敲黑板敲黑板~~今天我們繼續~
上次講到SafeSEH的突破，介紹了一個簡單的利用堆繞過SafeSEH突破SafeSEH機制之一——利用堆繞過SafeSEH
本篇總共遇到了3個問題還沒有解決，有沒有大神幫我解答一下，我都把問題背景給標黃了。
突破思路：
那么有3種情況，系統可以允許異常處理函數執行：
1、異常處理函數位于加載模塊內存范圍之外，DEP關閉
2、異常處理函數位于加載模塊內存范圍之內，相應模塊未啟用SafeSEH（SafeSEH表為空），不是純IL（本次要調試的）
3、異常處理函數位于加載模塊內存范圍之內，相應模塊啟用SafeSEH，異常處理函數地址包含在SafeSEH表中（放棄）

可以看到，我們突破SafeSEH的方法分為3種
1、排除DEP干擾，在加載模塊內存范圍外找一個跳板指令就可以轉入shellcode執行
2、利用未啟用SafeSEH模塊中的指令作為跳板，轉入shellcode執行
3、由于SafeSEH表加密，對于新手的我暫時不考慮了。

今天我們一起調試第2種，加載模塊未啟用SafeSEH，啥意思？
簡單來說，就是... 知道LoadLibrary吧，知道dll吧？系統會在程序運行的時候提供各種各樣的模塊供程序加載調用（kernel32.dll,user32.dll等），

這些程序加載的模塊由于某種原因沒有啟用SafeSEH，這樣就可以為我們所用！一般來說，這些系統提供的dll都會有啟用SafeSEH，為了本次實驗，

我們自己制作一個沒有啟用SafeSEH的dll。

第一步 編寫一個包含異常處理的漏洞程序
環境:
XP SP3
VS 2008
禁止優化選項（C/C++------optimization：disable）
Release版本編譯
關閉DEP（還是那個問題，我在vs2008里并沒有關閉DEP（截圖在上一個帖子），可是執行結果卻沒有影響，有沒有遇到相同問題的同學？？）


代碼：

現將shellcode用90來進行填充，從代碼我們可以看出，通過向str進行超長字符串溢出，覆蓋SEH鏈，劫持異常程序處理流程。
那么我們將程序劫持到哪里呢？shellcode？恐怕不行，因為在進行有效性檢查之前，會查看這個地址，如果這個指針指向棧，就會直接終止調用。
所以，我們必須將程序劫持到一個棧外的地址，并且沒有SafeSEH表的模塊中，執行這個模塊的某一個指令（一般是跳板指令），再跳回到shellcode執行。完美~

第二步 找地址！
找什么地址？
shellcode字符串在棧中的首地址A
需要溢出的異常處理函數指針位置，也就是溢出點B
根據B-A+4確定（溢出點上半部分的）shellcode的大小（劃重點，劃重點了！！！）
為什么說，這次B-A+4不是shellcode 的大小？因為shellcode的布置不再是shellcode+若干90+覆蓋地址
因為覆蓋的指針不能直接跳往shellcode啊，所以我們得用一個棧外地址、并且沒有SafeSEH的模塊中的跳轉指令跳到shellcode，這樣的話shellcode的布置就不再

像以往那么簡單，就想到jmp esp這種類似的跳轉指令了，

考慮用pop pop ret之類的指令，后面調試的時候告訴你為什么。
shellcode布置200個90，調試：
 
還是直接運行到strcpy后面，搜索9090，記下shellcode首地址A：0x0012FE84


拉到棧下面，就是200個字節覆蓋的盡頭~查看還有多遠才能覆蓋到SEH：
 
得到B地址 溢出點地址：0x0012FF60
B-A=220字節

第三步 布置shellcode
我們遇到了無法直接跳往shellcode的情況，考慮跳板指令，用跳板指令，一般shellcode就在覆蓋地址的后面，要不就是jmp esp 或者ret
在調試的時候，我們發現在test函數剛進入的時候，會在Security cookie+4的地方壓入一個-2，在準備出try{}的時候，又把這個值改動成0。原理我也不

太清楚，只要我們知道，這里有一個值，他是在溢出點B下方（+8的高地址）
 
這就出現問題了，我們如果想把shellcode布置在溢出點后面，用跳板指令跳到接下來的地址，但是shellcode有可能被這樣一個機制修改，導致shellcode被破壞，怎么辦？
幸虧shellcode被破壞的地方不多，也是僅僅溢出點后面2個DWORD，所以這兩個DWORD我們用無關的90填充，接下來再填充shellcode。

接下來就是跳轉指令的選擇了，怎么能在執行溢出點的異常處理函數后，再跳回來呢，這就需要我們的SafeSEH OFF的模塊了
如果shellcode緊鄰著溢出點B，我們可以直接找ret指令的函數，跳回來繼續執行shellcode，由于用了兩個DWORD填充shellcode前兩個字節，所以考慮選擇pop pop ret指令
shellcode布置如下：
220字節0x90||4字節pop pop ret地址||8字節0x90||168字節shellcode內容

好了，還剩最后一個問題了，跳板指令地址哪里來？我們自己構造一個dll，包含這個指令的。

第四步 制作SafeSEH OFF的DLL
環境：
XP SP3
VC 6.0（編譯器不會啟用SafeSEH）
鏈接選項：/base:"0x11120000"(這里是防止跳轉指令地址出現0x00截斷字符串，問題：如果跳轉指令必須有00，怎么處理，大神快告訴我)