关于 [栈溢出后jmp esp执行shellcode] 原理分析

最新推荐文章于 2020-11-16 19:59:10 发布
最新推荐文章于 2020-11-16 19:59:10 发布
阅读量6.2k 收藏 23
点赞数 10
分类专栏: 溢出 Exploit Exploit 文章标签: windows 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiangminghate/article/details/53333710
版权
Exploit 同时被 3 个专栏收录
20 篇文章 1 订阅
订阅专栏
Exploit
17 篇文章 0 订阅
订阅专栏
溢出
11 篇文章 0 订阅
订阅专栏

    网上关于栈溢出后用jmp esp执行shellcode的文章有很多,感觉分析的都没有戳到点,所以想结合自己调试的经历写下自己的想法。

正常情况下,函数栈分布图如下:

---->栈内存由低向高方向----->
|------------栈变量----------|----ebp----|------返回地址------|函数形参|
发生溢出后,以上栈空间的内容被覆盖,可能从上面的布局变成这样: 

---->栈内存由低向高方向----->
|------------x90x90x90x90x90|x90x90x90..|shellcode缓存区的地址|x90x90.|
即,返回地址被改为一段缓存区的地址。当函数执行结束,从栈中取返回地址准备执行时,取到的是shellcode的地址,最终跳进shellcode执行。这段shellcode的地址一般被硬编码为某个地址,这个地址可以存在于程序空间的任何地方,只要有执行权限。

就像写代码时用绝对路径读取配置文件的内容,偶尔会出错一样,为了解决这种错误,可能会用相对程序运行时的路径去获取配置文件的内容。硬编码shellcode的地址也会出错,于是先人提出一种相对定位shellcode地址的方法,这就是jmp esp。

这用到了栈指针esp的一个特性:当函数执行ret指令后,Eip寄存器发生了跳转,但Esp还指向函数形参在栈中的地址。如示意图:

ret返回前 esp的位置:

---->栈内存由低向高方向----->
|------------栈变量----------|----ebp----|------返回地址------|函数形参|
                                        ^
                                        |
                                       esp指向这个位置
ret返回后 esp的位置 

---->栈内存由低向高方向----->
|------------栈变量----------|----ebp----|------返回地址------|函数形参|
                                                            ^
                                                            |
                                                           esp指向这个位置
相对于Eip的跳跃性----ret以后Eip指向天南地北了,Esp具有相对比较稳定的连续性----至少在刚才栈内存的附近。于是,当Eip在后续执行过程中,遇到了jmp esp指令,仍会回到上图中esp指向的函数形参位置执行,执行shellcode的剩余部分。

跳转后,执行的位置确定了,剩下的问题就是寻找用户可访问空间中,哪段内存地址包含了jmp esp这样的指令。于是OD可能提供了这样的插件,用于寻找这样的地址,比如找到0x00ABCDEF这个地址上包含了jmp esp指令。于是,栈溢出后,在返回地址处填入0x00ABCDEF。当被溢出的函数执行ret指令时,首先会跳转到0x00ABCDEF处取指执行。取到的结果是jmp esp,于是Eip被设置成Esp的值---即上图中本是存放函数形参,现在被shellcode覆盖的栈内存处继续执行


