阅读:2382回复:0
Exploit开发系列教程-Mona 2& SEH
◆0 Mona 2 前言 & 准备
Mona 2是一种非常有用的插件,它由Corelan Team开发。起初是为Immunity Debugger写的,现在它适用于WinDbg调试器。 你将需要为WinDbg x86 和 WinDbg x64安装一些工具: 安装Python 2.7 (从这里可下载到) 。 x86 和 x64版本的工具分别安装在不同的目录里,如c:python27(32) 和c:python27。 从这里下载正确的zip包(请下载pykd-0.2.0.29-python-2.7.zip这个压缩包),接着提取并运行vcredist_x86.exe 和 vcredist_x64.exe。 从这里下载两个exe程序(x86版和x64版),接着执行它们。 从这里下载windbglib.py和mona.py,并将它们放置到WinDbg.exe所在的目录中。 图片:2015070909285441543.png 配置符号搜索路径如下: 通过 File→Symbol File Path 输入 SRV*C:windbgsymbols*http://msdl.microsoft.com/download/symbols3.保存工作区(File→Save Workspace). 在WinDbg下运行mona.py 用WinDbg运行mona.py的范例: 1.使用如下命令加载pykd插件 .load pykd.pyd2.运行mona使用命令如下: !py mona 图片:2015070909285441543.png 更新mona 输入如下: !py mona update 图片:2015070909285441543.png ◆1 配置 工作目录 在mona的工作目录里,mona的多数函数将数据转储到已创建的文件中。我们可以具体指定某个工作目录,这取决于使用的格式说明符%p (process name) 和 %i (process id)指定的进程名和id。 例如,输入: workingfolder "C:mona_files%p_%i"排除模块 你可以用如下操作排除指定模块: !mona config -set excluded_modules "module1.dll,module2.dll"!mona config -add excluded_modules "module3.dll,module4.dll"作者 你也可以设定作者: !mona config -set author Kiuhnm当产生与metasploit兼容的输出内容时可以使用该信息。 重点 如果WinDbg和mona都没有出错,那么请试试以管理员身份运行WinDbg。 ◆2 Mona的手册 你可以在这里找到更多关于Mona的信息。 范例 该范例引用自Mona的手册. 现在来说明如下代码中我们控制的ECX的值: MOV EAX, [ECX]CALL [EAX+58h]我们想要使用那段代码以jmp到我们的shellcode(即我们注入到进程中的代码),它的地址位于ESP+4,因此我们需要调用如上调用的一些指令,如“ADD ESP, 4 | RET“。上面的代码有许多间接的操作: (ECX = p1) → p2p2+58h → p3 → “ADD ESP,4 | RET”首先我们需要找到p3: !py mona config -set workingfolder c:logs!py mona stackpivot -distance 4,4如上使用的命令可以让你在stackpivots内的指定偏移范围在mix~max之间找到等价于ADD ESP, X | RET代码的指针,通过选项-distance min,max来指定偏移范围。 已发现指针/地址会被写入到c:logsstackpivot.txt。 现在我们已经有我们的p3指针(许多p3指针!)了,我们还需找到p1: !py mona find -type file -s "c:logsstackpivot.txt" -x * -offset 58 -level 2 -offsetlevel 2下面来了解那些选项的含义: 使用“-x *”选项意味着你要 “accept addresses in pages with any access level” (正如另一个范例所示, 用 “-x X”选项说明我们仅在可执行页中定位). “-level 2”具体指定要间接操作的指令层级,它告知mona找出“a pointer (p1) to a pointer (p2)to a pointer (p3)”。 前两个选项 (-type 和 -s)指定ps必须是指针,它被列出在文件“c:logsstackpivot.txt“里。 使用“-offsetlevel 2” 和 “-offset 58”选项告知mona用偏移58h来进行增值操作时,第二个指针(p2)必须指向第三个指针(p3)。 如果这个范例并不能让你对其内容有较好的理解,请你不要担心。这个范例仅向你展示了WinDbg中利用Mona插件可以实现的一些功能。当然,我也承认这个命令的语法不是非常易懂。 范例 使用findwild命令可以让你找到带有特殊形式的指令链。 细想如下范例: !mona findwild -s "push r32 # * # pop eax # inc eax # * # retn"选项”-s”指定链的形态: 用 ‘#‘将指令分隔开 r32 为任意32位寄存器 [*]为任意指令序列 [*]-depth : maximum length of the chain [*]-b : base address for the search [*]-t : top address for the search [*]-all: returns also chains which contain “bad” instructions, i.e. instructions that might break the chain (jumps, calls, etc…) Mona可以找到ROP gadgets并利用它们构造ROP链,但是我将不在这部分讲解这方面的相关内容,因为这里我假设你并不知道ROP链的含义及关于ROP的概念。正如我曾说过的,如果这篇文章讲述的内容让你难以理解,那么请不要担心。尽管学习该系列的下一部分文章吧。 ◆3 结构化异常处理(SEH) 异常处理器以一种单链表的形式存在,它和每个线程有关。一般说来,链表的节点被分配在栈上。某一位于TEB (Thread Environment Block)的起始位置的指针指向链表头,因此当代码想要添加一个新的异常处理器时,某一新节点会被添加到链表头并且在TEB里的指针所指向的位置会被改变,进而指向新节点。 每个节点固有_EXCEPTION_REGISTRATION_RECORD类型并且会存储处理器的地址及链表下个节点的一个指针。奇怪的是,链表上一节点的“next pointer”不是null但是它等价于0xffffffff。 确切的定义如下: 0:000> dt _EXCEPTION_REGISTRATION_RECORDntdll!