Exploit writing tutorial part 3 : SEH Based Exploits

By Kendy Hikaru -
Ở 2 phần trước, chúng ta đã nói về stack overflow. Phần này, chúng ta sẽ nói về một phương pháp khai thác khác sử dụng ngoại lệ, để từ đó thực hiện lệnh nhảy tới đoạn code mong muốn.
Trước hết, cần phải nói về ngoại lệ - exception handlers ?
Việc bắt ngoại lệ được đặt trong ứng dụng, mục đích để bắt các ngoại lệ mà ứng dụng có thể gặp phải ( ví dụ như file không tồn tại, hay chia cho 0...)
try

{

 //run stuff.  If an exception occurs, go to code

}

catch

{

 // run stuff when exception occurs

}
Nếu trong một chương trình bình thường không sử dụng ngoại lệ, đầu tiên sẽ đẩy vào các tham số, rồi đến EIP, EBP, tiếp đến cấp phát cho các biến cục bộ. Nếu chương trình có sử dụng ngoại lệ, sẽ cấp phát thêm một vùng để chứa ngoại lệ
"Address of exception handler" là một phần của  SEH record. Windows có một SEH mặc định (Structured Exception Handler) để bắt ngoại lệ. Khi mà ngoại lệ này được bắt, bạn sẽ thấy một popup “xxx has encountered a problem and needs to close”.
Để ứng dụng có thể trỏ đến catch code, con trỏ sẽ trỏ tới exception handler code được lưu trên stack. Mỗi code block có một frame của riêng mình. Nói cách khác, mỗi chương trình có một stack frame, nếu ngoại lệ được triển khai trong chương trình, ngoại lệ sẽ được xử lý trong stack frame này. Thông tin về ngoại lệ được lưu trữ trong exception_registration của stack
Cấu trúc của SEH record là 8bytes gồm 2 block 4 bytes.
Một con trỏ trỏ đến exception_registration tiếp theo, thường là SEH record tiếp theo
Con trỏ trỏ tới địa chỉ của exception handler code
Ở phía trên của các khối dữ liệu chính (các khối dữ liệu của chức năng của main, hoặc TEB TEB (Thread Environment Block) / TIB (Thread Information Block), một con trỏ trỏ đến đầu của chuỗi SEH được đặt. Chuỗi SEH này thường được gọi là FS: [0]
Vì vậy, khi nhìn vào mã lệnh Intel bạn sẽ thấy lệnh DWORD ptr từ FS: [0]. Điều này đảm bảo rằng xử lý ngoại lệ được thiết lập và sẽ có thể bắt lỗi khi chúng xảy ra. Opcode của lệnh này là 64A100000000. Nếu bạn không thể tìm thấy opcode này, các ứng dụng / thread không có thể có ngoại lệ xử lý.
Dưới cùng của chuỗi SEH được chỉ định bởi FFFFFFFF. Điều này sẽ kích hoạt kết thúc không của chương trình (và hệ điều hành xử lý sẽ kick vào)
How can we then use the SEH to jump to shellcode ?
Lý thuyết là, nếu bạn có thể ghi đè SE handler để sử dụng khi ngoại lệ được kích hoạt, chúng ta có thể buộc ứng dụng nhảy tới code mà chúng ta mong muốn ( giống như stack overflow). Tuy nhiên, bằng cơ chế XOR, trước khi mà ngoại lệ được kích hoạt, các thanh ghi sẽ được XOR trỏ 0×00000000 cho nên chúng ta không thể sử dụng được kỹ thuật jump reg như bình thường.
Thay vào đó, chúng sẽ sử dụng pop pop ret. Bình thường, các next SEH sẽ chứa địa chỉ của SEH tiếp theo, SE handler chứa địa chỉ của code sẽ được ngoại lệ thực thi. Chúng ta sẽ:
Gây ra một ngoại lệ, mục đích là kích hoạt SEH. Đương nhiên, phần giá trị của SEH record đã bị chúng ta điều khiển.
Ghi đè địa chỉ của next SEH bằng địa chỉ của jump code
Ghi đè địa chỉ của SEH handler bằng địa chỉ của pop pop retn
Khi ngoại lệ được kích hoạt, con trỏ EIP trỏ tới SEH handler, lúc này trỏ tới địa chỉ pop pop retn. Lúc này, lần lượt sẽ lấy trong stack ra 2 lần, mỗi lần 4 bytes, có nghĩa là ESP + 8. Điều đó có nghĩa là con trỏ stack trỏ tới next SEH.
Tiến hành retn lấy địa chỉ lưu trong next SEH, nhưng nó không còn chứa địa chỉ trỏ tới SEH record nữa mà trỏ tới jumpcode. Ở đây, thường là nhảy 8bytes. Để đảm bảo, thường nhảy 30bytes với NOP được sử dụng để cách.
Sơ đồ như sau:
1st exception occurs :
|
--------------------------- (1)
                           |
                    -------+-------------- (3) opcode in next SEH : jump over SE Handler to the shellcode
                    |      |             |
                    |      V             V
[ Junk buffer ][ next SEH ][ SE Handler ][ Shellcode ]
               opcode to   do                 (3) Shellcode gets executed
               jump over   pop pop ret
               SE Handler   |
               ^            |
               |            |
               -------------- (2) will ‘pretend’ there’s a second exception, puts address of next SEH location in EIP, so opcode gets exe


