利用Ret2Libc挑战DEP之二——利用VirtualProtect

最新推荐文章于 2022-11-08 16:03:20 发布
最新推荐文章于 2022-11-08 16:03:20 发布
阅读量844 收藏 1
点赞数 2
分类专栏: 漏洞调试 文章标签: 0day DEP VirtualProtect 漏洞调试 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yx0051/article/details/77170587
版权

感觉最近作者给出的shellcode,有一种“他就是这样”、“这样的shellcode是最合理”的感觉了。刚开始看有点看不懂,但是跟着最终实现代码一点点跟,就会发现这个代码的巧妙之处。

0x01 环境

系统:Windows 2003 SP2

编译器:VS2008

注意编译选项:

release版本

禁用优化(C++——optimization disable)

GS禁用(C++——code generation——No GS)

safeseh禁用(Link——command line——添加:“/safeseh:no”)

0x02 调试步骤

1、实验代码

char shellcode[]="90909090.."
void test()
{
	char tt[176];
	memcpy(tt,shellcode,420);
}
int main()
{
	HINSTANCE hInst = LoadLibrary(L"shell32.dll");
	char temp[200];
	__asm int 3
	test();
    return 0;
}


2、查找virtualProtect函数地址。

这个函数可以使内存某一块区域开启可执行属性。



能够看到VirtualProctect会在压进ebp相关参数后调用真正的VirtualProtectEx函数,

这4个和我们有关的参数为:


查看MSDN后,参数分别是内存设置属性的起始地址(shellcode地址)、大小(FF)、属性值(0x40)、可写的内存地址。

这里来了,第一个本实验的重点。就是参数的设置。

先压栈的[ebp+0x14]是最后一个参数,这个地址必须是一个可写的内存,我们将[ebp+0x14]根据esp的值动态确定。

最低0.47元/天 解锁文章
Yx0051
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ret2Libc 实战之利用 ZwSetInformationProcess.zip
06-11
在网络安全领域,Ret2Libc是一种常见的利用技术,主要用于攻击者通过特定的手段将程序执行流导向libc库中的任意函数,从而实现攻击目的。在这个实战案例中,我们关注的是如何利用ntdll库中的ZwSetInformationProcess...
VirtualProtect函数
热门推荐
zacklin的专栏
04-19 3万+
首先我们来看看MSDN上对VirtualProtect函数的说明。 BOOL VirtualProtect(    LPVOID lpAddress,    DWORD dwSize,    DWORD flNewProtect,    PDWORD lpflOldProtect  );   各参数的意义为: lpAddress,要改变属性的内存起始地址。 dwSize,要改变属性的内存区
9.3 Ret2Libc 实战之利用VirtualProtect
qq_55202378的博客
11-08 1835
VirtualProtect DEP绕过
Windows Shellcode学习笔记——通过VirtualProtect绕过DEP
weixin_34004576的博客
09-20 1817
本文讲的是Windows Shellcode学习笔记——通过VirtualProtect绕过DEP, 0x00 前言 在掌握了栈溢出的基本原理和利用方法后,接下来就要研究如何绕过Windows系统对栈溢出利用的重重防护,所以测试环境也从xp转到了Win7(相比xp,Win7的防护更全面)。本文将要介绍经典的DEP绕过方法——通过VirtualProte...
DEP: Ret2Libc via VirtualProtect()
ShadowAssassin的专栏
01-05 1024
VirtualProtect() 绕过DEP 文章参考 0day 安全:软件漏洞分析技术: 学习了DEP 绕过技术中的 VirtualProtect()绕过DEP,不过书中的例子是以windows 2003 为例,通过学习,一步一步在xp上测试成功。 BOOL VirtualProtect{ LPVOID lpAddress, // 需要修改属性的内存的起始地址
virtualProtect函数
weixin_34348111的博客
06-04 710
原文链接:https://blog.csdn.net/zacklin/article/details/7478118 结合逆向课件11 转载于:https://www.cnblogs.com/qy-blogs/p/9134114.html
Performing a ret2libc Attack-InVoLuNTaRy
04-24
ret2libc
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc exploit
07-07
exploit hack linux ret2libc
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
pwn学习——ret2libc2
MrTreebook的博客
11-28 1034
pwn学习——ret2libc21.攻击原理2. ret2libc2的源代码3.checksec看一下保护4.exp 1.攻击原理 通过把函数返回地址直接指向系统库中的函数(如system函数),同时构造该函数的输入参数栈,就可以达到代码执行的目的。 正常堆栈布局: ret2libc执行system的堆栈布局: 本题和ret2libc1的区别就是程序中没有自带"/bin/sh",需要自己写进去 2. ret2libc2的源代码 #include <stdio.h> #include <
ret2libc2
m0_54262894的博客
10-30 313
ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),故而此时我们需要知道 system 函数的地址。 先检查保护 放入ida 发现gets函数 Shift+F12 (因为在比赛中不会给你提示有没有 /bin/sh ,所以还是需要自己找一下) 两个方法都没有发现/bin/sh...
基本ROP之ret2libc2
至臻求学,胸怀云月
02-14 3613
原理 ret2libc即控制函数执行libc中的函数,通常是返回至某个函数plt表处或者函数的具体位置(即函数对应的got表项的内容),一般情况下我们选择执行system("/bin/sh"),故而我们需要知道system函数的地址 过程 下载地址:url checksec IDA分析 gets函数 system函数 经计算gets字符串和ebp的偏移为108,这里不进行赘述 查找bin/s...
VirtualProtect() 原理(摘自Undocument NT)
绝迹·危言的专栏
04-17 4286
<br />VirtualProtect() 函数并不将页标记为可读写,而是保持页的只读属性。 然而,为了将此页与其它的正常只读页取分开来,它被标记为写时拷贝(copy-on-write)。 Windows NT 使用了 PTE 中的一个空闲位来做这个标记。当此页被写入时,因为是只读页,处理器发出页错误异常。页错误处理程序做一份此页的拷贝并相应地修改发生页错误进程的列表。新的拷贝被标记为可读写以使进程可以写入。
VirtualProtect()
windroid.xyz
01-02 6450
VirtualProtect 改变调用进程的一段页的保护属性。要改变其他进程,请使用 VirtualProtectEx 函数。 BOOL WINAPI VirtualProrect( __in    LPVOID lpAddress , __in    SIZE_T dwSize , __in    DWORD flNewProtect , __out  PDWORD lpfl
pwn ret2libc原理
最新发布
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值