从本节開始,我们就要研究一些略微高级点的话题了,如同在1.2节中看到的,Windows中为抵抗栈溢出做了非常多保护性的检查工作,编译的程序默认开启了这些保护。

假设我们不能绕过这些保护。那么我们的Shellcode也就是一个玩具而已,什么都做不了。

我们从SEH(结构化异常处理)開始。

这篇文章讲SEH简洁易懂:http://www.securitysift.com/windows-exploit-development-part-6-seh-exploits/

因此。本文的前面部分就直接对其进行翻译了,后面动手的部分再结合自己的样例进行,由于动手实践还是用自己写的代码好。

(1)什么是结构化异常处理?

Windows下的硬件和软件异常统一採用结构化异常处理(SEH)机制。异常处理结构通常包含在一个try/except或try/catch代码块中。

例如以下:

/*****************************************************************************/
__try {
// 受保护的代码区域
...
}
__except (exception filter) {
// 异常处理代码
...
}
/*****************************************************************************/

含义非常easy,try保护的代码一定会运行。在发生指定的错误/异常之后,就运行except中的代码,进行异常处理。异常处理器(exception filter)就是告诉操作系统对指定的错误/异常运行什么操作。

异常处理器(exception filter)可能由应用程序实现(通过__try/__except结构),或者使用系统自带的。

由于错误的种类非常多(除0。越界等),相应的异常处理器也有非常多。

所有种类的异常处理器,包含应用程序实现和操作系统实现的,都由Windows系统通过一些数据结构和函数进行统一管理。

(2)SEH的主要组成

每一个异常处理器都相应一个EXCEPTION_REGISTRATION_RECORD结构,该结构例如以下:



这些异常处理器的EXCEPTION_REGISTRATION_RECORD结构连接在一起。组成一个SEH链表。

EXCEPTION_REGISTRATION_RECORD结构中的第一个成员Next指向SEH链表中的下一个成员,因此,你能够通过Next来遍历SEH链。

EXCEPTION_REGISTRATION_RECORD结构中的第二个成员Handler为一个异常处理函数的函数指针,该异常处理函数定义例如以下:



函数的第一个參数指向一个_EXCEPTION_RECORD结构。该结构保存了某个异常的相关信息,包含异常码,异常发生的地址。參数的个数等,例如以下:



_except_handler异常处理函数使用该结构中的信息(还有ContextRecord 參数中的寄存器信息)来推断该异常是否能被SEH链中的某个异常处理器处理。EstablisherFrame 參数也非常重要,后面会说到。

_except_handler异常处理函数返回EXCEPTION_DISPOSITION。假设为ExceptionContinueExecution,表示该异常是否已经被成功处理,假设为ExceptionContinueSearch,表示当前异常处理器无法处理该异常,异常移交给SEH链中的下一个异常处理器。

那么,异常处理机制是怎样使用这些结构和函数来进行异常处理的呢?当一个异常发生的时候,操作系统从SEH链头部開始,检查第一个_EXCEPTION_REGISTRATION_RECORD(即异常处理器)的异常处理函数,看它是否能处理该异常(通过ExceptionRecord 和ContextRecord參数)。

假设不能。则移动到下一个_EXCEPTION_REGISTRATION_RECORD。继续检查,直到找到合适的异常处理器。

Windows在SEH链的末尾放置了一个默认的通用异常处理器。保证异常肯定能被处理。

假设使用默认的异常处理器处理,你一般会看到“程序遇到了一个问题。须要关闭…”之类的信息。

每一个线程有它自己的SEH链。操作系统通过TEB中的ExceptionList成员定位SEH链的起始地址。TEB位于FS:[0]。以下为SEH链的一个示意图(图中简化了_EXCEPTION_REGISTRATION_RECORD结构):



图47 Windows SEH链

上图不是SEH机制的所有,可是足够你理解主要的原理。

如今,我们用一个演示样例来看一看SEH机制。

好了,翻译到此为止。可是我后面所写的内容基本也就是原文的内容,仅仅是我换了自己的演示样例。这样便于实际操作。基本上也就相当于翻译。我们找出1.2节中的example_2(具有栈溢出漏洞的那个程序),来看看它的SEH是什么样的。在Immunity Debugger中选择例如以下菜单:



图48 在Immunity Debugger查看SEH链

就可以查看SEH链。我们看一看example_2的SEH链:



