【技术分享】使用结构化异常处理绕过CFG

预估稿费：160RMB

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

0x00 前言

本文所讲的技术基于泄漏栈地址并覆盖结构化异常处理，从而绕过CFG。

为了方便绕过，我再次选择了使用IE11的漏洞（MS16-063），在我之前的绕过CFG的文章中使用过（1，2）。

0x01 泄漏栈

我已经有了PoC文件Clean_PoC.html，其利用漏洞获得一个读写原语，但是不够深入。在下个PoC文件Leaking_Stack.html中能泄漏当前线程的堆栈限制，这个可以通过使用kernelbase.dll中的GetCurrentThreadStackLimits做到。它执行的方法是，通过覆盖TypedArray对象的虚函数表，并使用下面的调用：

在虚表偏移0x188处，能直接在javascript代码中调用，并且有两个参数，这是重要的，因为这个函数必须有相同数量的参数，否则堆栈不会平衡会触发异常。

GetCurrentThreadStackLimits满足Javascript的调用要求，MSDN中介绍如下：

它有两个参数，并返回栈基址和栈的最大保留地址。通过两步能找到GetCurrentThreadStackLimits的地址，首先泄漏一个kernelbase.dll的指针，然后在DLL中定位函数。第一部分能通过在定位jscript9中的Segment：：Initialize函数来完成，因为他使用了kernel32！VirtualAllocStub，继而调用kernelbase!VirtualAlloc。我通过扫描jscript9的虚函数地址并计算哈希找到了这个函数，然后使用读原语。算法如下：

通过5个DWORD相加，每次向前一个字节遍历直到正确的哈希被找到。调用Kernel32！VirtualAlloc的位置在Segment：：Initialize中偏移0x37处：

读取指针得到：

在偏移0x6处包含了跳转向kernelbase！VirtualAlloc：

现在我们有了kernelbase.dll的地址，然后我们使用和Segment：：Initialize一样的方法找到GetCurrentThreadStackLimits的地址，代码如下：

我们现在像Theori的原始利用中一样创建一个假的虚表，并在这个函数指针的偏移0x188处覆盖虚表入口，同时记住增大TypedArray的参数大小，代码如下：

运行并在GetCurrentThreadStackLimits中打断点：

上图显示了栈的上下限制。为了从这得到能控制的指令指针，我定位了栈中的SEH链，并覆盖了一个入口，然后触发异常。虽然做了这些，但是需要记住的是Windows 10开启了SEHOP。因为SEH指针不被CFG保护，这将能绕过CFG和RFG。这些实现在文件Getting_Control.html中。

为了实现这个，我需要定位栈中的SEH链，泄漏栈限制后的SEH链如下：

调试异常将变得很清晰，5个异常处理指针指向jscript9，同时MSHTML！_except_handler4似乎是个死循环。因此如果我们能覆盖5个javascript异常中的任意一个，并触发一个异常，我们将得到可控制的指令指针。在古老过时的SEH覆盖利用中通常是通过栈缓冲区溢出来覆盖SEH链，但是这将触发SEHOP，因此我们只想覆盖一个异常处理的SEH记录同时保持NSEH完整。因此这个覆盖必须精确，且SEH记录的栈地址必须泄漏。为了完成这次泄漏，我们将扫描栈，搜索SEH链，为了确保我们找到它，我们能验证最后一个异常处理是ntdll!FinalExceptionHandlerPadXX。因为最后一个异常处理函数会随着程序重启而改变，因此泄漏分为两步，首先找到正确的最后一个异常处理函数，然后再是SEH链。为了完成第一个泄漏，搜索栈中ntdll！_except_handler4，因为在栈中上下搜索它只会遇到一次：

剩下的问题是，找到ntdll!_except_handler4的地址，但是这非常简单，因为能从任何被CFG保护的函数中找到ntdll.dll的指针并包含一个间接调用。CFG的验证包含ntdll!LdrpValidateUserCallTarget的调用，并且jscript9被CFG保护，任意间接调用的函数都包含ntdll.dll的指针。在TypedArray对象虚表中偏移0x10处就有这么一个函数：