最近在看《0day安全：软件漏洞分析》那本书，初步接触一些windows下的溢出利用，和linux上还是有较大不同的。

本篇对应书上第6、11章节关于利用SEH异常处理来绕过GS的内容。

GS相当于Windows下的canary，这时通过溢出覆盖返回地址，来控制程序执行流程的方法就不再可行。在linux下绕过canary的方法也有一些，在windows下总的思路是一致的：

一、泄露canary的值（参考 %s打印栈上数据时的canary泄露）

二、canary检查的机制是生成随机canary后放到返回地址之前，并将其备份（例如linux下存到gs:0x14)，在函数返回时，再把两处的canary通过异或来判断是否发生改动，如果能够同时修改这两个地方的canary值，就可以通过canary的检测。(难以利用)

三、利用其它溢出方式（虚函数，堆）。

以上三种比较通用，除此之外，linux下还有一种利用___stack_chk_fail()函数实现一次任意地址读的姿势（Stack Smashing Protector任意地址读）

而windows下还可以利用覆盖SEH异常处理指针，只要触发异常先于canary检查，就可以先去执行SEH异常处理函数从而实现利用。

SEH chain结构：

由pointer to next SEH构成单向链表，而handle指向异常处理函数。

具体的异常处理机制就不做过多说明。

Windows XP sp2之后引入了SafeSEH，接下来的内容主要针对SafeSEH，且暂时不考虑DEP。

SafeSEH针对指向异常处理函数的指针做了若干检查，使得我们直接覆盖其为shellcode地址变得不可行。先看看能够通过检查的情况：

1.异常处理函数位于加载模块内存范围之外，DEP关闭

2.异常处理函数位于加载模块内存范围之内，相应模块未启用SafeSEH，同时相关模块不是纯IL指令。

3.异常处理函数位于加载模块内存范围之内，相应模块启用SafeSEH，异常处理函数地址包含在安全S.E.H表中。

0x00 利用未启用SafeSEH模块绕过SafeSEH

实验环境：

Windows XP SP3 （DEP disabled）

Visual Studio 2008

VC++ 6.0

首先用vc6.0构建一个未启用SafeSEH的dll：

#include "stdafx.h"

#include "stdio.h"

BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved )

{

return TRUE;

}

void jump()

{

puts("hereisit"); //主要用于定位ROP

__asm{

pop eax

pop eax

retn //一个pop pop ret 的rop，用法后面会提到

}

}

为了防止ROP的地址包含‘'\x00'被截断，需要手动设置dll的加载基址：

在工程-->设置-->连接的工程选项中添加 /base:"0x11120000"/

接着用vs2008构建一个启用SafeSEH的exe，其中调用之前的dll。（vs2008默认开启GS、SafeSEH）

char shellcode[]="”；

DWORD MyException(void)

{

printf("This is an exception");

getchar();

return 1;

}

void test(char * input)

{

char str[200];

strcpy(str,input); //溢出点

int zero=0;

__try{

zero=1/zero; //构造一个除零来触发异常处理

}

__except(MyException()) { }

}

int _tmain(int argc,_TCHAR* argv[])

{

HINSTANCE hinst = LoadLibrary(_T("SEH_NOSafeSEH_JUMP.dll"));

char str[200];

test(shellcode);

return 0;

}