图49 example_2的SEH链

SEH的try/except或try/catch代码块实际上是宏定义的一段代码。将我们自己的代码包裹起来,因此,我们能够从当前线程的栈上来找到SEH链,对比上面的地址,找到它:



图50 栈上的SEH链

对比前面讲述的EXCEPTION_REGISTRATION_RECORD结构。Next成员为链中的下一个异常处理器地址。为0xFFFFFFFF表示已经结尾。即最后的一个默认异常处理器。0x7c839ac0为该默认异常处理器的异常处理函数地址。

回看example_2的代码。我们并未定义自己的异常处理块(try/except或try/catch)。因此。程序自带一个默认异常处理器。前面说到,每一个线程都有一个异常处理链,而线程是动态变化的。随着指令流的进行。运行不同的代码块。调用函数等。那么,程序运行起来又是什么样子的呢?

为了回答上面的问题,我们再来看一看。这个程序有输入字符串的操作(gets),因此,我们让程序运行。到达等待输入的时刻。然后再来看SEH链:



图51 暂停于gets时刻的SEH链

好大一串。

当中有系统的,有VS2008的,另一个我们“自己”的,最后才是系统默认的。这些异常都是用来干嘛的?如今,我们把断点设在调用gets函数之后:



图52

在看此时的SEH链:



图53

看来,刚刚我们应该是看错了位置。

我们前面是在gets函数等待输入的时候看的。也就是说停在了gets函数内部,而gets函数由编译器实现,因此。它内部包装有自己的异常处理。这就是图51中为什么我们看到了那么多系统和编译器提供的异常处理函数。看来。SEH链是在动态变化的,进入了包装有异常处理的代码,就会在SEH链中加入异常处理器,退出其代码块之后,又会从SEH链中删除异常处理器。

这就是为什么说SEH链是与线程相应的。

可是,既然我们自己未定义异常处理,这里为什么还多出来一个?这个后面再说。

接下来,我们给example_2的程序包装一个异常处理块,然后再看看SEH链的样子:

/*****************************************************************************/
// example_10: 演示SEH链
#include <Windows.h>
#include <stdio.h> void get_print()
{
char str[11]; __try
{
gets(str);
printf("%s\n", str);
}
__except(EXCEPTION_EXECUTE_HANDLER)
{
//
}
} int main()
{
get_print(); return 0;
}
/*****************************************************************************/

最初暂停的点:



图54

最初还是仅仅有一个SEH链。相同在调用gets之后的语句暂停:



图55 example_10的SEH链

和图53对比。SEH链中多了一个节点,由于我们自己加入了一个异常处理块。如今另一个疑问,多出来的那个是什么?依照SEH链的原理,局部的应该位于前面。因此,第一个是我们自定义的。那第二个是哪里来的呢?(注意不要依据地址来和图53比較进行推断,如今已经是一个不同的程序了)它的异常处理函数地址为0x0041104B,明显位于本模块中。我们把断点设置调用 get_print()之前。也就是main函数中,来看:



图56

这个时候。第二个异常处理器就已经出现了,因此,这个异常处理器是main函数的,VC++实现main函数的时候也包装了一个异常处理块。你能够自己去找到是何时设置的。

我们来看看两个异常处理函数的地址,分别为0x411046和0x41104B:



图56



图57

第一个指向MSVCR90D.dll中的_except_handler3,第二个终于指向MSVCR90D.dll中的_except_handler4_common。这是VC++对SEH的实现。并不是使用原生的SEH,要理解这个_except_handler3和_except_handler4_common,你须要这篇文章:https://www.microsoft.com/msj/0197/exception/exception.aspx

这篇经典的文章有中文翻译。

本节先到这里。下一节继续。

栈溢出笔记1.9 认识SEH的更多相关文章

  1. 栈溢出笔记1.3 准备Shellcode

    经过1.1和1.2节的讲述,我们已经知道了怎样更改EIP的值. 程序运行函数之后将跳转到我们设定的位置開始运行,因此,我们须要准备一个自己的程序,接手后面的工作.这是一个什么样的程序?是一个C语言编写 ...

  2. 第23章 SEH结构化异常处理(1)_系统SEH机制

    23.1 基础知识 23.1.1 Windows下的软件异常 (1)中断和异常 ①中断是由外部硬件设备或异步事件产生的 ②异常是由内部事件产生的,可分为故障.陷阱和终止三类. (2)两种异常处理机制: ...