_EXCEPTION_REGISTRATION_RECORD +◆00 Next : Ptr32 _EXCEPTION_REGISTRATION_RECORD +◆04 Handler : Ptr32 _EXCEPTION_DISPOSITIONTEB可被段选择子fs访问(始于 fs:[0]), 因此通常可看到代码如下: mov eax, dword ptr fs:[00000000h] ; retrieve the headpush eax ; save the old headlea eax, [ebp-10h]mov dword ptr fs:[00000000h], eax ; set the new head...mov ecx, dword ptr [ebp-10h] ; get the old head (NEXT field of the current head)mov dword ptr fs:[00000000h], ecx ; restore the old head编译器通常会注册单个全局句柄,它能意识到被程序执行过的区域(这依赖于某一全局变量)并且当它被调用时会有根据地作出行为。 因为每个线程都有一个不同的TEB,因此操作系统会确保段被fs选择,fs总会引用准确的TEB(即当前线程之一)。 通过读取与TEB的Self区域相符的 fs:[18h]得到TEB的地址。 列出TEB的信息如下: 0:000> !tebTEB at 7efdd000 ExceptionList: 003ef804 ----------------------- StackBase: 003f0000 StackLimit: 003ed000 SubSystemTib: 00000000 FiberData: 00001e00 ArbitraryUserPointer: 00000000 Self: 7efdd000 EnvironmentPointer: 00000000 ClientId: 00001644 . 00000914 RpcHandle: 00000000 Tls Storage: 7efdd02c PEB Address: 7efde000 LastErrorValue: 2 LastStatusValue: c0000034 Count Owned Locks: 0 HardErrorMode: 0现在我们可以证实fs引用TEB: 0:000> dg fs P Si Gr Pr LoSel Base Limit Type l ze an es ng Flags---- -------- -------- ---------- - -- -- -- -- --------0053 7efdd000 00000fff Data RW Ac 3 Bg By P Nl 000004f3正如我们在之前讲述过的, fs:18h含有TEB的地址: 0:000> ? poi(fs:[18])Evaluate expression: 2130563072 = 7efdd000记住:poi会对某一指针进行解引用操作并且使用‘?’来对某一表达式进行求值操作。 我们看看ExceptionList 指向的结构体名: 0:000> dt nt!_NT_TIB ExceptionListntdll!_NT_TIB +◆00 ExceptionList : Ptr32 _EXCEPTION_REGISTRATION_RECORD正如我们已经说过的那样,这意味着每个节点会是_EXCEPTION_REGISTRATION_RECORD的某一实例。使用!slist命令展示出整个链表的信息: 0:000> !slist $teb _EXCEPTION_REGISTRATION_RECORDSLIST HEADER: +◆00 Alignment : 3f0000003ef804 +◆00 Next : 3ef804 +◆04 Depth : 0 +◆06 Sequence : 3fSLIST CONTENTS:003ef804 +◆00 Next : ◆03ef850 _EXCEPTION_REGISTRATION_RECORD +◆04 Handler : 0x6d5da0d5 _EXCEPTION_DISPOSITION MSVCR120!_except_handler4+0003ef850 +◆00 Next : ◆03ef89c _EXCEPTION_REGISTRATION_RECORD +◆04 Handler : ◆0271709 _EXCEPTION_DISPOSITION +0003ef89c +◆00 Next : 0xffffffff _EXCEPTION_REGISTRATION_RECORD +◆04 Handler : 0x77e21985 _EXCEPTION_DISPOSITION ntdll!_except_handler4+0ffffffff +◆00 Next : ???? +◆04 Handler : ????Can't read memory at ffffffff, error 0记住$teb表示的是TEB的地址. 以下使用了一种更简洁的方法来展示异常处理链的信息: 0:000> !exchain003ef804: MSVCR120!_except_handler4+0 (6d5da0d5) CRT scope 0, func: MSVCR120!doexit+116 (6d613b3b)003ef850: exploitme3+1709 (00271709)003ef89c: ntdll!_except_handler4+0 (77e21985) CRT scope 0, filter: ntdll!__RtlUserThreadStart+2e (77e21c78) func: ntdll!__RtlUserThreadStart+63 (77e238cb)We can also examine the exception handler chain manually:0:000> dt 003ef804 _EXCEPTION_REGISTRATION_RECORDMSVCR120!_EXCEPTION_REGISTRATION_RECORD +◆00 Next : ◆03ef850 _EXCEPTION_REGISTRATION_RECORD +◆04 Handler : 0x6d5da0d5 _EXCEPTION_DISPOSITION MSVCR120!_except_handler4+00:000> dt ◆03ef850 _EXCEPTION_REGISTRATION_RECORDMSVCR120!_EXCEPTION_REGISTRATION_RECORD +◆00 Next : ◆03ef89c _EXCEPTION_REGISTRATION_RECORD +◆04 Handler : ◆0271709 _EXCEPTION_DISPOSITION +00:000> dt ◆03ef89c _EXCEPTION_REGISTRATION_RECORDMSVCR120!_EXCEPTION_REGISTRATION_RECORD +◆00 Next : 0xffffffff _EXCEPTION_REGISTRATION_RECORD +◆04 Handler : 0x77e21985 _EXCEPTION_DISPOSITION ntdll!_except_handler4+0 |
|