Windows安全机制---数据执行保护:DEP机制
文章目录
- Windows安全机制
- 数据执行保护:DEP机制
- 原理
- 绕过
- 攻击未启用的DEP程序
- 利用Re2Libc挑战DEP
- 跳转到ZwSetInformationProcess函数将DEP关闭再转入shellcode执行
- 跳转到VirtualProtect函数来将shellcode 所在内存页设置为可执行状态,然后转入shellcode执行
- 跳转到VIrtualAlloc函数开辟一段具有执行权限的内存空间,然后将shellcode复制到这段内存执
- 利用可执行内存
- 利用.NET攻击
- 利用Java applet
Windows安全机制
微软关于内存保护机制
- GS编译技术
- SEH的安全校验机制
- Heap Cookie,Safe Unlinking等一系列堆安全机制
- DEP数据执行保护
- ASLR加载地址随机
- SEHOP SEH的覆盖保护
数据执行保护:DEP机制
原理
DEP的主要作用是阻止数据页(默认的堆,栈以及内存池页)执行代码。分为软件DEP和硬件DEP,其中软件DEP就是SafeSEH。而硬件DEP操作系统会通过设置内存页的NX/XD属性标记是否运行在本页执行指令。
计算机中设置
DEP分为4种工作态
- Optin:默认仅保护Windows系统组件
- Optout:为排除列表程序外的所有程序和服务启用DEP
- AlwaysOn:对所有进程启用DEP保护
- AlwaysOff:对所有进程都禁用DEP
调试器中设置
Visual Studio 2008之后默认开启DEP保护,编译的程序会在PE头中设置 IMAGE_DLLCHARACTERISTICS_NX_COMPAT标识,这个标识就在结构体IMAGE_OPTIONAL_HEADER 中DllCharacteristics,如果这个值被设为了0x0100表示采用了DEP保护编译。
局限性
- 并不是所有的CPU都支持DEP
- 由于兼容性,不可能对所有的进程开辟DEP保护,这样会出现异常。对一些第三方插件DLL和ATL7.1或以前的程序版本,不会开启。
- 编译器中的/NXCOMPAT选项生成的程序,只会在Windows Vista以上的系统有效,在之前的系统会被忽略。
- 系统提供了某些API函数可以来控制DEP状态,早期的一些系统可以调用这些函数。
绕过
攻击未启用的DEP程序
并不是只要CPU和操作系统支持DEP,所有程序就安全,对于一些进程来说,只要有某一个模块不支持DEP,就不能开启DEP。
在win7下也有许多的程序没有启用DEP
利用Re2Libc挑战DEP
跳转到ZwSetInformationProcess函数将DEP关闭再转入shellcode执行
原理
一个进程的DEP设置标识保存在KPROCESS结构中的_KEXECUTE_OPTIONS 上,这个标识可以通过API函数ZwQueryInformationProcess 和 ZwSetInformationProcess 进行查询和修改。
在系统中找出一处关闭进程DEP的调用,微软有一个LdrpCheckNXCompatibility函数,当出现DLL收到SafeDisc保护的时候(函数中体现为al=1的时候),就会调用ZwSetInformationProcess函数进行关闭dep,所以我们可以在调用这个函数前把al的值改掉,就能够关闭dep
只有CMP AL,1成立程序才能继续执行,找到一个指令把AL修改为1,然后转到0x7C93CD6F执行。就会关闭DEP,然后retn跳到shellcode上。
实验
环境
- XP sp3 关闭DEP
- VS 2008 关闭GS和SafeSEH,release版本,关闭优化
步骤
查找类似于MOV AL,1 RETN指令
将7C92E252覆盖为函数的返回地址利用OllyFindAddr查找关闭DEP的代码位置
修补ebp
进入关闭DEP的代码位置处会跳转,跳到如图位置,会给ebp-4处赋值,而ebp在溢出的时候被破坏了,是90909090,就会出现错误。因此在进入关闭DEP的代码位置的时候要使得ebp指向的值是一个可写的位置。借助OllyFindAddr。
但是当下寄存器只有esp的值是可写的地址,所以用push esp pop ebp ret 4整理ebp和esp
在执行完push esp pop ebp ret 4后,ebp变成了B0,esp变成了B8。当再压入参数的时候。esp会加4,当压入两个参数的时候,ebp就会被破坏掉。所以esp应该在低地址,ebp应该在高地址
在调用ZwSetInformationProcess的时候,有三个参数的压栈操作,其中push 0x22会影响到原来的参数2,但是22和2的效果一致都能关闭DEP
