Exploit开发系列教程-Mona 2& SEH

author:P3nro5e

0x00 Mona 2 前言 & 准备

Mona 2是一种非常有用的插件,它由Corelan Team开发。起初是为Immunity Debugger写的,现在它适用于WinDbg调试器。

你将需要为WinDbg x86 和 WinDbg x64安装一些工具:

安装Python 2.7 (从这里可下载到) 。

x86 和 x64版本的工具分别安装在不同的目录里,如c:\python27(32) 和c:\python27。

这里下载正确的zip包(请下载pykd-0.2.0.29-python-2.7.zip这个压缩包),接着提取并运行vcredist_x86.exe 和 vcredist_x64.exe。

从这里下载两个exe程序(x86版和x64版),接着执行它们。

从这里下载windbglib.py和mona.py,并将它们放置到WinDbg.exe所在的目录中。

配置符号搜索路径如下:

通过File→Symbol File Path

输入

3.保存工作区(File→Save Workspace).

在WinDbg下运行mona.py

用WinDbg运行mona.py的范例:

1.使用如下命令加载pykd插件

2.运行mona使用命令如下:

更新mona 输入如下:

0x01 配置

工作目录

在mona的工作目录里,mona的多数函数将数据转储到已创建的文件中。我们可以具体指定某个工作目录,这取决于使用的格式说明符%p (process name) 和 %i (process id)指定的进程名和id。

例如,输入:

排除模块

你可以用如下操作排除指定模块:

作者

你也可以设定作者:

当产生与metasploit兼容的输出内容时可以使用该信息。

重点

如果WinDbg和mona都没有出错,那么请试试以管理员身份运行WinDbg。

0x02 Mona的手册

你可以在这里找到更多关于Mona的信息。

范例

该范例引用自Mona的手册. 现在来说明如下代码中我们控制的ECX的值:

我们想要使用那段代码以jmp到我们的shellcode(即我们注入到进程中的代码),它的地址位于ESP+4,因此我们需要调用如上调用的一些指令,如“ADD ESP, 4 | RET“。上面的代码有许多间接的操作:

首先我们需要找到p3:

如上使用的命令可以让你在stackpivots内的指定偏移范围在mix~max之间找到等价于ADD ESP, X | RET代码的指针,通过选项-distance min,max来指定偏移范围。

已发现指针/地址会被写入到c:\logs\stackpivot.txt

现在我们已经有我们的p3指针(许多p3指针!)了,我们还需找到p1:

下面来了解那些选项的含义:

使用“-x *”选项意味着你要 “accept addresses in pages with any access level” (正如另一个范例所示, 用 “-x X”选项说明我们仅在可执行页中定位).

“-level 2”具体指定要间接操作的指令层级,它告知mona找出“a pointer (p1) to a pointer (p2)to a pointer (p3)”。 前两个选项 (-type 和 -s)指定ps必须是指针,它被列出在文件“c:\logs\stackpivot.txt“里。

使用“-offsetlevel 2” 和 “-offset 58”选项告知mona用偏移58h来进行增值操作时,第二个指针(p2)必须指向第三个指针(p3)。

如果这个范例并不能让你对其内容有较好的理解,请你不要担心。这个范例仅向你展示了WinDbg中利用Mona插件可以实现的一些功能。当然,我也承认这个命令的语法不是非常易懂。

范例

使用findwild命令可以让你找到带有特殊形式的指令链。 细想如下范例:

选项”-s”指定链的形态:

用 ‘#‘将指令分隔开

r32 为任意32位寄存器

  • 为任意指令序列

可选参数为:

  • -depth<nr>: maximum length of the chain
  • -b<address>: base address for the search
  • -t<address>: top address for the search
  • -all: returns also chains which contain “bad” instructions, i.e. instructions that might break the chain (jumps, calls, etc…)

ROP链

Mona可以找到ROP gadgets并利用它们构造ROP链,但是我将不在这部分讲解这方面的相关内容,因为这里我假设你并不知道ROP链的含义及关于ROP的概念。正如我曾说过的,如果这篇文章讲述的内容让你难以理解,那么请不要担心。尽管学习该系列的下一部分文章吧。

0x03 结构化异常处理(SEH)

异常处理器以一种单链表的形式存在,它和每个线程有关。一般说来,链表的节点被分配在栈上。某一位于TEB (Thread Environment Block)的起始位置的指针指向链表头,因此当代码想要添加一个新的异常处理器时,某一新节点会被添加到链表头并且在TEB里的指针所指向的位置会被改变,进而指向新节点。

每个节点固有_EXCEPTION_REGISTRATION_RECORD类型并且会存储处理器的地址及链表下个节点的一个指针。奇怪的是,链表上一节点的“next pointer”不是null但是它等价于0xffffffff。

确切的定义如下:

TEB可被段选择子fs访问(始于 fs:[0]), 因此通常可看到代码如下:

编译器通常会注册单个全局句柄,它能意识到被程序执行过的区域(这依赖于某一全局变量)并且当它被调用时会有根据地作出行为。

因为每个线程都有一个不同的TEB,因此操作系统会确保段被fs选择,fs总会引用准确的TEB(即当前线程之一)。 通过读取与TEB的Self区域相符的 fs:[18h]得到TEB的地址。

列出TEB的信息如下:

现在我们可以证实fs引用TEB:

正如我们在之前讲述过的, fs:18h含有TEB的地址:

记住:poi会对某一指针进行解引用操作并且使用‘?’来对某一表达式进行求值操作。 我们看看ExceptionList 指向的结构体名:

正如我们已经说过的那样,这意味着每个节点会是_EXCEPTION_REGISTRATION_RECORD的某一实例。使用!slist命令展示出整个链表的信息:

记住$teb表示的是TEB的地址.

以下使用了一种更简洁的方法来展示异常处理链的信息:

评论