Exploit开发系列教程-Mona 2& SEH

楼主^#

更多发布于：2015-03-24 08:24

开发程序压缩包工作区

◆0 Mona 2 前言 & 准备

Mona 2是一种非常有用的插件，它由Corelan Team开发。起初是为Immunity Debugger写的，现在它适用于WinDbg调试器。
你将需要为WinDbg x86 和 WinDbg x64安装一些工具：
安装Python 2.7 (从这里可下载到) 。
x86 和 x64版本的工具分别安装在不同的目录里，如c:python27(32) 和c:python27。
从这里下载正确的zip包（请下载pykd-0.2.0.29-python-2.7.zip这个压缩包），接着提取并运行vcredist_x86.exe 和 vcredist_x64.exe。
从这里下载两个exe程序（x86版和x64版），接着执行它们。
从这里下载windbglib.py和mona.py，并将它们放置到WinDbg.exe所在的目录中。

图片：2015070909285441543.png

配置符号搜索路径如下：
通过 File→Symbol File Path
输入
SRV*C:windbgsymbols*http://msdl.microsoft.com/download/symbols3.保存工作区(File→Save Workspace).
在WinDbg下运行mona.py
用WinDbg运行mona.py的范例:
1.使用如下命令加载pykd插件
.load pykd.pyd2.运行mona使用命令如下：
!py mona

图片：2015070909285441543.png

更新mona 输入如下：
!py mona update

图片：2015070909285441543.png

◆1 配置

工作目录
在mona的工作目录里，mona的多数函数将数据转储到已创建的文件中。我们可以具体指定某个工作目录，这取决于使用的格式说明符%p (process name) 和 %i (process id)指定的进程名和id。
例如，输入：
workingfolder "C:mona_files%p_%i"排除模块
你可以用如下操作排除指定模块:
!mona config -set excluded_modules "module1.dll,module2.dll"!mona config -add excluded_modules "module3.dll,module4.dll"作者
你也可以设定作者:
!mona config -set author Kiuhnm当产生与metasploit兼容的输出内容时可以使用该信息。
重点
如果WinDbg和mona都没有出错，那么请试试以管理员身份运行WinDbg。
◆2 Mona的手册

你可以在这里找到更多关于Mona的信息。
范例
该范例引用自Mona的手册. 现在来说明如下代码中我们控制的ECX的值：
MOV EAX, [ECX]CALL [EAX+58h]我们想要使用那段代码以jmp到我们的shellcode(即我们注入到进程中的代码)，它的地址位于ESP+4，因此我们需要调用如上调用的一些指令，如“ADD ESP, 4 | RET“。上面的代码有许多间接的操作：
(ECX = p1) → p2p2+58h → p3 → “ADD ESP,4 | RET”首先我们需要找到p3:
!py mona config -set workingfolder c:logs!py mona stackpivot -distance 4,4如上使用的命令可以让你在stackpivots内的指定偏移范围在mix~max之间找到等价于ADD ESP, X | RET代码的指针，通过选项-distance min,max来指定偏移范围。
已发现指针/地址会被写入到c:logsstackpivot.txt。
现在我们已经有我们的p3指针（许多p3指针！）了，我们还需找到p1:
!py mona find -type file -s "c:logsstackpivot.txt" -x * -offset 58 -level 2 -offsetlevel 2下面来了解那些选项的含义：
使用“-x *”选项意味着你要 “accept addresses in pages with any access level” (正如另一个范例所示, 用 “-x X”选项说明我们仅在可执行页中定位).
“-level 2”具体指定要间接操作的指令层级，它告知mona找出“a pointer (p1) to a pointer (p2)to a pointer (p3)”。前两个选项 (-type 和 -s)指定ps必须是指针，它被列出在文件“c:logsstackpivot.txt“里。
使用“-offsetlevel 2” 和 “-offset 58”选项告知mona用偏移58h来进行增值操作时，第二个指针(p2)必须指向第三个指针(p3)。
如果这个范例并不能让你对其内容有较好的理解，请你不要担心。这个范例仅向你展示了WinDbg中利用Mona插件可以实现的一些功能。当然，我也承认这个命令的语法不是非常易懂。
范例
使用findwild命令可以让你找到带有特殊形式的指令链。细想如下范例：
!mona findwild -s "push r32 # * # pop eax # inc eax # * # retn"选项”-s”指定链的形态:
用 ‘#‘将指令分隔开
r32 为任意32位寄存器

可选参数为:

ROP链
Mona可以找到ROP gadgets并利用它们构造ROP链，但是我将不在这部分讲解这方面的相关内容，因为这里我假设你并不知道ROP链的含义及关于ROP的概念。正如我曾说过的，如果这篇文章讲述的内容让你难以理解，那么请不要担心。尽管学习该系列的下一部分文章吧。
◆3 结构化异常处理（SEH）