  3. SEH分析笔记(X64篇)

    SEH分析笔记(X64篇) v1.0.0 boxcounter 历史: v1.0.0, 2011-11-4:最初版本. [不介意转载,但请注明出处 www.boxcounter.com  附件里有本文 ...

  4. KTHREAD 线程调度 SDT TEB SEH shellcode中DLL模块机制动态获取 《寒江独钓》内核学习笔记(5)

    目录 . 相关阅读材料 . <加密与解密3> . [经典文章翻译]A_Crash_Course_on_the_Depths_of_Win32_Structured_Exception_Ha ...

  5. 关于C++异常机制的笔记(SEH, try-catch)

    昨天晚上加班解决了一个问题,是由于无法正确的捕获到异常导致的.刚开始用try-catch,但是没法捕获到异常:后面改成SEH异常才解决.因此今天将这个问题重新梳理了一遍,关于try-catch, SE ...

  6. Windows内核读书笔记——SEH结构化异常处理

    SEH是对windows系统中的异常分发和处理机制的总称,其实现分布在很多不同的模块中. SEH提供了终结处理和异常处理两种功能. 终结处理保证终结处理块中的程序一定会被执行 __try { //要保 ...

  7. linux漏洞分析入门笔记-栈溢出

    ida7.0 ubuntu16.04 lts 0x00:环境配置 使用IDA远程调试Linux程序步骤如下: 1. 在进行远程调试之前需要对Linux平台进行一些准备工作.在IDA的安装目录中的dbg ...

  8. exploit writing tutorial 阅读笔记总结

    近日阅读Corelan Team编写的exploit writing tutorial系列,大致了解了一下原理,记了一些笔记.此系列文章有中文翻译版,在看雪论坛上发表. 英文版地址:https://w ...

  9. C++Windows核心编程读书笔记

    转自:http://www.makaidong.com/%E5%8D%9A%E5%AE%A2%E5%9B%AD%E6%96%87/71405.shtml "C++Windows核心编程读书笔 ...

随机推荐

  1. cf1051F. The Shortest Statement(最短路/dfs树)

    You are given a weighed undirected connected graph, consisting of nn vertices and mm edges. You shou ...

  2. 【Codeforces Round #453 (Div. 2) B】Coloring a Tree

    [链接] 我是链接,点我呀:) [题意] 在这里输入题意 [题解] 从根节点开始. 显然它是什么颜色.就要改成对应的颜色.(如果上面已经有某个点传了值就不用改 然后往下传值. [代码] #includ ...

  3. 7.3 GROUP BY的“新”功能

    7.3 GROUP BY的"新"功能正在更新内容,请稍后

  4. Android 文件路径(/mnt/sdcard/...)、Uri(content://media/external/...)

    一.URI 通用资源标志符(Universal Resource Identifier, 简称"URI"). Uri代表要操作的数据,Android上可用的每种资源 - 图像.视频 ...

  5. 关于python的二维数组

    test =[ [1, 2, 3], [4, 5, 6], [7, 8, 9]]   #这个就可以看做是二维数组了,直接创建print(test)print(test[:][1])           ...

  6. sql语句的编程手册 SQL PLUS

    一.SQL PLUS 引言 SQL命令 以下17个是作为语句开头的关键字: alter drop revoke audit grant rollback* commit* insert select ...

  7. multi_input_paths

  8. OpenJDK源码研究笔记(十六):在Java中使用JavaScript脚本语言

    友情提示 本文主要参考了51CTO上的一篇文章,代码经过自己的模仿和整理,还算凑合. 本文中的代码注释比较多,不再过多解释. 更多用法,还是得看JDK的API或者看原文http://developer ...

  9. Web安全之Cookie劫持

    1. Cookie是什么? 2. 窃取的原理是什么? 3. 系统如何防Cookie劫持呢? 看完这三个回答, 你就明白哪位传奇大侠是如何成功的!!! Cookie: HTTP天然是无状态的协议, 为了 ...

  10. Maven报错Missing artifact jdk.tools:jdk.tools:jar:1.7--转

    原文地址:http://blog.csdn.net/u013281331/article/details/40824707 在Eclipse中检出Maven工程,一直报这个错:“Missing art ...