但是在关闭DEP往回跳转的时候,这个位置也出现了错误00000004是之前push的4,这里的原来返回地址也被冲刷了。所以要减小esp或者增大ebp。夺回程序的控制权
通过retn 0x28指令,来使esp增加0x28个字节。在关闭DEP前加入增加esp的指令地址
在DEP关闭后,retn的地址在12FE04处是我们可以控制的地址,在这里填充一个jmp esp指令的地址。跳到栈的位置,然后再在的位置布置一个短跳转往前跳到shellcode的位置
shellcode
“\x90\x90\x90\x90”
“\x52\xE2\x92\x7C”//MOV EAX,1 RETN地址
“\x85\x8B\x1D\x5D”//修正EBP retn 0x4
“\x19\x4A\x97\x7C”//增大ESP
“\xB4\xC1\xC5\x7D”//jmp esp
“\x24\xCD\x93\x7C”//关闭DEP代码的起始位置 retn 0x4
“\xE9\x33\xFF\xFF”
“\xFF\x90\x90\x90”
结果
跳转到VirtualProtect函数来将shellcode 所在内存页设置为可执行状态,然后转入shellcode执行
原理
在kernel32.dll中,提供了VirtualProtect函数来修改内存属性。
BOOL VirtualProtect(
LPVOID lpAddress shellcode 所在内存空间起始地址
DWORD dwSize shellcode大小
DWORD flNewProtect 0x40
PDWORD lpflOldProtect 某个可写地址
)
但是参数中包含0x00,strcpy在复制字符串时候会截断。所以只能攻击memcpy函数。
实验
环境
步骤
shellcode
结果
跳转到VIrtualAlloc函数开辟一段具有执行权限的内存空间,然后将shellcode复制到这段内存执
原理
在kernel32.dll中使用VirtualAlloc函数来申请一段具有可执行属性的内存,把第一跳设为Virtual函数地址,然后将shellcode复制到申请的内存空间中。
LPVOID WINAPI VirtualAlloc{_in_opt LPVOID lpAddress, 申请内存区域的地址_in SIZE_T dwSize, 申请的大小_in DWORD flAllocationType, 申请内存区域的类型_in DWORD flProtect 访问控制类型如读,写,执行的权限
};
实验
环境
步骤
shellcode
结果
利用可执行内存
原理
有的时候在进程空间会有一段可读可写可执行的内存。将shellcode复制到这段内存中,并劫持流程。
实验
环境
- XP sp3 关闭DEP
- VS 2008 关闭GS和SafeSEH,release版本,关闭优化
步骤
shellcode
结果
利用.NET攻击
利用Java applet
原理
Java applet控件与.NET控件类似,都可以被IE加载到客户端,而且这些控件的内存空间都具有可执行属性。所以可以将shellcode放在控件的内存中
条件
具有溢出漏洞的ActiveX控件
包含有shellcode的Java applet
可以触发ActiveX控件的POC界面
步骤
1.把含有shellcode的Java applet编译成class文件
2.用POC页面加载这个.class文件和具有溢出漏洞的ActiveX控件。
<html>
<body>
<applet code=Shellcode.class width=300 height=50></applet> //包含.class文件
<script>alert("开ྟ溢出!");</script>
<object classid="clsid:39F64D5B-74E8-482F-95F4-918E54B1B2C8" id="test"> </object>//包含ActiveX控件
<script>
var s = "\u9090";
while (s.length < 54) {
s += "\u9090";
}
s+="\u04EC\u1001";
test.test(s);
</script>
</body>
</html>
3.找到shellcode起始地址,覆盖为函数的返回地址
Windows安全机制---数据执行保护:DEP机制相关推荐
- 彻底关闭数据执行保护(DEP)
彻底关闭数据执行保护(DEP) 1.直接修改Boot.ini文件(彻底关闭数据执行保护DEP) 在WinXP SP2系统所在分区根目录下找到Boot.ini文件(需打开系统隐藏文件及受保护的系统隐藏 ...