异常处理器以一种单链表的形式存在，它和每个线程有关。一般说来，链表的节点被分配在栈上。某一位于TEB (Thread Environment Block)的起始位置的指针指向链表头，因此当代码想要添加一个新的异常处理器时，某一新节点会被添加到链表头并且在TEB里的指针所指向的位置会被改变，进而指向新节点。
每个节点固有_EXCEPTION_REGISTRATION_RECORD类型并且会存储处理器的地址及链表下个节点的一个指针。奇怪的是，链表上一节点的“next pointer”不是null但是它等价于0xffffffff。
确切的定义如下：
0:000> dt _EXCEPTION_REGISTRATION_RECORDntdll!_EXCEPTION_REGISTRATION_RECORD +◆00 Next : Ptr32 _EXCEPTION_REGISTRATION_RECORD +◆04 Handler : Ptr32 _EXCEPTION_DISPOSITIONTEB可被段选择子fs访问（始于 fs:[0]）, 因此通常可看到代码如下：
mov eax, dword ptr fs:[00000000h] ; retrieve the headpush eax ; save the old headlea eax, [ebp-10h]mov dword ptr fs:[00000000h], eax ; set the new head...mov ecx, dword ptr [ebp-10h] ; get the old head (NEXT field of the current head)mov dword ptr fs:[00000000h], ecx ; restore the old head编译器通常会注册单个全局句柄，它能意识到被程序执行过的区域（这依赖于某一全局变量）并且当它被调用时会有根据地作出行为。
因为每个线程都有一个不同的TEB，因此操作系统会确保段被fs选择，fs总会引用准确的TEB（即当前线程之一）。通过读取与TEB的Self区域相符的 fs:[18h]得到TEB的地址。
列出TEB的信息如下：
0:000> !tebTEB at 7efdd000 ExceptionList: 003ef804 ----------------------- StackBase: 003f0000 StackLimit: 003ed000 SubSystemTib: 00000000 FiberData: 00001e00 ArbitraryUserPointer: 00000000 Self: 7efdd000 EnvironmentPointer: 00000000 ClientId: 00001644 . 00000914 RpcHandle: 00000000 Tls Storage: 7efdd02c PEB Address: 7efde000 LastErrorValue: 2 LastStatusValue: c0000034 Count Owned Locks: 0 HardErrorMode: 0现在我们可以证实fs引用TEB：
0:000> dg fs P Si Gr Pr LoSel Base Limit Type l ze an es ng Flags---- -------- -------- ---------- - -- -- -- -- --------0053 7efdd000 00000fff Data RW Ac 3 Bg By P Nl 000004f3正如我们在之前讲述过的， fs:18h含有TEB的地址:
0:000> ? poi(fs:[18])Evaluate expression: 2130563072 = 7efdd000记住：poi会对某一指针进行解引用操作并且使用‘?’来对某一表达式进行求值操作。我们看看ExceptionList 指向的结构体名：
0:000> dt nt!_NT_TIB ExceptionListntdll!_NT_TIB +◆00 ExceptionList : Ptr32 _EXCEPTION_REGISTRATION_RECORD正如我们已经说过的那样，这意味着每个节点会是_EXCEPTION_REGISTRATION_RECORD的某一实例。使用!slist命令展示出整个链表的信息：
0:000> !slist $teb _EXCEPTION_REGISTRATION_RECORDSLIST HEADER: +◆00 Alignment : 3f0000003ef804 +◆00 Next : 3ef804 +◆04 Depth : 0 +◆06 Sequence : 3fSLIST CONTENTS:003ef804 +◆00 Next : ◆03ef850 _EXCEPTION_REGISTRATION_RECORD +◆04 Handler : 0x6d5da0d5 _EXCEPTION_DISPOSITION MSVCR120!_except_handler4+0003ef850 +◆00 Next : ◆03ef89c _EXCEPTION_REGISTRATION_RECORD +◆04 Handler : ◆0271709 _EXCEPTION_DISPOSITION +0003ef89c +◆00 Next : 0xffffffff _EXCEPTION_REGISTRATION_RECORD +◆04 Handler : 0x77e21985 _EXCEPTION_DISPOSITION ntdll!_except_handler4+0ffffffff +◆00 Next : ???? +◆04 Handler : ????Can't read memory at ffffffff, error 0记住$teb表示的是TEB的地址.
以下使用了一种更简洁的方法来展示异常处理链的信息：
0:000> !exchain003ef804: MSVCR120!_except_handler4+0 (6d5da0d5) CRT scope 0, func: MSVCR120!doexit+116 (6d613b3b)003ef850: exploitme3+1709 (00271709)003ef89c: ntdll!_except_handler4+0 (77e21985) CRT scope 0, filter: ntdll!__RtlUserThreadStart+2e (77e21c78) func: ntdll!__RtlUserThreadStart+63 (77e238cb)We can also examine the exception handler chain manually:0:000> dt 003ef804 _EXCEPTION_REGISTRATION_RECORDMSVCR120!_EXCEPTION_REGISTRATION_RECORD +◆00 Next : ◆03ef850 _EXCEPTION_REGISTRATION_RECORD +◆04 Handler : 0x6d5da0d5 _EXCEPTION_DISPOSITION MSVCR120!_except_handler4+00:000> dt ◆03ef850 _EXCEPTION_REGISTRATION_RECORDMSVCR120!_EXCEPTION_REGISTRATION_RECORD +◆00 Next : ◆03ef89c _EXCEPTION_REGISTRATION_RECORD +◆04 Handler : ◆0271709 _EXCEPTION_DISPOSITION +00:000> dt ◆03ef89c _EXCEPTION_REGISTRATION_RECORDMSVCR120!_EXCEPTION_REGISTRATION_RECORD +◆00 Next : 0xffffffff _EXCEPTION_REGISTRATION_RECORD +◆04 Handler : 0x77e21985 _EXCEPTION_DISPOSITION ntdll!_except_handler4+0

喜欢7 评分0

发帖回复

« 返回列表

您需要登录后才可以回帖，登录或者注册

返回顶部

Exploit开发系列教程-Mona 2& SEH

最新喜欢：