Eugene800
关注
专栏目录
【0day shellcode编写艺术】—— jmp esp、动态获取api。后续:编码、压缩
desword-- 技术,杂文。
12-11 2770
此次主要徒手体会了一下编写shellcode 的不容易。当真不容易,看着作者的代码,都感觉自己无处可以下手了。 需要的底层原理知识也还挺多需要补充上去的。 打算后期再逐渐补充。目前阶段将jmp esp弄懂了。后面动态获取api在主机上出错了。问题和搜索jmp esp代码时候貌似一样,产生访问越权的问题。后期再继续解决吧。 目前整理一下整个的思路。 1、shellcode、expoit的概念;
jmp esp 为跳板的shellcode开发
热门推荐
##
11-25 1万+
0x00 Shellcode概述 Shellcode与exploit 1) shellcode:缓冲区攻击中植入进程的代码。进行删改文件、窃取数据、上传木马并运行、格式话硬盘等。用汇编语言编写,并转换成二进制机器码,内容和长度受到苛刻限制。 2) exploit: 漏洞利用程序,用于生成攻击性的网络数据包或其他形式的攻击性输入。exploit的核心是淹没返回地址,劫持进程控制权,跳去执行shel
jmp esp执行shellcode
Sakura给爷pwn全场
11-16 272
关于 [栈溢出jmp esp执行shellcode] 原理分析: http://www.mamicode.com/info-detail-2506484.html
读0day第三章开发shellcode艺术Jmp esp
chengkou8481的博客
05-27 205
环境:XPsp2中文版 老规矩,上代码 (代码来自0day2电子资料->02栈溢出原理与实践->2_4_overflow_code_exec.c) /*******************************************************...
万能jmp esp
gxustudent的专栏
07-22 1153
0x7ffa4512(JMP ESP),据说2000, xp, 2003下通用.
JMP ESP =>SEH(CALL EBX)
Yatere的天平秤
01-23 1593
首先你要知道怎么利用JMP ESP的方式 其利用格式是ORS,这里O=NOP,R=RET(jmp esp的地址),S=ShellCode。就是把缓冲区一直覆盖成NOP(空指令,什么都不做),直到原来的EIP位置时,J JMP ESP,紧跟后面才是我们的ShellCode。  这种方式执行ShellCode原理:正常情况下,函数返回时,RET,等于POP EIP,即回复原来PUSH的EIP
轻松将jmp esp方式 改写为jmp ebx方式.doc
11-09
在这种方式中,我们首先将缓冲区溢出,并覆盖系统原来的东西,然后将 jmp esp 的地址写入到返回地址处,这样当函数返回时,EIP 会被设置为 jmp esp 的地址,从而跳到我们的 ShellCode 中去执行jmp esp 方式的...
栈溢出原理及解题练习
weixin_44222568的博客
04-15 1916
一个小白的慢慢理会过程
二进制菜鸟之栈溢出漏洞利用思路
Blood_Pupil的博客
08-06 963
作为一只二进制菜鸟,不,应该是作为一只各安全领域的菜鸟,感觉二进制学的还是蛮开心的,每天也都能学到点新的东西,调试代码的过程也是非常令人开心。今天总结下目前学到的栈溢出漏洞的利用思路 栈溢出漏洞简介 我们知道C语言中有些字符串操作函数不会对字符串的长度进行检查,比如strcpy。 #include<stdio.h> #include<string.h> char nam...
【逆向】栈溢出漏洞学习过程(一)通过字符串验证的简单程序分析
lanlanla的成长历程
01-08 3379
目录 前言: 1 准备程序 PS:翻车现场: 2 分析程序执行流程(栈溢出原理) 2.1 看代码中忘记的知识补充一下: 2.1.1 主函数中涉及的寄存器相关知识: 2.1.2 涉及到的指令 地址传送指令LEA PTR REP STOS int 3中断 段超越指令前缀 2.2 main函数中的初始化部分 2.3 scanf()函数部分 2.4 函数verify_pas...
缓冲区溢出(栈溢出)实验 之 JMP ESP
大头的博客
07-27 9646
3、缓冲区溢出之JMP ESP 本文属于原创,如有错误请指正。其中引用他人的部分已经标出,如涉及版权问题请联系本人 这里不得不讲一讲JMP ESP原理了,在实验之前我一直没看懂他是如何试下跳转ESP之后回到栈区执行我们的shellcode的。在实验中你仔细观看会发现随着函数栈的销毁ESP是在变化的,JMP ESP正式利用这种变化,将我们精心准备的shellcode执行。   JMP ES...
栈溢出 利用jmp esp绕过栈帧移位
Misaka10046的博客
09-16 560
