读0day第三章开发shellcode艺术Jmp esp

最新推荐文章于 2020-11-16 19:59:10 发布
最新推荐文章于 2020-11-16 19:59:10 发布
阅读量551 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Old_Yu/article/details/73729512
版权

环境:XP sp2 中文版

老规矩,上代码

(代码来自0day2电子资料->02栈溢出原理与实践->2_4_overflow_code_exec.c) 

/*****************************************************************************
      To be the apostrophe which changed "Impossible" into "I'm possible"!
		
POC code of chapter 2.4 in book "Vulnerability Exploit and Analysis Technique"
 
file name	: stack_overflow_exec.c
author		: failwest  
date		: 2006.10.1
description	: demo show how to redirect EIP to executed extra binary code in buffer
Noticed		: should be complied with VC6.0 and build into debug version
				the address of MessageboxA and the start of machine code in buffer
				have to be make sure in file "password.txt" via runtime debugging
version		: 1.0
E-mail		: failwest@gmail.com
		
	Only for educational purposes    enjoy the fun from exploiting :)
******************************************************************************/
#include <stdio.h>
#include <windows.h>
#define PASSWORD "1234567"
int verify_password (char *password)
{
	int authenticated;
	char buffer[44];
	authenticated=strcmp(password,PASSWORD);
	strcpy(buffer,password);//over flowed here!	
	return authenticated;
}
main()
{
	int valid_flag=0;
	char password[1024];
	FILE * fp;
	LoadLibrary("user32.dll");//prepare for messagebox
	if(!(fp=fopen("password.txt","rw+")))
	{
		exit(0);
	}
//	fscanf(fp,"%s",password);//遇到0B就断了
	fread(password,1,sizeof(password),fp);
	valid_flag = verify_password(password);
	if(valid_flag)
	{
		printf("incorrect password!\n");
	}
	else
	{
		printf("Congratulation! You have passed the verification!\n");
	}
	fclose(fp);
}

---------------------------------------------------------------------------------------------------

这里说明下,原版作者读入password用的fscanf,但因为我的环境里有0的bad chars(0B 05 05),所以读到一部分就读不了了。于是我换成了fread

---------------------------------------------------------------------------------------------------

当函数执行到verify_password 的retn时

OD里如下

1.

2.由于返回地址被覆盖成了jmp esp 指令地址,单步返回到达了jmp esp,我这里用的对Windows 2000、XP、2003中文通杀地址0x7ffa4512

3.由于esp指向到shellcode,所以接着shellcode被执行

-----------------------------------------------昏割线----------------------------------------------

整个原理可用下图说明: (自己用wps的excel功能画的。。。丑陋的图。。。)

简单总结:跳板技术不限于jmp esp, mov eax/esp, jmp eax 均可。如何构造缓冲区是这门技术的重点.

ps:今天太累了,所以本文写得很粗糙,可能讲得不清楚,后面再把一些细节和原理补上。

再ps:开源中国的编辑器编辑图片的功能用得不爽啊!

