 0x123400FF。

   部分返回地址覆盖，可以使得覆盖后的地址相对于基地址的距离是固定的，可以从基地址附近找可以利用的跳转指令。

这种方法的通用性不是很强，因为覆盖返回地址时栈上的Cookie会被破坏。不过具体问题具体分析，为了绕过操作系统的安全保护机制需要考虑各种各样的情况。

5.java Applet Spray:Java Applet中动态申请中动态申请的内存空间具有可执行属性,可在固定地址上分配滑板指令(如Nop和ShellCode)，然后挑转到上面地址执行。和常规的HeapSpray不同，Applet申请空间的上限为100MB，而常规的HeapSpray可以达到1GB

6.just in Time Compliation(JIT)即时编译，也就是解释器（如python解释器），主要思想是将ActionScript代码进行大量xor操作，然后编译成字节码，并且多次更新到Flash VM,这样它会建立很多带有恶意xor操作的内存块vary=(0×11223344^0×44332211^0×4433221);

正常情况下被解释器解释为：

如果非常规的跳转到中间某一个字节开始执行代码，结果就是另一番景象了：

   关于JIT的详细介绍，可以参考

●Pointer Inference and JIT Spraying以及

●Writing JIT-Spray shellcodefor fun and profit 

●Pointer Inference and JIT Spraying

●Writing JIT-Spray shellcode for fun and profit

7.某些固定的基地址

★从Windows NT 4到Windows 8，

   (1)SharedUserData的位置一直固定在地址0x7ffe0000上

   (2)0x7ffe0300总是指向KiFastSystemCall

   (3)反汇编NtUserLockWorkStation函数，发现其就是通过7ffe0300进入内核的

利用方法:

这样，在触发漏洞前合理布局寄存器内容，用函数在系统服务(SSDT / Shadow SSDT)中服务号填充EAX寄存器，然后让EIP跳转到对应的地方去执行，就可以调用指定的函数了。但是也存在很大的局限性：仅仅工作于x86 Windows上；几乎无法调用有参数的函数

★64位Windows系统上0x7ffe0350总是指向函数ntdll!LdrHotPatchRoutine

  (经过验证可能不是这个地址,但是这个地址在开启了ASLR后是固定的)

利用方法:

在触发漏洞前合理布局寄存器内容，合理填充HotPatchBuffer 结构体的内容，然后调用LdrHotPatchRoutine。

   (1)如果是网页挂马，可以指定从远程地址加载一个DLL文件；

   (2)如果已经经过其他方法把DLL打包发送给受害者，执行本地加载DLL即可。

   此方法通常需要HeapSpray协助布局内存数据；且需要文件共享服务器存放恶意DLL；只工作于64位系统上的32位应用程序；不适用于Windows 8

五.SEHOP(Structured Exception Handling Overwrite Protection)

●原理:

它可作为SEH的扩展，用于检 测SEH是否被覆写。SEHOP的核心特性是用于检测程序栈中的所有SEH结构链表的完整性，特别是对最后一个SHE结构的检测。在最后一个SEH结构中 拥有一个特殊的异常处理函数指针，指向一个位于ntdll中的函数ntdll!FinalExceptHandler()。当我们用 jmp 06 pop pop ret 来覆盖SEH结构后，由于SEH结构链表的完整性遭到破坏，SEHOP就能检测到异常从而阻止shellcode 的运行

●绕过方式:

1.攻击虚函数

2.攻击未开启SEHOP的模块

3.攻击没有开启GS的函数返回值

4.伪造SEH链表

六.堆保护

●原理:

(1)SafeUnlink:微软改写了操作双向链表的代码,在卸载free list中的堆块时更加小心

(2)Heap cookie:用于检测堆溢出

(3)元数据加密:微软在Vista以及后续版本中使用了该安全措施,块首中的一些重要数据在保存时,会与一个4字节的随机数进行异或,在使用这些数

据的时候需要异或还原,这样就不能直接破坏这些数据了,以达到保护堆的目的

●绕过方式:

(1)攻击堆中的存储变量

(2)利用chunk重设大小攻击堆

(3)利用Lookaside表进行堆溢出

七.某些逻辑漏洞

●绕过方式:

1.Java的jnlp

是java提供的一种可以通过浏览器直接执行java应用程序的途径，它使你可以直接通过一个网页上的url连接打开一个java应用程序。

这种逻辑漏洞可以绕过EMET

2.微软的Microsoft Silverlight,类似于java的jnlp,可以绕过上面的保护方式

3.某些VBScript可以绕过EMET(可以远程调用一些文件)