------------------------------------------------------------
Thanks for reading
--------------------------------------------------------------------------
Security Research
All my Lab:
Linux Lab -- window and Cisco Lab
to be continued - I will update more.

Comments

Post a Comment

Popular posts from this blog

Python - Multithread to read one file

By Kendy Hikaru -
Today, i am working with python. I need write script to read one file, and get line by line, per line deliver one thread process ( total 10 threads). I want solution, so i chose working with thread and queue. In python, when procsess initializate, this process will be assigned with queue, and working with this queue. We will put data ( in this case is line) to queue. Process will read from queue, so, all processes can read one file, not overlap :D import threading import Queue #Number of threads n_thread = 5 #Create queue queue = Queue.Queue() class ThreadClass(threading.Thread):     def __init__(self, queue):         threading.Thread.__init__(self)     #Assign thread working with queue         self.queue = queue     def run(self):         while True:         #Get from queue job             host = self.queue.get()             print self.getName() + ":" + host         #signals to queue job is done             self.queue.task_done() #Create number proce
Read more

An toàn thông tin ứng dụng Web

By Kendy Hikaru -
Hi all! Do quá nhiều bạn pm hỏi mình về cuốn "Hướng dẫn Audit ứng dụng web" có bán trên Google Book, mà thực ra mình không có upload lên đó. Có thể 1 bạn học viên ngày trước của mình đã upload lên.  Cuốn đó là part 4 trong bộ đào tạo về ATTT ứng dụng web. Mình viết cũng khá lâu rồi (từ 2014, nay được 7 năm). Nội dung về nhiều mảng ATTT ứng dụng web, từ khái niệm cơ bản, các nguy cơ, cách bảo vệ (nguyên lý, phương pháp, và đánh giá). Link của cuốn này mọi người có thể tham khảo trong đây nhé. PHẦN 1: KIẾN THỨC CƠ SỞ I. Kiến trúc ứng dụng web. 1. Các thành phần hệ thống ứng dụng web 2.  Giao thức HTTP, HTTPS 3.  Nguyên lý hoạt động của WebServer II. Các thành phần ứng dụng web 1.  URL – Uniform Resource Locator 2.  URI – Uniform Resource Identifiers 3.  HTML 4.  Javascript 5. CSS 6.  Cookie 7.  Session 8.  View-state III.Các công nghệ phổ biến trong phát triển ứng dụng web 1.  JSON 2.  XML 3.  XHTML 4.  HTML5 5.  AJAX 6.  Web 2.0 7.
Read more

OpenCA tutorial

By Kendy Hikaru -
Image
Install OpenCA tutorial #yum install -y openssl-devel db4 db4-devel mysql-server mysql-devel perl-XML-Parser httpd # rpm -Uvh openca-tools-1.3.0-1.el5.i386.rpm # tar xvf openca-base-1.1.1.tar.gz # cd openca-base-1.1.1 # mysql -u root -p Enter password: Welcome to the MySQL monitor.  Commands end with ; or \g. Your MySQL connection id is 7 Server version: 5.0.77 Source distribution Type 'help;' or '\h' for help. Type '\c' to clear the buffer. mysql> create database openca; Query OK, 1 row affected (0.00 sec) mysql> GRANT ALL PRIVILEGES ON *.* TO 'openca'@'localhost' IDENTIFIED BY '123456'; Query OK, 0 rows affected (0.00 sec) # mysql -u openca -p ./configure --prefix=/opt/openca \                  --with-ca-organization="HBN CA Labs" \                  --with-httpd-fs-prefix=/var/www \                  --with-httpd-main-dir=pki \                  --with-db-name=openca \                  --with-db
Read more