Old_Yu
关注
第3章 开发shellcode艺术(上)
yellow的博客
03-01 463
借用jmp esp指令完成2.4节的代码植入
jmp esp 为跳板的shellcode开发
热门推荐
##
11-25 1万+
0x00 Shellcode概述 Shellcode与exploit 1) shellcode:缓冲区攻击中植入进程的代码。进行删改文件、窃取数据、上传木马并运行、格式话硬盘等。用汇编语言编写,并转换成二进制机器码,内容和长度受到苛刻限制。 2) exploit: 漏洞利用程序,用于生成攻击性的网络数据包或其他形式的攻击性输入。exploit的核心是淹没返回地址,劫持进程控制权,跳去执行shel
记录学习《0Day安全》路上遇到的问题解决方案 -- 开发shellcode艺术
Z_LiT0的博客
04-18 820
ps: 阅这本书籍,希望留下点什么~__author__ == "lit0"问题1: jmp esp定位问题描述: jmp esp 是动态执行shellcode的关键,一般的,只需要执行内存任何jmp esp语句就可以跳转到esp指向的地址即shellcode地址使代码执行成功。 下面的代码是载入user32.dll 获取 jmp esp内存地址。# include<stdio.h> # in
jmp esp执行shellcode
Sakura给爷pwn全场
11-16 272
关于 [栈溢出后jmp esp执行shellcode] 原理分析: http://www.mamicode.com/info-detail-2506484.html
[0day安全-学习总结]第三章开发shellcode艺术shellocde编码解码原理
流浪天空
03-01 1517
自己大概地梳理了一下逻辑,下面再次总结一下: 1.      编写用于攻击的汇编代码shellcode_asm.c,经过c内联汇编,然后编译,在OD中得到汇编对应的十六进制代码,此即为shellcode_sc 2.      按框1可以直接运行出结果 3.      开始对shellcode_sc编码,编写特定的C编码函数,放入main函数中,来对shellcode_sc加密,并
0day shellcode编写艺术】—— jmp esp、动态获取api。后续:编码、压缩
desword-- 技术,杂文。
12-11 2770
此次主要徒手体会了一下编写shellcode 的不容易。当真不容易,看着作者的代码,都感觉自己无处可以下手了。 需要的底层原理知识也还挺多需要补充上去的。 打算后期再逐渐补充。目前阶段将jmp esp弄懂了。后面动态获取api在主机上出错了。问题和搜索jmp esp代码时候貌似一样,产生访问越权的问题。后期再继续解决吧。 目前整理一下整个的思路。 1、shellcode、expoit的概念;
0day 第12章--12.3.3 Ret2Libc实战之利用VirtualAlloc
I have a dream
04-08 434
实验环境: Winxp sp3 VS2010 实验配置: 禁用优化、关闭GS、关闭safeseh、开启DEP 思路:当程序需要一段可执行内存时,可以通过kernel32.dll的VirtualAlloc申请一段具有可执行属性的内存。因此可通过利用此函数将shellcode复制到申请的内存空间中,以绕过DEP。 如何利用? 将返回地址覆盖为VirtualAlloc的地址,参数输入进去即可。 ...
0day安全》——数据与程序的分水岭:DEP
sunr_的博客
08-31 535
DEP机制的保护原理 溢出攻击的根源在于区分不了代码与数据。 DEP 的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入 shellcode 时,程序会尝试在数据页面上执行指令,此时 CPU 就会抛出异常,而不是去执行恶意指令。 DEP 的主要作用是阻止数据页(如默认的堆页、各种堆栈页以及内存池页)执行代码。微软从 Windows XP SP2 开始提供这种技术支持,根据实现的机制不同可分为:软件 DEP( Software DEP)和硬件 DEP( Hardware-enforced DEP
文件类漏洞ShellCode的查找
Coisini的博客
06-09 357
题记:还是非常想把这个题目完成,放了这么久,也修改了几个版本,都不满意,今天算是推倒重新来写,尽可能把自己知道的东西写出来,学习需要不断的总结积累,上周日骑车出去,看到一句话:学习是一种信仰,记录下来,作为提醒自己去学习的警句。 目录 0x_1.何为文件类漏洞 0x_2.文件类漏洞的分类 0x_3.查找文件类漏洞ShellCode的方法 0x_4.例子 0x_5.总结 0x_1.何为文件类漏...
Windows Shellcode学习笔记——栈溢出中对jmp esp的利用与优化
weixin_33787529的博客
09-20 549
本文讲的是Windows Shellcode学习笔记——栈溢出中对jmp esp的利用与优化, 0x00 前言 在《Windows Shellcode学习笔记——shellcode在栈溢出中的利用与优化》中对栈溢出的利用做了介绍。通过将返回地址覆盖为shellcode在内存中的起始地址,实现对栈溢出的利用 但是shellcode在内存中的起始地址往往不...
利用JMP ESP植入SHELLCODE
weixin_44723038的博客
10-19 1156
当我们使用构造shellcode覆盖返回地址跳转到shellcode植入点的位置进行攻击时,常常很难找到该地址的具体位置,无法到达目标计算机上去调试,因此更常用的是利用JMP ESP指令来进行攻击。 代码: #include <stdio.h> #include <windows.h> #include <stdlib.h> #define PASSWORD ...
万能jmp esp
gxustudent的专栏
07-22 1151
0x7ffa4512(JMP ESP),据说2000, xp, 2003下通用.
ShellCode欺骗的艺术
zfdyq
12-23 1587
网上看到一份ShellCode  非常NICE  ,用来抛砖引玉! sub sp,0x440 xor ebx,ebx push ebx push 0x74736577 push 0x6c696166 mov eax,esp push ebx push eax push eax push ebx mov e
JMP ESP =>SEH(CALL EBX)
Yatere的天平秤
01-23 1592
首先你要知道怎么利用JMP ESP的方式 其利用格式是ORS,这里O=NOP,R=RET(jmp esp的地址),S=ShellCode。就是把缓冲区一直覆盖成NOP(空指令,什么都不做),直到原来的EIP位置时,J JMP ESP,紧跟后面才是我们的ShellCode。  这种方式执行到ShellCode的原理:正常情况下,函数返回时,RET,等于POP EIP,即回复原来PUSH的EIP
shellcodeJMP ESPJMP EBX [转载]
turbocc 因程序而激情
08-19 865
shellcodeJMP ESPJMP EBX 2010-04-02 10:32堆栈溢出在我们exploit时常用到,利用其一般方式是:JMP ESPJMP EBX;<br />昨天有一“同学”问我关于JMP EBX详细的问题,所以在此介绍一下:<br /><br />1 JMP ESP<br />函数调用后的堆栈结构:<br />    L<br />    L -> child program of Local variable<br />    L -> 一般情况下此处保存的ebp<
缓冲区溢出(栈溢出)实验 之 JMP ESP
大头的博客
07-27 9639
3、缓冲区溢出之JMP ESP 本文属于原创,如有错误请指正。其中引用他人的部分已经标出,如涉及版权问题请联系本人 这里不得不讲一讲JMP ESP的原理了,在实验之前我一直没看懂他是如何试下跳转ESP之后回到栈区执行我们的shellcode的。在实验中你仔细观看会发现随着函数栈的销毁ESP是在变化的,JMP ESP正式利用这种变化,将我们精心准备的shellcode执行。   JMP ES...
栈溢出 利用jmp esp绕过栈帧移位
Misaka10046的博客
09-16 560
实验代码 #include<stdio.h> #include<windows.h> #define PASSWORD "1234567" int verify_password(char *password) { int authenticated; char buffer[44]; authenticated = strcmp(password,PASSWORD); strcpy(buffer,password);//overflowed return authenti
栈溢出利用-----jmp esp
qq_41683305的博客
02-14 1013
通过jmp esp利用栈溢出,首先我们要找出jmp esp 的地址,因为系统不同,通用jmp esp的地址可能不同,下面的代码是找出jmp esp的地址的: #include<windows.h> #include<iostream.h> #include<tchar.h> int main() { int nRetCode=0; bool we_load_i...
软件漏洞分析技术:0day安全攻防实践指南
本书籍《0day安全:软件漏洞分析技术(第2版)》是介绍软件漏洞分析技术的专业书籍,涵盖了缓冲区溢出漏洞、操作系统内核漏洞、shellcode等各种信息安全知识。本书籍共分为五篇33章,系统、全面地介绍了Windows平台...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值