- 关闭数据执行保护(DEP)
数据执行保护 = DEP = Data Excute Protection 1.Windows XP下关闭 在桌面"我的电脑"点击鼠标左键--属性--高级--性能设置选项 2.V ...
- 计算机打数据执行保护删除不掉,运行某应用程序时,出现数据执行保护 (DEP)提示的解决方案...
原因分析: 数据执行保护技术(Data Execution Prevention,以下简称 DEP)是 Windows XP SP2和 Windows 2003 SP1新增的一项功能.DEP 简单地说 ...
- DLL/OCX文件的注册与数据执行保护DEP
注册/反注册dll或ocx文件时,无论是用regsvr32还是DllRegisterServer/DllUnregisterServer,可能会遇到[内存位置访问无效]的问题: 此时把操作系统的数据执 ...
- 如何关闭Windows XP/Vista/Windows 7的DEP数据执行保护
数据执行保护 (DEP) 是一种Windows安全机制,从Windows版本顺序上看是从Windows XP SP2开始引入,通过监视程序以确保它们使用的系统内存是安全的,帮助防止操作系统受到病毒和其 ...
- 如何关闭VS的DEP保护(数据执行保护)
今天看到0day安全中栈溢出的示例,手痒就学习,程序在一波 函数中修改函数返回地址跳到栈区去执行代码,而在DEP保护开启情况下堆和栈是无法执行代码,这也是缓冲区溢出保护机制之一. 在一番太头疼之后终于 ...
- 计算机系统保护怎么打开,Win7系统开启DEP数据执行保护的具体方法
大部分用户都不知道数据执行保护 (DEP)有什么作用, DEP数据执行保护有助于防止我们的计算机遭受病毒的侵害,也有助于防止其他安全威胁危害我们的计算机.Win7专业版系统默认没有开启DEP数据执行保 ...
- 数据执行保护(DEP)的基本设置
1)执行权限 必须是管理员,而且可以修改boot.ini文件 2)数据执行保护DEP的几个可选参数 NOExecute=Optin (为关键Windows程序和服务启用数据执行保护) NO ...
- 关于Windows 7下的DEP(数据执行保护)
注:本文版权归IT专家网所有,未经授权请勿转载! DEP(Data Execution Prevention)即"数据执行保护",这是Windows的一项安全机制,主要用来防止病毒 ...
- 如何解决经常出现Windows数据执行保护的提示?
方法一: 关闭数据保护,编辑Boot.ini文件,将/NoExecute=OptIn 改为/NoExecute=AlwaysOff. 要编辑Boot.ini,请在开始中我的电脑上点右键-属性-高级 ...
最新文章
- struts2 property标签的使用技巧
- CodeForces 518A - Chewbaсca and Number(思路)
- Firefox v5 正式版
- HTTPS连接的前几毫秒发生了什么
- IDEA通过git怎么回滚到某个提交节点或某个版本
- YBTOJ:彩色圆环
- Java排查问题随笔
- scala:对象object
- windows终止进程——taskkill
- js中数组反向、排序reverse、sort
- 無題(後改為總有那麼一句話)
- android内存碎片问题优化梳理
- android aso优化工具,App Store移动应用ASO优化工具:MobileDevHQ
- 备战数学建模2——MATLAB导入数据,处理缺失值
- appium : 查看Android手机自带浏览器内核版本(webview版本)
- 怎么做硬件产品的需求分析?
- 【Cicadaplayer】播放器的时间戳
- 4. ElasticSearch——aggregations聚合分析
- The system cannot find the path specified
- PTA甲级模拟第九弹:1114-1117