实验代码 #include<stdio.h> #include<windows.h> #define PASSWORD "1234567" int verify_password(char *password) { int authenticated; char buffer[44]; authenticated = strcmp(password,PASSWORD); strcpy(buffer,password);//overflowed return authenti
栈溢出利用-----jmp esp
qq_41683305的博客
02-14 1013
通过jmp esp利用栈溢出,首先我们要找出jmp esp 的地址,因为系统不同,通用jmp esp的地址可能不同,下面的代码是找出jmp esp的地址的: #include<windows.h> #include<iostream.h> #include<tchar.h> int main() { int nRetCode=0; bool we_load_i...
exploit - windbg - find "jmp esp"
Nixawk
06-20 2269
Demo Program: Easy RM to MP3 Converter Demo Platform: Windows XP SP3Exploit StackOverflowFinal exploit code as follow:#!/usr/bin/env python # -*- coding: utf8 -*-with open("windbg_crash.m3u", "w") as
栈溢出学习(二)之 jmp esp & return2libc
Pz_mstr's Blog
03-22 3160
前言 栈溢出学习(二),针对一个例子,进行各种栈溢出技术的练习。本文内容承接栈溢出学习(一) 本文属于新手实验难度,过程比较详细,适合新手学习 样例代码 本文使用的代码如下 #include <stdio.h> #include <stdlib.h> #include <string.h> /* * compiled with: * gcc -...
shellcodeJMP ESPJMP EBX [转载]
turbocc 因程序而激情
08-19 866
shellcodeJMP ESPJMP EBX 2010-04-02 10:32堆栈溢出在我们exploit时常用到,利用其一般方式是:JMP ESPJMP EBX;<br />昨天有一“同学”问我关于JMP EBX详细的问题,所以在此介绍一下:<br /><br />1 JMP ESP<br />函数调用后的堆栈结构:<br />    L<br />    L -> child program of Local variable<br />    L -> 一般情况下此处保存的ebp<
Windows Shellcode学习笔记——栈溢出中对jmp esp的利用与优化
weixin_33787529的博客
09-20 550
本文讲的是Windows Shellcode学习笔记——栈溢出中对jmp esp的利用与优化, 0x00 前言 在《Windows Shellcode学习笔记——shellcode栈溢出中的利用与优化》中对栈溢出的利用做了介绍。通过将返回地址覆盖为shellcode在内存中的起始地址,实现对栈溢出的利用 但是shellcode在内存中的起始地址往往不...
另一种溢出方式 JMP ESP另一种溢出方式 JMP ESP
爱.NET
06-15 408
另一种溢出方式 JMP ESP另一种溢出方式 JMP ESP 信息来源:openlab.nwpu.edu.cn 以上的溢出都是靠猜测buffer地址范围来进行(当然也可以写程序不断猜测)自己写的程序当然地址很容易确定,但若攻击别人的程序就不大方便了往往要猜很多此,传统的程序猜测地址同buffer长度相关,同test()中的数据定义相关,同调用test() 的函数相关 . . . . . 要猜测的...
缓冲区溢出之JMP ESP皮毛
donghaima的专栏
01-16 857
Windows执行一个函数,会把指向正在运行的指令的地址压入堆栈,也就是寄存器EIP的值。当函数执行完毕,会让该数据出栈,以便程序继续原路运行。             如果这个函数有8个CHAR的局部变量,也压入堆栈。堆栈是从内存高地址向低地址分配的,如果这8个CHAR是放置用户输入的数据,并且如果没有检查长度的话,可能会覆盖掉高地址的记录EIP的值,如果这个值是一个非法地址,当函数返
栈溢出shellcode执行技术分析
这篇教程是针对安全研究人员和逆向工程师的一份深入指南,旨在帮助他们理解和掌握利用栈溢出漏洞执行自定义代码的技术,尤其是如何在没有"jmp esp"指令可用时找到替代的执行策略。对于想要深入理解缓冲区溢出漏洞...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值