Question

像第一部分说的那样，我不会解释 SEH 全部细节，但我会给你足够的信息了解它. 我非常建议你做更深层次的研究. SEH 是 Windows 系统的一项机制，它使用链表结构记录一系列数据. 当一个异常触发，操作系统会遍历这个链表. 异常处理程序可以评估能否处理这个异常，不能的话就传给链表的下一个处理函数. 处理异常必须满足两个要去:(1) 一个指向当前异常处理函数的指针(SEH) (2) 指向下一个异常处理结构的指针(Nseh). 因为 Windows 堆栈是向下生长的，所以我们看到异常处理结构是颠倒的[nSEH…[SEH]. 当一个异常出现，最近一个 nSEH 的地址会保存在 esp+8 地址处。

你可能会想这和漏洞利用有什么关系. 如果我们能够控制一大块缓冲区并且覆写其中一个异常处理函数，异常发生时候 Windows 会把寄存器清 0, 因此不能直接跳到 Shellcode. 幸运的是这个保护机制有缺陷，我们只需要用 pop pop retn 指令地址覆盖掉 SEH. 记住 esp+8 处保存着 nSEH 的地址, pop pop retn 执行后程序最终会跳到 nSEH 处执行. 我们可以控制 nSEH 这四个字节的空间，通过在这四个字节空间写入指令跳转到 Shellcode.

这听起来有点复杂，实际上 SEH 利用十分简单，下面的例子将会演示 SEH 利用。