感觉最近作者给出的shellcode,有一种“他就是这样”、“这样的shellcode是最合理”的感觉了。刚开始看有点看不懂,但是跟着最终实现代码一点点跟,就会发现这个代码的巧妙之处。
0x01 环境
系统:Windows 2003 SP2
编译器:VS2008
注意编译选项:
release版本
禁用优化(C++——optimization disable)
GS禁用(C++——code generation——No GS)
safeseh禁用(Link——command line——添加:“/safeseh:no”)
0x02 调试步骤
1、实验代码
char shellcode[]="90909090.."
void test()
{
char tt[176];
memcpy(tt,shellcode,420);
}
int main()
{
HINSTANCE hInst = LoadLibrary(L"shell32.dll");
char temp[200];
__asm int 3
test();
return 0;
}
2、查找virtualProtect函数地址。
这个函数可以使内存某一块区域开启可执行属性。
能够看到VirtualProctect会在压进ebp相关参数后调用真正的VirtualProtectEx函数,
这4个和我们有关的参数为:
查看MSDN后,参数分别是内存设置属性的起始地址(shellcode地址)、大小(FF)、属性值(0x40)、可写的内存地址。
这里来了,第一个本实验的重点。就是参数的设置。
先压栈的[ebp+0x14]是最后一个参数,这个地址必须是一个可写的内存,我们将[ebp+0x14]根据esp的值动态确定。